Am 3. November hat das BMJV den lang erwarteten Referentenentwurf zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen veröffentlicht (pdf). Dieser soll die Vorgaben der Richtlinie 2019/770 in das deutsche Recht umsetzen.
Ganz allgemein bietet der Referentenentwurf eine Fülle an spannenden Themen rund um die Digitalisierung, insbesondere etwa eine Updatepflicht (inkl. der Frage, inwieweit Verbraucher hierbei mitwirken müssen) (§ 327 f BGB) für Unternehmen und auch Vorschriften zu Mängelrechten, wenn digitale Produkte (dies umfasst digitale Inhalte und Dienstleistungen) nicht frei von Produkt- und Rechtsmängeln sind (§ 327e BGB).
Daneben bietet der Entwurf spannende Überschneidungen zum Datenschutzrecht. Auf einige solcher Themenkomplex möchte ich hier kurz eingehen. Weitere Beiträge zu dem Vorhaben folgen sicherlich noch.
Verträge, bei denen „mit Daten bezahlt“ wird
Der Referentenentwurf schlägt einen neuen § 312 Abs. 1a BGB vor, mit dem nun auch ausdrücklich geregelt werden soll, dass die Verbraucherschutzvorschriften auf Verträge Anwendung finden, die ein „Bezahlen mit Daten“ zum Gegenstand haben. Der neue Abs. 1a lautet:
„Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbrauchervertra?ge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“
Zunächst ist festzustellen, dass sich die Vorschrift nur auf personenbezogene Daten bezieht; also nicht auf technische Informationen. Was personenbezogene Daten sind, ergibt sich aus der Legaldefinition des Art. 4 Nr. 1 DSGVO.
Nach Satz 2 ausgenommen sein sollen jene Verarbeitungen, die zur Erfüllung des Vertrages oder auch gesetzlicher Pflichten erforderlich sind. Nach der Begründung dürfte dies etwa einschlägig sein bei der „Erhebung personenbezogener Daten des Verbrauchers wie Name, Postanschrift oder E-Mail-Adresse, die der Unternehmer benötigt, um seinem Vertragspartner die vereinbarte Leistung zukommen zu lassen“. Eine weitere Ausnahme betrifft Datenverarbeitungen, zu denen der Unternehmer aufgrund gesetzlicher Anforderungen, laut der Begründung „etwa nach Steuer- oder Ordnungsrecht, verpflichtet ist“. Es geht bei den für den Anwendungsbereich relevanten Daten also stets um ein „Mehr“ an Zwecken bzw. Datenverarbeitungen. Auch eine Zweckänderung von Daten kann zur Anwendung der neuen Vorschriften führen.
Datenschutzverstoß führt nicht zur Nichtigkeit des Vertrages
Interessant ist die folgende Begründung im Entwurf: „Auf die Frage der datenschutzrechtlichen Rechtma?ßigkeit der Datenverarbeitung kommt es für die Anwendbarkeit der §§ 312 ff. BGB-E nicht an“. Dies wird damit begründet, dass es aus Sicht des Verbrauchers nicht nachteilig sein darf (er also nicht auf die Einhaltung verbraucherschützender Vorschriften vertrauen darf), wenn die Datenverarbeitung unzulässig ist.
Ganz abstrakt relevant ist die Ansicht des BMJV, dass Verstöße gegen die Vorgaben der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO keine Regelungen betreffen, die sich gegen den Abschluss eines mit der Datenerhebung verbundenen Rechtsgeschäfts wenden. In der Begründung wird etwa auf Art. 6 Abs. 1 lit. a, b und f DSGVO verwiesen. Das bedeutet nach Ansicht des BMJV auch, dass „ein Verstoß gegen die entsprechenden Vorschriften der Datenschutz-Grundverordnung die Wirksamkeit des Vertrags mit Blick auf § 134 BGB unberührt“ lässt.
Diese Ansicht ist deshalb ganz allgemein von praktischer Relevanz, da es in der Vergangenheit bereits anderslautende Rechtsprechung gab, etwa im Fall des OLG Frankfurt a.?M., Urteil vom 24.1.2018 – 13 U 165/16. Dort ging das Gericht (noch zum alten Datenschutzrecht, konkret zu § 28 Abs. 3 BDSG aF) davon aus, dass sowohl ein Verstoß gegen § 28 Abs. 3 S. 1 BDSG aF als auch ein Verstoß gegen § 7 Abs. 3 Nr. 3 UWG zu einer Nichtigkeit des gesamten Vertrags gemäß § 134 BGB führt.
Schon die „Bereitstellung“ genügt
Beachtenswert ist, dass Verträge bereits dann erfasst werden, wenn personenbezogene Daten bereitgestellt werden oder sich der Verbraucher hierzu auch nur verpflichtet.
Nach der Begründung ist der „Begriff der Bereitstellung personenbezogener Daten ist im weitest möglichen Sinne zu verstehen und umfasst alle Verarbeitungen von personenbezogenen Daten des Verbrauchers durch den Unternehmer, unabhängig von der Art und Weise der Verarbeitung“.
Ausdrücklich nicht erforderlich ist daher, dass der Verbraucher dem Unternehmer seine personenbezogenen Daten aktiv übermittelt. Ausreichend soll vielmehr sein, dass der Verbraucher die Verarbeitung seiner personenbezogenen Daten durch den Unternehmer zulässt.
Und hier nennt das BMJV einige interessante Fälle für die Praxis:
„Dies kann bereits im Zeitpunkt des Vertragsschlusses geschehen sein oder auch im weiteren Verlauf erfolgen. Eine Bereitstellung liegt auch vor, wenn der Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt, soweit der betreffende Sachverhalt als Vertrag anzusehen ist“.
Dies bedeutet, dass das BMJV von einem „Bereitstellen“ und damit der Anwendung der Verbraucherschutzvorschriften ausgeht, wenn Unternehmen Cookies auf Geräten der Nutzer setzen, um hierüber personenbezogene Daten zu erheben. Man darf davon ausgehen, dass Cookies nur ein möglicher Anwendungsfall sind und dies etwa auch für Pixel oder Scripte gelten wird.
Die ausdrückliche gesetzliche Anerkennung des „Bezahlens mit Daten“ hat Rückwirkungen auf die Auslegung von Art. 6 Abs. 1 lit. b DSGVO. Während hier die Datenschutzbehörden eine abstrakt-typisierende Betrachtung favorisieren (Ist die Verarbeitung personenbezogener Daten abstrakt für den jeweiligen Vertragstypus erforderlich, selbst wenn die konkret vereinbarten Vertragsbedingungen hierüber eventuell hinausgehen?), dürfte die ausdrückliche Anerkennung des Bezahlens mit Daten eine konkret-individuelle Auslegung des Erforderlichkeitsmerkmals (freilich in den Grenzen des Zivilrechts) in den Fokus rücken. Art. 6 Abs. 1 lit. b DSGVO dürfte damit an Bedeutung gewinnen, soweit in zivil- und AGB-rechtlich zulässiger Weise Vertragsbedingungen formuliert werden können, die eine Verarbeitung erfordern, selbst wenn diese vielleicht für den „durchschnittlichen“ Vertrag des jeweiligen Typus nicht erforderlich wäre.