Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Wie viel Einwilligung steckt in der Datenschutzerklärung?

Barbara Schmitz ist Rechtsanwältin für IT- und Datenschutzrecht bei der BAY GmbH, Wirtschaftsprüfungs- und Rechtsanwaltsgesellschaft in München und Mitglied des Wissenschaftsbeirats der ZD.

ZD 2024, 661   Wenig geht im Datenschutz ohne Einwilligung. Sie ist Ausdruck des mit dem Volkszählungsurteil des BVerfG geschaffenen Grundrechts der informationellen Selbstbestimmung und „gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“. Seit Anbeginn der DS-GVO hat die Einwilligung einen Sonderstatus. Sie ist zwar die erste Bedingung, die Art. 6 DS-GVO für eine rechtmäßige Verarbeitung aufführt, aber eben nicht die einzige. Die Erlaubnistatbestände stehen gleichwertig nebeneinander. Der datenschutzrechtliche Grundsatz für eine rechtmäßige Verarbeitung ist das Verbotsprinzip mit Erlaubnisvorbehalt und nicht das Verbot mit Einwilligungsvorbehalt. Nun haben in letzter Zeit einige Gerichte in Deutschland die datenschutzrechtliche Einwilligung vom Sockel gehoben, indem sie urteilten, dass der Abschluss eines privatrechtlichen Vertrags oder eines entsprechenden Rechtsgeschäfts die datenschutzrechtliche Einwilligung beinhaltet.

Das LG Augsburg hat (E. v. 5.7.2024 - 041 O 3703/23) festgestellt, dass die Willenserklärung zur Annahme des Vertragsangebots iRe TK-Vertragsabschlusses die Einwilligung zur Datenübermittlung an eine Auskunftei enthält. In ähnlicher Weise hat das LG Frankenthal in einem Urt. v. 4.6.2024 - 3 O 300/23 das Einlassen in die Wohnung und die Gestattung von Fotoaufnahmen der Innenräume iRe Immobilienverkaufs als wirksame Einwilligung qualifiziert. Das OLG Köln (ZD 2024, 222 mAnm Nikol) geht noch einen Schritt weiter und macht die Datenschutzerklärung zu einem Vertragsbestandteil, der der AGB-Kontrolle unterliegen kann.

Die Verlagerung der Verarbeitung personenbezogener Daten in privatrechtliche Vertragsverhältnisse, die auch aus datenschutzrechtlicher Sicht zulässig sein kann, ist nicht so abwegig, wie es für viele Datenschützerinnen und Datenschützer auf den ersten Blick sein mag.

Die Einwilligung im allgemeinen Rechtskontext

Der Begriff der Einwilligung spielt nicht nur im deutschen Recht in verschiedenen Rechtsgebieten eine zentrale Rolle. Im Strafrecht ist die Einwilligung ein wichtiger Rechtfertigungsgrund, der zur Straflosigkeit einer ansonsten tatbestandsmäßigen Handlung führen kann. Im Zivilrecht ist die Einwilligung als vorherige Zustimmung in § 183 BGB legal definiert und gilt als einseitige, empfangsbedürftige Willenserklärung, die auf die Herbeiführung einer gewollten Rechtsfolge gerichtet ist. Da das Datenschutzrecht alle Lebensbereiche betrifft und keinem Rechtsgebiet speziell zugeordnet werden kann, ist die datenschutzrechtliche Einwilligung immer im Kontext der jeweiligen Rechtslage zu betrachten. So stellte das BVerfG im Volkszählungsurteil zwar die vertikale Perspektive des Datenschutzrechts, also das Verhältnis zwischen Bürger und öffentlicher Verwaltung, auf den Prüfstand. Gleichwohl gelten die vom BVerfG aufgestellten Grundsätze zur Datenverarbeitung auch in horizontaler Perspektive zwischen privatwirtschaftlichen Akteuren. Diese Ausrichtung wird in Erwägungsgrund 4 DS-GVO treffend auf den Punkt gebracht, wenn es dort heißt: „das Recht auf Schutz der personenbezogenen Daten [ist] kein uneingeschränktes Recht und [muss] im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden“.

Die Einwilligung im Datenschutzrecht

Die datenschutzrechtliche Einwilligung wird durch die Bedingungen des Art. 7 DS-GVO je nach Sichtweise paternalistisch beschränkt oder unter besondere Schutzmechanismen gestellt.

Anders als verschiedentlich angenommen, ergibt sich aus den Normtexten der DS-GVO jedoch nicht, dass die datenschutzrechtliche Einwilligung gesondert einzuholen ist. Weder Art. 7 Abs. 2 DS-GVO iVm Art. 4 Nr. 11 DS-GVO noch der korrespondierende Erwägungsgrund 42 DS-GVO rechtfertigen eine solche Annahme. Eine datenschutzrechtliche Einwilligung ist dann wirksam, wenn die Informationen über die Datenverarbeitung klar erkennbar und von anderen rechtsgeschäftlichen Sachverhalten zu unterscheiden sind. Dies stützt auch die Definition der Einwilligung in Art. 4 Nr. 11 DS-GVO, wonach „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ als mögliche Einwilligungserklärung anerkannt wird. Demnach handelt es sich auch bei datenschutzrechtlichen Einwilligungen um empfangsbedürftige Willenserklärungen, die - wie im Straf- und Zivilrecht - nur dann wirksam sind, wenn eine Kenntnis der wesentlichen Informationen vorliegt und kein Zwang besteht, die Erklärung abzugeben. Liegen diese Voraussetzungen nicht vor, ist die Einwilligung unwirksam, mit der Folge, dass die personenbezogenen Daten nicht genutzt werden dürfen. Zum Vergleich: Liegen entsprechende Willensmängel im Straf- oder Zivilrecht vor, ist der Entscheidungsprozess der betroffenen Person mängelbehaftet, mit der Folge, dass die tatbestandsmäßige Strafbarkeit eintritt bzw. das Rechtsgeschäft nichtig oder anfechtbar ist.

Die datenschutzrechtliche Einwilligung in die Datenübermittlung an die Kreditauskunftei als Teil der vertraglichen Willenserklärung bei Abschluss des TK-Vertrags hat das LG Augsburg daher zutreffend bejaht.

Über das sog. Kopplungsverbot in Art. 7 Abs. 4 DS-GVO wird ein weiteres Schutzkriterium normativ ausgestaltet. In Auslegung dieser Rechtsgrundlage nimmt der Europäische Datenschutzausschuss (EDSA) (WP 259 rev.01, S. 9) an, dass die Einwilligung nicht freiwillig erteilt werden kann, wenn sie als vertragliche Gegenleistung anzusehen ist. Damit sind wir bei der eigentlichen Besonderheit der datenschutzrechtlichen Einwilligung angelangt. Können personenbezogene Daten eine Gegenleistung darstellen und kann die datenschutzrechtliche Willenserklärung, diese Daten zu verarbeiten, vertraglich abgebildet werden?

Die Einwilligung als Gegenleistung

In der digitalen marktwirtschaftlichen Realität erfüllen personenbezogene Daten seit jeher eine wichtige Entgeltfunktion. Der Ansatz des EDSA, dass Einwilligung und Vertrag im Kontext einer rechtmäßigen Verarbeitung nicht zusammengeführt werden können, steht im Widerspruch zur Digitale-Inhalte-RL (DID-RL - RL (EU) 2019/770). Diese Richtlinie, die in allen EU-Mitgliedstaaten bis zum 1.7.2021 umzusetzen war und auf Verträge ab dem 1.1.2022 anzuwenden ist, hat in Art. 3 Abs. 1 UAbs. 1 DID-RL eine rechtliche Grundlage für das Bezahlen mit Daten geschaffen, also für Sachverhalte, in denen die Verarbeitung personenbezogener Daten sowohl für die Vertragserfüllung erforderlich ist als auch der Entgeltfunktion dient. In der bundesdeutschen Gesetzgebung fand die Umsetzung in Ergänzungen zu den Verbraucherschutzvorschriften der §§ 312 ff. BGB statt. In der Gesetzesbegründung zum nationalen Umsetzungsgesetz (BT-Drs. 19/27653) spiegelt sich die gesetzgeberische Zerrissenheit bei der rechtsdogmatischen Ein- und Zuordnung von Datenschutzrecht und Vertragsrecht wider. So heißt es einerseits, dass die §§ 312 ff. BGB schon bisher auf das Bezahlen mit Daten anwendbar seien, was sich allein schon aus dem Tatbestandsmerkmal „entgeltliche (Leistung)“ ergebe. Doch wird zeitgleich andererseits - unter Verweis auf eine Stellungnahme des EDSA (EDSA 4/2017, S. 12) - der Begriff „Daten als Gegenleistung“ vermieden.

Auch wenn man den Begriff „Gegenleistung“ vermeiden möchte, sind personenbezogene Daten längst Gegenstand von Handelsgeschäften und haben einen Marktwert. Mit der Anerkennung der Gegenleistungsfunktion personenbezogener Daten könnte der Geschäftsverkehr mit personenbezogenen Daten einem doppelten Schutz unterstellt werden: dem Schutz des Vertragsrechts (AGB-Kontrolle) und dem Schutz des Datenschutzrechts (nachteilsfreies Widerrufsrecht). Die zivilrechtliche Vertragskonstruktion der beiden übereinstimmenden und informierten Willenserklärungen ist geeignet, die grundrechtlich geschützten Anforderungen des Datenschutzrechts aufzunehmen und zu gewährleisten. Die gesetzlichen Regelungen im Verbraucherschutzrecht, wie etwa § 327q BGB, machen die datenschutzrechtliche Anforderung zur Widerrufsmöglichkeit zur vertraglichen Voraussetzung, ohne dass dies automatisch Auswirkungen auf den Vertrag hat. Ein weiterer zivilrechtlich relevanter Bezug ergibt sich aus Erwägungsgrund 42 DS-GVO, wonach vorformulierte Einwilligungserklärungen in die Verarbeitung personenbezogener Daten dem Anwendungsbereich der Richtlinie über missbräuchliche Klauseln in Verbraucherverträgen (RL 93/13/EG) und damit der AGB-Kontrolle mit der Möglichkeit einer Unterlassungsklage nach § 2 Abs. 2 Nr. 1 lit. d UklaG unterliegen.

Ziel muss es sein, Vertragsfreiheit und informationelle Selbstbestimmung iRe ganzheitlichen Ansatzes so auszugestalten, dass die grundrechtlichen Schutzinteressen von Verbrauchern und Unternehmern gewahrt und gewährleistet werden. Im Rahmen dieses grundrechtlichen Ansatzes ist die Einbeziehung der datenschutzrechtlichen Einwilligung in die Vertragsrechtsordnung folgerichtig. Denn nur so kann der Grundsatz des Art. 1 Abs. 3 DS-GVO gewährleistet werden, wonach das Datenschutzrecht den freien Verkehr personenbezogener Daten weder beschränken noch verbieten darf.

Ausblick: Datenschutzerklärung als Vertragsbestandteil

Nach alledem ist es folgerichtig, dass die Datenschutzerklärung über die Willenserklärung zum Vertragsschluss Vertragsbestandteil wird. Für die Einbeziehung der Datenschutzerklärung als wesentlicher Vertragsbestandteil (essentialia negotii) in die vertragliche Leistungsbeschreibung ist, wie dargelegt, der rechtliche Rahmen gegeben. Denn die Datenschutzerklärung benennt Umfang, Art und Weise der Datenverarbeitung sowie den Zweck der Verarbeitung in der gesetzlich vorgeschriebenen Form. In den Fällen, in denen die Datenschutzhinweise formularmäßig erteilt werden, weil sie eine Vielzahl von Rechtsgeschäften betreffen, ist die Datenschutzerklärung ihrem Wesen nach keine bloße Information mehr, sondern wird zu einer Vertragsbestimmung, die der AGB-Kontrolle der §§ 305 ff. BGB unterliegen kann. Fehlende Angaben zu bestimmten Verwendungszwecken oder die Nichteinhaltung datenminimierender Maßnahmen können dann dazu führen, dass diese Datenschutzhinweise oder Teile davon unwirksam sind und der Unternehmer sich vertraglich nicht auf sie berufen kann, was wiederum dazu führt, dass die Datenverarbeitung ohne Rechtsgrundlage erfolgt ist und entsprechende datenschutzrechtliche Konsequenzen drohen.

Angesichts der Tatsache, dass Daten als Handelsware ein fester Bestandteil des täglichen marktwirtschaftlichen Handelns geworden sind, die Zeit der Kostenlosigkeit im Internet vorbei ist und die Gesetzgebung dieser Entwicklung Rechnung getragen hat, wird es zunehmend schwerer zu rechtfertigen sein, die Bereitstellung von personenbezogenen Daten nicht als Gegenleistung zu werten.

Anzeigen:

ZD 4Wochen Testabonnement

beck-online DatenschutzR

Teilen:

Menü