Einführung

Neues zum Datentransfer in die USA! Nachdem die Vergabekammer Baden-Württemberg am 13.07.2022 in einem Beschluss festgestellt hat, dass Cloud-Anbieter in den USA, und unter anderem auch ihre EU-Tochterunternehmen, gegen die Datenschutz-Grundverordnung (DS-GVO) verstoßen, hat das Oberlandesgericht (OLG) Karlsruhe diesen höchstumstrittenen Beschluss nun wieder aufgehoben.

Laut Beschluss der Vergabekammer sei die Verwendung dieser Cloudanbieter rechtswidrig, da mit ihnen ein unzulässiger Datentransfer in ein Drittland einhergeht, bei dem die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend geschützt werden. Der Europäische Gerichtshof (EuGH) kippte 2020 in der Schrems II- Entscheidung das Privacy Shield, welches zuvor die Datenübermittlung rechtfertigte. Grund dafür waren vor allem die weitgehenden Überwachungsgesetze und die Zugriffsmöglichkeiten auf die Daten seitens der US-Behörden (Hierzu haben wir bereits einen Blog-Artikel verfasst: https://rickert.law/eugh-transatlantisches-eu-us-privacy-shield-ist-nichtig/).

Wie kam es zu dem Beschluss der Vergabekammer? Und aus welchen Gründen hat das OLG Karlsruhe den Beschluss der Vergabekammer aufgehoben?

Das Problem ist der US-amerikanische CLOUD Act

Im vorliegenden Fall ging es zwar um eine vergaberechtliche Streitigkeit, es wurde aber auch gleichzeitig die Konformität einer Software mit der DS-GVO überprüft. Neben Preis und Qualität waren nämlich auch Datenschutz und IT-Sicherheit für die Erteilung des Zuschlags ausschlaggebend.

Das betroffene Unternehmen hat seinen Sitz in der EU und ist die Tochtergesellschaft eines US-Konzerns. Aufgrund des US-amerikanischen CLOUD Acts kann es den US-Behörden erlaubt sein, auch auf Daten zuzugreifen, welche sich auf Servern außerhalb der USA befinden, sofern es sich dabei um Daten von Tochterunternehmen handelt. Wegen dieser Zugriffsmöglichkeit auf Daten von EU-Bürgerinnen und -Bürgern hat die Vergabekammer den Clouddienst als unzulässig eingestuft.  Ob und in welchem Umfang ein Zugriff stattfindet, war für die Vergabekammer irrelevant.

Wann wäre ein Datentransfer in ein Drittland gerechtfertigt?

Der Datentransfer in ein Drittland, also ein Land außerhalb der EU/des EWR kann nach den Artt. 44ff. DS-GVO gerechtfertigt sein. Dazu muss entweder ein Angemessenheitsbeschluss für das jeweilige Land erlassen worden sein (dies ist für die USA nicht der Fall) oder es müssen andere Rechtfertigungsmittel wie etwa Standardvertragsklauseln verwendet werden, wobei jedoch in jedem Einzelfall überprüft werden muss, ob das EU-Datenschutzrecht eingehalten wurde.

Die Standardvertragsklauseln waren nach Ansicht der Vergabekammer im vorliegenden Fall jedoch nicht ausreichend, denn es läge ein “latentes” Risiko des Zugriffs seitens US-Stellen aufgrund des CLOUD Acts vor und das verstöße somit gegen EU-Datenschutzrecht.

Kritik am Beschluss und Aufhebungsgründe

Der Beschluss der Vergabekammer bekam von Anfang an viel Gegenwind. Vor allem die Landesdatenschutzbeauftragte Baden-Württemberg sprach einiges an Kritik aus. Dieser Kritik schloss sich dann auch das OLG Karlsruhe an, welches die Gültigkeit des Beschlusses überprüfte und ihn am 07.09.2022 schließlich aufhob. Die Entscheidung des OLG Karlsruhe ist auch rechtskräftig.

Doch was war so bedenklich an dem Beschluss der Vergabekammer? Warum hat das OLG den Beschluss gekippt? Die Landesdatenschutzbeauftragte Baden-Württemberg hielt folgende Punkte für bedenklich:

• Die Vergabekammer hat nicht die aktuellen Standardvertragsklauseln der EU überprüft, sondern ältere.
• Außerdem hat die Vergabekammer ein mögliches Zugriffsrisiko seitens der US-Stellen mit einer tatsächlichen Datenübermittlung gleichgesetzt.

Zudem wurde von Datenschützern bemängelt, dass die Vergabekammer bei ihrer Entscheidung die Möglichkeit einer Verschlüsselung der Daten völlig außer Acht gelassen habe.

Das OLG stützt seine Entscheidung nun vor allem auf letzteren Kritikpunkt der baden-württembergischen Datenschutzbehörde. Solange der Anbieter verbindlich zusage, dass mit Nutzung des Onlinedienstes kein Drittlandtransfer stattfinde, dürfe sich auch darauf verlassen werden. Auf solche vertraglichen Zusagen könne man so lange vertrauen, bis konkrete Anhaltspunkte vorlägen, die einen Anlass für Zweifel geben.

Solche Zweifel seien im vorliegenden Fall aber eben nicht gegeben. Allein die Tatsache, dass die US-Konzernmutter auf die Daten zugreifen könnte, reiche nicht aus, um an der Seriosität der Vertragsangaben zu zweifeln. Grundsätzlich darf man also auf die Angaben von Softwareanbietern vertrauen, wenn es um die Datenschutzkonformität geht.

Fazit

Der Beschluss hätte, insofern er Bestand gehabt hätte, erhebliche Auswirkungen für privatrechtliche Fragestellungen im IT- und Datenschutzrecht gehabt! Da dieser nun aber aufgehoben wurde, sind Anbieter mit US-amerikanischen Konzernmüttern in Vergabeverfahren weiterhin zu berücksichtigen und auch die Nutzung solcher Cloudanbieter kann im Einzelfall weiterhin möglich sein.

Aus der Entscheidung des OLG Karlsruhe geht ebenfalls hervor, dass man sich grundsätzlich auf die Vertragsangaben hinsichtlich der Datenschutzkonformität verlassen kann und nur im Fall konkreter Anhaltspunkte weitere Informationen eingeholt und das Leistungsversprechen überprüft werden müssen.

Außerdem arbeitet die EU-Kommission derzeit mit den zuständigen Stellen in den USA an einer zukünftigen Lösung für Datentransfers zwischen der EU und den USA. Ein solches Nachfolgeabkommen wird jedoch nicht vor Ende des Jahres erwartet.

Einleitung

Nach etwas mehr als zwei Jahren nach dem Austritt des Vereinigten Königreichs („UK) werden jetzt die unterschiedlichen Gesinnungen von UK und der Europäischen Union („EU“) deutlich. Der Austritt zieht datenschutzrechtliche Folgen nach sich. Ein dem britischen Parlament vorliegender Gesetzesentwurf befindet sich derzeit noch in der Anfangsphase der Lesungen. Dahinter steckt die Motivation der britischen Regierung, Verbesserungen der 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) vorzunehmen. 

Im Kontrast dazu steht das neueste datenschutzrechtliche Gesetzesvorhaben der Schweiz. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, nähert sie sich dieser in vielerlei Hinsicht an – so auch im Datenschutzrecht. 

Mögliche neue Regelungen in UK 

Die britische Seite kritisiert, dass gemäß den derzeitigen Regelungen gewisse Hürden für Unternehmen und Konsumenten bestünden, weshalb der Regierung ein neuer Gesetzesentwurf namens „Data Protection and Digital Information Bill“ vorliegt.  

So sei es beispielsweise für kleine Unternehmen umständlich, einen Datenschutzbeauftragten zu ernennen. Diese Pflicht soll wegfallen. Weiterhin seien vor allem kleine Unternehmen zunehmend mit einer Ungewissheit konfrontiert, weshalb allgemein ein Verbesserungsbedürfnis bestehe, insbesondere in Bezug auf die vermeintlich hohen datenschutzrechtlichen Anforderungen an Unternehmen. Befürchtet wird ein Regime, das nur auf der Einhaltung von Verpflichtungen basiere anstelle eines Systems, welches zu proaktivem Handeln ermutige.  

Behörden müssen Betroffene nicht mehr über automatisierte Entscheidungsfindung informieren 

Diese Änderung stellt einen großen Unterschied zur EU-DS-GVO dar. Die zuständigen Behörden sollen nicht mehr verpflichtet sein, betroffene Personen über eine automatisierte Entscheidungsfindung zu informieren. Ein begründendes Beispiel: Wenn die Daten einer Person von polizeilichem Interesse sind, würde ein Hinweis an die Person die laufende polizeiliche Untersuchung beeinträchtigen können.  

Die Protokoll-Pflicht entfällt  

Zudem soll die Pflicht zur Erstellung von Protokollen über Datenverarbeitungen wegfallen. Diese Protokolle stellen eine technische und organisatorische Maßnahme im Sinne des Art. 32 EU-DS-GVO dar und dienen der sog. Eingabekontrolle. Hierdurch soll, in DS-GVO konformer Weise, protokolliert werden, wer wann Zugriff auf personenbezogene Daten genommen hat und wie er diese weiterverarbeitet hat (insbes. Veränderung der Daten), um eine unbefugte Verarbeitung nachträglich feststellen und überprüfen zu können. Der britische Gesetzgeber hält dies jedoch für zu ressourcenintensiv, es stünde in keinem Verhältnis zum daraus resultierenden Mehrwert. Es sei unwahrscheinlich, dass jemand, der zu Unrecht auf Daten zugreift, eine ehrliche Rechtfertigung dokumentiere.  

Regelungen zur Einwilligung bleiben, erweitert um eine Liste, wann ein legitimes Interesse an der Datenverarbeitung besteht 

Unverändert erhalten   sollen die Regelungen zur Einwilligung bleiben. Um den Unternehmen aber die Einschätzung zu erleichtern, ob eine Einwilligung erforderlich ist, oder ob die Verarbeitung ggf. auf die flexiblere Rechtsgrundlage des legitimen Interesses gestützt werden kann, hat die Regierung dem neuen Gesetzesentwurf in Anhang 1 eine Liste angefügt. Sie führt auf, unter welchen Voraussetzungen sie ein legitimes Interesse an der Datenverarbeitung anerkennt. Zum Beispiel für die nationale und öffentliche Sicherheit und zur Verteidigung („national security, public security and defence“), oder zum Erkennen, Ermitteln und Verhindern von Straftaten („detecting, investigating or preventing crime“).  

Benennung eines „Senior Responsible Individual“ statt eines Datenschutzbeauftragten 

Die Pflicht zur Ernennung eines Datenschutzbeauftragten soll vor allem für kleine Unternehmen wegfallen. Stattdessen sollen Behörden und Unternehmen unter bestimmten Voraussetzungen eine „leitende verantwortliche Person“ („Senior Responsible Individual“) bestimmen. Sie wäre zuständig für die Datenschutzrisiken innerhalb der Organisation sowie für die Delegierung der erforderlichen Aufgaben an angemessen fähige Personen. Diese Person soll zum „Senior Management“ gehören, und damit eine signifikante Rolle in der Entscheidungsfindung über Verarbeitungsaktivitäten in der Gesamtheit oder wesentlichen Teilen der Organisation einnehmen.  

Sie wäre verantwortlich für die Durchführung oder Delegierung folgender Aufgaben:  

• Überwachung der Datenschutz-Compliance mit geltenden Gesetzen;  
• sicherstellen, dass der Verantwortliche Maßnahmen zur Einhaltung der Compliance entwickelt, implementiert und regelmäßig überprüft;  
• Schulungen der Mitarbeiter;  
• Bearbeitung von Beschwerden im Zusammenhang mit der Datenverarbeitung;  
• Bearbeitung von Datenpannen.  

Die Aufgaben der verantwortlichen Person des Senior Managements unterscheiden sich nach dem Gesetzesentwurf nicht wesentlich von den Aufgaben, die der Datenschutzbeauftragte nach der EU-DS-GVO übernimmt oder übernehmen kann. Der wesentliche Unterschied ist also die Zugehörigkeit zum Senior Management.  

Damit dürfte die Unabhängigkeit bzw. die Neutralität der verantwortlichen Person in Frage stehen, denn als Teil des Senior Managements hat sie, im Gegensatz zu einem unabhängigen oder gar externen Datenschutzbeauftragten, wohl ein erhebliches Interesse daran, Datenverarbeitungen ohne größere Hürden zu ermöglichen. Auch wenn die verantwortliche Person ihre Aufgaben an andere fähige Personen des Unternehmens delegieren kann, so besteht doch die Befürchtung, dass künftig die ein oder andere Datenverarbeitung aufgrund des Interesses des Unternehmens eher durchgewunken wird, als wenn ein externer Datenschutzbeauftragter beraten hätte. 

Auch im Hinblick auf die Konsumenten sollen Hürden genommen und Verarbeitungen vereinfacht werden.  

Opt-Out-Verfahren statt Opt-In-Verfahren bzgl. Cookies 

Die Zustimmung zur Cookies-Nutzung auf Websites soll von dem derzeitigen Opt-In-Verfahren in ein Opt-Out-Verfahren umgewandelt werden. Dies solle Nutzern helfen, sich nicht durch zahlreiche Zustimmungsbanner klicken zu müssen und dadurch mögliche Frustration verhindern. Ähnlich wie bei dem Deutschen Verfahren „PIMS“ („Personal Information Management System“) nach dem TTDSG, soll es zudem eine generelle Verwaltungsmöglichkeit und Übersicht über die Datenverarbeitung in den Browser-Einstellungen geben, sodass eine Einwilligung auf jeder einzelnen Website überflüssig werde.  

Soft-Opt-In für Marketing-Maßnahmen durch nicht-kommerzielle Organisationen 

Eine weitere Änderung sieht das neue Gesetzesvorhaben im Rahmen des sog. „Soft-Opt-In“ vor. „Soft-Opt-In“ ermöglicht Direktwerbung an bestehende Kunden zu senden, die dem nicht unbedingt ausdrücklich zugestimmt haben. Bisher war diese Möglichkeit des Marketings nicht-kommerziellen Organisationen verwehrt, nun soll eine Erweiterung diesbezüglich stattfinden. 

Gemeinsames Vorhaben von UK und USA, aber Sanktionen für Datenschutzverstöße wie in der EU 

Bemerkenswert ist auch ist ein geplantes Vorhaben des Vereinigten Königreichs in Kooperation mit den USA. Die beiden Länder gaben in einem gemeinsamen Statement im Juli 2022 bekannt, dass sie den Zugriff auf Daten, welche strafrechtlich relevant sind, zwischen den Staaten erleichtern möchten. Ziel sei es, schwere Kriminalität zu bekämpfen, aber gleichzeitig die demokratischen Standards zu wahren. 

Annäherungen an die Europäische Union gäbe es nach dem Gesetzesentwurf jedoch in Sachen Sanktionen. Das derzeitige Maximum von £ 500.000 soll auf bis zu 4% des Jahresumsatzes eines Unternehmens oder max. £17.5 Mio. erhöht werden. Dies entspricht den vergleichbaren Regelungen der EU-DS-GVO in Art. 83. 

Neue Regelungen in der Schweiz 

Im Gegensatz zum Vereinigten Königreich regelt die Schweiz die Dinge hingegen positiv. Das neue Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) der Schweiz soll am 01.09.2023 in Kraft treten. Die wichtigste Neuerung umfasst die Forderung nach erhöhter Transparenz und Stärkung der Rechte der betroffenen Personen.  

Ausweitung der Informationspflichten gegenüber Betroffenen 

Die erhöhte Transparenz soll unter anderem durch eine Erweiterung der Informationspflichten gewährleistet werden. Diese sind vergleichbar mit den Pflichten aus Art. 13/14 EU-DS-GVO. Ab September nächsten Jahres soll nun auch eine Informationspflicht für die Verarbeitung jeglicher personenbezogenen Daten gelten. Bisher galt dies nur für die Verarbeitung besonders schützenswerter Daten und die Erstellung von Persönlichkeitsprofilen. Außerdem soll die betroffene Person von der verantwortlichen Stelle darüber informiert werden, wenn eine Entscheidung ausschließlich auf automatisierter Verarbeitung beruht. Zusätzlich soll die betroffene Person auch fordern können, dass eine Einzelentscheidung von einer natürlichen Person überprüft werden soll. Eine Einwilligung soll auf jeden Fall bei sog. „Profiling mit hohem Risiko“ notwendig sein. 

Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten 

Vergleichbar mit der aus der EU-DS-GVO bekannten Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, sollen auch nach dem neuen Schweizer DSG alle Datenverarbeitungen vom Verantwortlichen Auftragsbearbeiters (in der EU-DS-GVO Auftragsverarbeiter) dokumentiert werden („Verzeichnis der Bearbeitungstätigkeiten“). Sinngemäß enthalten die Verzeichnisse dieselben Inhalte und Informationen wie sie aus Art. 30 EU-DS-GVO bereits bekannt sind.  

Gesetzliche Regelung der Rolle des Auftragsverarbeiters & Auftragsverarbeitungsvereinbarung 

Die Rolle des Auftragsbearbeiters ist dabei neu und entspricht dem klassischen Auftragsverarbeiter im Sinne der EU-DS-GVO. Die Verarbeitung darf an einen Auftragsbearbeiter nur vertraglich oder durch Gesetz übertragen werden.

Eine weitere Übertragung der Verarbeitung durch den Auftragsbearbeiter an einen Dritten muss vorab durch den Verantwortlichen genehmigt werden. In der DSV finden sich ergänzende Regelungen zu dem dann erforderlichen Vertrag zwischen dem Verantwortlichen und Auftragsbearbeiters.

Die verpflichtenden Inhalte stimmen im Wesentlichen mit den Anforderungen der EU-DS-GVO überein, z.B.: Kategorien der Personendaten sowie der betroffenen Personen; Art und Zweck der Bekanntgabe von Personendaten („Zweck der Verarbeitung“), Datentransfers in weitere Staaten, Empfänger oder Kategorien von Empfänger (bspw. Unter-Auftragsbearbeiter), Anforderungen an Aufbewahrung, Löschung und Vernichtung der Daten, Verpflichtung angemessene Maßnahmen zur Einhaltung der vertraglichen Klauseln.  

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung 

Hinzu kommt – ebenfalls in Anlehnung an die EU-DS-GVO – die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Auch hier entsprechen die schweizerischen Regelungen im Wesentlichen denen des Art. 35 EU-DS-GVO.  

Erhöhung der Sanktionen für Datenschutzverstöße 

Hier hält es die Schweiz wie die UK: Die Sanktionen für Verstöße sollen verschärft werden. Sie erreichen aber bei weitem nicht das Niveau der auf EU-Ebene geregelten Sanktionen. Zwar ist die Rede von „privaten Personen“, jedoch dürfen hier nicht Privatpersonen darunter verstanden werden.

Vielmehr sind hierunter die juristischen Personen des Privatrechts der Schweiz zu verstehen, denn das DSG findet Anwendung auf private Personen und Bundesorgane. Für etwaige Pflichtverletzungen können schweizerische Unternehmen künftig also mit Bußen bis zu 250.000 Franken belegt werden.

Dieser Höchstsatz gilt insoweit für sämtliche mögliche Verfehlungen, also insbesondere Verletzung Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten (hier auf Antrag) und Verletzungen der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen.

Bei dem derzeitigen Wechselkurs (Stand 26.09.2022) entsprächen 250.000 Franken in etwa 261.977,50 €. Im Vergleich zu den EU-DS-GVO Höchstsätzen von 10 Millionen bzw. 20 Millionen Euro also nur ein Bruchteil.  

Gebührenpflichtige Unterstützung des EDÖB 

Auffällig ist hingegen, dass im Gegensatz EU-DS-GVO oder bspw. dem deutschen Bundesdatenschutzgesetz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“) Gebühren für bestimmte Leistungen verlangen. Zum Beispiel für: Stellungnahmen zu einem Verhaltenskodex, Genehmigungen von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, Konsultation aufgrund einer Datenschutz-Folgenabschätzung, Beratung in Fragen des Datenschutzes.

Hier bleibt nur zu hoffen, dass die Gebührenforderungen am Ende nicht zu einem Hindernis für den Datenschutz und die Einhaltung durch die schweizerischen Unternehmen werden. 

Fazit 

Während das Vereinigte Königreich einen eher unternehmensfreundlichen Kurs einschlägt, passt sich die Schweiz mehr den konsumentenfreundlichen Regelungen der EU an und nimmt viele Bestimmungen der EU-DS-GVO in das neue DSG auf.  

Die wesentlichen Änderungen bzw. Angleichungen sollen anhand der nachfolgenden Tabelle veranschaulicht werden.

 

Vergleichstabelle

Einführung

An wen verschicken Sie Ihre Werbemailings, wenn Sie entweder noch gar keine Kundenadressen haben oder Ihren Kundenkreis erweitern wollen?

Sie kaufen sich einfach Empfängeradressen und wandeln, wenn das Werbemailing erfolgreich war, die gekauften Adressen in konkrete Kundenadressen um.

Genau diese Möglichkeit des Adresskaufs und damit der Kundengewinnung steht gerade auf der Kippe. Obwohl es weit verbreitete Geschäftspraxis ist und bislang unter der Datenschutz-Grundverordnung (DS-GVO) auch als allgemein zulässig gilt, sprachen sich kürzlich einige Datenschutzbeauftragte der Länder dagegen aus.

Ist das das Aus des Adresshandels und somit das des Direktmarketings?

Was bedeutet Adresshandel?

Adresshandel bezeichnet den An- und Verkauf von Postadressen deutscher Haushalte und ist damit wichtiger Teil des Direktmarketings von Unternehmen. Adressagenturen stellen möglichst aktuelle Adressdaten zusammen, aus denen sich Unternehmen passgenau ihre Zielgruppe herausfiltern können. An diese Adressen verschicken sie dann maßgeschneiderte Werbung wie z.B. Flugblätter, um im Idealfall die Empfänger zu neuen Kunden zu machen. Es ist quasi die analoge Version von individualisierten Werbeanzeigen im Internet, welche anhand von Analysen des Nutzerverhaltens geschaltet werden.

Ist Adresshandel mit der DS-GVO und dem BDSG vereinbar?

Bislang galt der Adresshandel unter der DS-GVO und dem Bundesdatenschutzgesetz (BDSG) deshalb als allgemein zulässig, da hierfür berechtigte Geschäftsinteressen der Unternehmen (Erweiterung des Kundenstammes) vorliegen, die die individuellen Einwilligungen der Betroffenen entbehrlich machen. Geregelt ist dies in § 28 BDSG. 

Der Großteil der Datenschutzbehörden der Länder spricht sich nun aber gegen eine allgemeine Zulässigkeit aus und verlangt eine vorherige freiwillige Einwilligung der betroffenen Personen, bevor deren Adressen an Unternehmen verkauft werden. Die Geschäftsinteressen der ankaufenden Unternehmen reichen ihrer Ansicht nach nicht aus und würden den Schutz der persönlichen Daten der Betroffenen nicht überwiegen. Das liegt unter anderem daran, dass Privatpersonen Direktwerbung als Folge des Adresshandels eher als störend empfinden und sich oftmals fragen, woher die werbenden Unternehmen ihre Adressen überhaupt haben.

Setzen sich die Datenschützer durch, bedeutet das für die Praxis, dass der Adresshandel in der derzeitigen Form kaum noch stattfinden kann, da die Einholung einer vorherigen Einwilligung nahezu unmöglich wäre. Denn:

• Privatpersonen würden dem Verkauf ihrer Adressen auf Nachfrage der Adresshändler wohl eher selten zustimmen.
• Auch wenn Privatpersonen ihre Adressdaten im Rahmen eines Geschäftsabschlusses im Internet für den Verkäufer bereitstellen, folgt daraus nicht, dass sie auch der Verwendung ihrer Adresse durch andere Unternehmen zustimmen.

Einzig die Datenschutzbehörde aus NRW schließt sich dieser Ansicht der Datenschutzbeauftragten der Länder nicht an. Sie hält die derzeitige Praxis des Adresshandels für zulässig und die Bedenken für unbegründet. Dieser Meinung folgt auch der Deutsche Dialogmarketingverband (DDV), welcher die Auffassung der Datenschutzbeauftragten der übrigen Länder nur für eine von vielen möglichen Rechtsmeinungen hält.

Wie geht es nun weiter?

Der Adresshandel soll nach Angaben der Berliner Datenschutzbehörde auch Thema der nächsten bundesweiten Datenschutzkonferenz (DSK) im November 2022 werden. Wir müssen abwarten, ob und mit welchem Inhalt die DSK einen Beschluss in Bezug auf den Adresshandel erlassen wird. Bis dahin bleibt alles beim Alten und Unternehmen können ihr derzeitiges Direktmarketing problemlos weiterführen.

Was passiert jedoch, wenn die DSK einen ablehnenden Beschluss erlassen sollte? Können die bisher gekauften Adressen noch weiterverwendet werden?

Die Antworten auf diese Fragen sind noch ungewiss und können derzeit noch nicht abschließend getroffen werden. Zwar sind die Beschlüsse der DSK rechtlich nicht bindend, aber sie haben maßgeblichen Einfluss auf die Entwicklung des Datenschutzrechts in Deutschland und sollten deshalb auch genauestens verfolgt werden. Verbindliche Änderungen treten dann erst mit möglichen Anpassungen der DS-GVO und des BDSG ein.

Fazit

Die Bedenken der Datenschutzbeauftragten sagen erst einmal nichts über die Zulässigkeit des Adresshandels aus. Dieser ist nach der derzeitigen Rechtslage mit dem Datenschutzrecht vereinbar und wird auch nicht automatisch durch einen möglichen Beschluss der DSK unzulässig.

Dennoch heißt es abwarten, wie sich die Vereinbarkeit von Datenschutz und Adresshandel weiterentwickelt. Ob sich die DSK in Zukunft konkret gegen den Adresshandel aussprechen wird und wie sich dies auf die Rechtslage auswirkt, wird noch spannend. Vor allen Dingen für Adresshändler und für (junge) Unternehmen, die zu Werbezwecken Adressdaten kaufen.

Haben Sie hierzu noch gezielte Fragen? Wir stehen Ihnen gerne zur Verfügung.

Ihre Ansprechpartner: RAin Sandra Schulte und RA Tilo Wendt

Einführung  

Beschäftigtendatenschutz und Datenschutzverstoß: Es geht um die Überwachung der Mitarbeitenden. Wie weit darf sie gehen, wo sind die Grenzen und welches Gesetz regelt es. Anders gefragt: was darf der Chef?  Noch gibt es kein eigenes Gesetz, dafür aber zahlreiche Regelungen, die Anhaltspunkte liefern. Die Verhandlungen in Richtung einheitliches Beschäftigtenschutzgesetz laufen jedoch wieder an, nachdem der letzte Entwurf von 2010 nie verabschiedet wurde. Bisher hat nur Finnland ein solches Beschäftigtendatenschutzgesetz, die übrigen EU-Länder arbeiten mit Einzelfallregelungen.  Es gilt also, die aktuellen Entwicklungen auf dem Schirm zu halten. Aktuell regelt insbesondere die DSG-VO den Beschäftigtendatenschutz. Sollte es aber zu einem eigenen Gesetz kommen, müsste die DSG-VO weiter konkretisiert werden.  

Wo stehen wir im Beschäftigtendatenschutz derzeit? 

Die Kernaussage der DSG-VO hinsichtlich des Beschäftigtendatenschutz laut §26 BDSG ist, dass personenbezogene Daten der Arbeitnehmer erhoben werden dürfen, wenn sie für die Erfüllung, Aufnahme oder Beendigung eines Arbeitsverhältnisses erforderlich sind. Die Erhebung bedarf dann nicht der Einwilligung des Betroffenen.   Darunter fallen  

• Bewerberdaten
• allgemeine Personen- und Kontaktdaten 
• Kontoverbindung 
• Tätigkeitsprofil bzw. Position 
• Gesundheitsdaten 
• Religionszugehörigkeit (notwendig für die Lohnabrechnung) 

Für die Erhebung darüberhinausgehender Daten bedarf es möglicherweise der Einwilligung des Betroffenen.  

Warum brauchen wir ein Beschäftigtendatenschutzgesetz? 

Die Frage ist: Wie soll mit besonderen Situationen umgegangen werden? Wie steht es z.B. mit der Videoüberwachung in der Produktion? Darf der Chef die Emails lesen, die vom Arbeitsrechner aus versendet werden? Darf er die Chronik der Internetnutzung überwachen?   Die allgemein gehaltenen Regelungen der DSG-VO sind wenig konkret und nur bedingt für Einzelfälle ausgelegt, sie decken eher Standardsituationen ab. Es ist schwer zu klären, welche Daten denn nun wirklich für die Erfüllung, Aufnahme oder Beendigung eines Arbeitsverhältnisses erforderlich sind.   Die Interessen von Beschäftigten und Vorgesetzten können sehr weit auseinander liegen. Missbrauchsmöglichkeiten gibt es auf beiden Seiten.  Das entscheidende Argument für mehr Beschäftigtendatenschutz ist das Machtgefälle zwischen Beschäftigten und ihren Vorgesetzten. Hier kann man nicht von „gleichem Recht für alle“ sprechen. Die Abhängigkeit von Lohn und Arbeitsplatz drängen den Beschäftigten in eine unsouveräne Rolle und lassen ihn manch bittere Pille schlucken aus Angst vor Konsequenzen. Eine solche bittere Pille sind z.B. Daten, die über ihn erhoben werden, gegen die er sich aber nicht zu wehren traut.   Ein Gesetz könnte Klarheit und Schutz für alle Beteiligten schaffen.  

Ausblick 

Der vom Bundesministerium für Arbeit und Soziales gegründete unabhängige Beirat und der Deutsche Gewerkschaftsbund haben Empfehlungen und Vorschläge ausgearbeitet, die jedoch zum Teil nicht sehr detailreich ausfallen. Bei der Ausgestaltung steht dem Gesetzgeber also noch ein großer Spielraum offen.   Immerhin, die Empfehlungen und der Gesetzesentwurf wurden bereits veröffentlicht (s.u.). Vor dem Hintergrund der Festlegung im Koalitionsvertrag rückt es in den Bereich des Möglichen, dass ein Gesetz noch in dieser Legislaturperiode erlassen werden könnte. Mal sehen, wie der Gesetzgeber die Entwürfe ausarbeitet und was Bundestag und Bundesrat dazu sagen.  Wenn Sie weiterführende Fragen zum Thema Beschäftigtendatenschutz haben, zögern Sie nicht, uns anzusprechen.  

• Arbeitsrecht: Patrick Jardin 
• Datenschutz: Sandra Schulte und Tilo Wendt

Downloads

DGB-Entwurf-eines-Beschaeftigtendatenschutzgesetzes Ergebnisse-Beirat-Beschaeftigtendatenschutz

Einleitung 

Dieses Jahr werden erste Stellen für die Zertifizierung von IT-Produkten und –Dienstleistungen akkreditiert. Diese Zertifizierung basiert auf der Datenschutzgrundverordnung und soll sicherstellen, dass digitale Produkte und Dienstleistungen datenschutzkonform umgesetzt wurden. Dafür wurde eine einheitliche Grundlage für ein europäisches Akkreditierungs- und Zertifizierungsverfahren geschaffen. 

Die Einrichtung einer DS-GVO-Zertifizierung wurde bereits seit 2016 immer wieder diskutiert, jedoch wurde man sich bisher nicht einig über die formalen und technischen Voraussetzungen. Diese Uneinigkeit wurde nun verwunden und man erwartet erste Zertifikatsausstellungen in der ersten Jahreshälfte. 

Doch wo erhält man für seine Produkte und Dienstleistungen oder sein Unternehmen die entsprechenden Zertifikate und was sind die notwendigen Voraussetzungen. 

Welche Voraussetzungen muss man für den Erhalt eines Zertifikats erfüllen? 

Haben Sie ein digitales Produkt oder eine digitale Dienstleistung, welches DS-GVO-konform zertifiziert werden soll, können Sie sich künftig an eine entsprechende Zertifizierungsstelle wenden.

Dafür stellen Sie einen Antrag für das Produkt oder die Dienstleistung, welche Sie zertifizieren lassen wollen. Im Rahmen der Überprüfung durch die Zertifizierungsstelle müssen kurz zusammengefasst folgende Angaben vom Antragssteller vorgelegt werden: 

1. Beschreibung des Zertifizierungsgegenstands
2. Angaben über die Verarbeitungsvorgänge u.a. hinsichtlich des Zwecks, des Empfängers oder welche Art von Daten verarbeitet werden 
3. Angabe, ob personenbezogene Daten als Verantwortlicher oder als Auftragsverarbeiter verarbeitet werden 
4. Angaben über ein Drittlandstransfer.

Im Anschluss erfolgt das Zertifizierungsprüfverfahren. Dieses Verfahren stellt eine datenschutzrechtliche Überprüfung dar, die geeignet sein muss, die ordnungsgemäße Umsetzung datenschutzrechtlicher Anforderungen sowie die Wirksamkeit technisch-organisatorischer Maßnahmen für den Zertifizierungsgegenstand festzustellen und zu belegen.

Dies erfolgt durch Inspektion aller relevanten Geschäftsprozesse, Dokumentenprüfungen, technischen und juristischen Analysen oder Vor-Ort-Begehungen. 

Sofern nicht gesondert geprüft und zugelassen, gilt die Zertifizierung zunächst nur deutschlandweit. 

Hinsichtlich der Kosten lässt sich bisher kein genauer Wert abzeichnen, da es maßgebend auf den Umfang des Prüfungsverfahren ankommt. Dies hat zugleich unmittelbar Auswirkungen auf die Dauer der Bearbeitung. 

Wie lange das Zertifikat wirksam ist, wurde nicht konkret benannt. Beachtet man die bisherigen Abläufe im Rahmen von Zertifizierungen nach der DS-GVO dann gilt gem. Art. 42 Abs.7 DS-GVO das Zertifikat für drei Jahre und kann unter denselben Bedingungen auch wieder verlängert werden. 

Welche Anforderungen werden an die Zertifizierungsstellen gestellt? 

Damit der zuvor erläuterte Zertifizierungsprozess vorgenommen werden kann, muss sich die Zertifizierungsstelle akkreditieren lassen. Der Akkreditierungsprozess einer Zertifizierungsstelle läuft gem. Art. 42, 43 DS-GVO ab und umfasst sechs Prüfungsphasen.

In Deutschland prüft die Deutsche Akkreditierungsstelle (DAkks) mit der entsprechenden Landesdatenschutzbehörde eingegangene Anträge und nimmt bei Erfüllung aller Prüfungsphasen sowie unter Berücksichtigung der Einschätzung des europäischen Datenschutzausschusses (EDSA) eine Akkreditierung vor.

In NRW haben bereits mehrere Unternehmen diesen Akkreditierungsprozess beantragt und fast vollständig durchlaufen, sodass bald einige Zertifizierungsstellen ihre Arbeit aufnehmen können. 

Fazit – Braucht man das? 

Für ein Unternehmen kann sich die Zertifizierung im Rahmen von Kundengewinnung und Werbemaßnahmen durchaus vorteilhaft auswirken. Die betroffenen Personen erhalten somit einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte oder Dienstleistungen. 

Durch eine Zertifizierung wird somit das Vertrauen von Kunden in das Produkt schneller gewonnen als ohne. Denn man erhält nicht nur einen Datenschutznachweis auf dem Papier, sondern es wird auch gewährleistet, dass die technischen Voraussetzungen datenschutzkonform eingerichtet wurden. 

Andererseits bedeutet es natürlich mehr Arbeit und mehr Kosten. Zwingend erforderlich ist eine Zertifizierung nicht. Daher ist es eine Frage der Abwägung seitens des Unternehmens, ob dieser Weg beschritten wird oder eben nicht. Bei kleineren oder mittelgroßen Unternehmen ist eine Abwägung zwischen Kosten und Nutzen einer Zertifizierung besonders ausschlaggebend, da diese in der Regel hohe Zertifizierungskosten nicht aufwenden können. Daher soll dieser Umstand im Zertifizierungsverfahren besonders berücksichtigt werden gem. Art. 42 Abs.1 S.2 DS-GVO. 

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

Einführung 

Es ist bereits ständige Praxis, dass Social Media Angebote oder andere digitale Inhalte als “umsonst” oder “kostenlos” ausgeschildert werden, da kein Geld für die Leistungen verlangt wird.

Dennoch generieren die Anbieterinnen und Anbieter teils sehr große Umsätze im Zusammenhang mit diesen Angeboten. Das liegt daran, dass die Konsumenten zwar kein Geld für die Leistungen zahlen, aber ihre personenbezogenen Daten zur Verarbeitung freigeben. Sie zahlen also mit ihren Daten, welche die Unternehmen weiterveräußern oder anderweitig kommerzialisieren, um das Geschäft profitabel zu machen. Verarbeitung und Weiterveräußerung dienen meist der Platzierung von passgenauer Werbung.  

Bislang war die Rechtslage in solchen Fällen umstritten; es bestand weitgehend Uneinigkeit darüber, wie solche Verträge zivil- und auch datenschutzrechtlich einzuordnen waren, insbesondere ob und inwieweit das Verbraucherschutzrecht Anwendung finden sollte.

Die Rechtsunsicherheit rührte vor allem daher, dass es keine ausdrücklichen gesetzlichen Regelungen gab. Dies ändert sich nun mit der Umsetzung der europäischen Richtlinie zu digitalen Inhalten und Dienstleistungen (DIDRL (EU) 2019/770), welche am 01. Januar 2022 zur Umsetzung in nationales Recht in Kraft tritt.

Demnach ist das Bezahlen mit Daten künftig in §§ 312 Abs. 1a, 327 Abs. 3 BGB n.F. gesetzlich geregelt und sorgt vor allem für einen besseren Verbraucherschutz, da das gesamte Verbraucherschutzrecht nun Anwendung findet. Gleichzeitig wirft die neue Regelung aber auch einige datenschutzrechtliche Fragen auf.   

Auf die Neuregelungen und die von ihr aufgeworfenen datenschutzrechtlichen Fragen soll in diesem Beitrag eingegangen werden. 

Gleichstellung von Daten und Geld 

§ 312 Abs. 1a BGB n.F. besagt, dass Verbraucherinnen und Verbraucher als vertragliche Gegenleistung personenbezogene Daten bereitstellen können, also die Herausgabe der Daten die Gegenleistung zur Bereitstellung einer Dienstleistung oder eines Produktes ist.

Demnach wird eine Geldzahlung mit der Herausgabe von Daten künftig gleichgestellt. Unternehmen unterliegen in diesen Fällen dann aber auch allgemeinen Informationspflichten gegenüber den Konsumenten ihrer digitalen Inhalte. Sie müssen die Hauptleistungspflichten des Vertrages genau benennen, also zuvor explizit darauf hinweisen, dass mit personenbezogenen Daten bezahlt wird. Darüber hinaus muss für Verbraucherinnen und Verbraucher klar erkennbar sein, zu welchen Zwecken ihre Daten verwendet werden. 

Aus der Neuregelung folgt zudem, dass das Verbraucherschutzrecht beim Bezahlen mit Daten unmittelbare Anwendung findet. Das heißt, dass die Verträge seitens der Verbraucherinnen und Verbraucher beispielsweise innerhalb einer 14-tägigen Frist auch ohne Grund widerrufen werden können; gleichzeitig stehen Anbieterinnen und Anbietern aber auch Kündigungsrechte zu.

Die zivilrechtlichen Normen zum Verbraucherschutz finden allerdings keine Anwendung in Fällen, in denen die Bereitstellung der personenbezogenen Daten für die Erfüllung des Vertrages erforderlich ist und die Daten zu keinem anderen Zweck verarbeitet werden, vgl. § 327 Abs. 3 i.V.m. § 312 Abs. 1a S. 2 BGB n.F. 

Wahrung des Datenschutzes 

Neuregelungen bezüglich des Datenschutzes ergeben sich nicht aus der DIDRL. Der Datenschutz ist also anhand der Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) zu wahren.  

Bedürfnis einer Einwilligung oder einer anderen Erlaubnisgrundlage für die Datenverarbeitung? 

Offen ist, ob beim Bezahlen mit Daten eine Einwilligung oder eine andere Erlaubnisgrundlage zur Verarbeitung der personenbezogenen Daten im Sinne des Art. 6 Abs. 1 S. 1 lit. b-f DS-GVO einzuholen ist. Zur Datenverarbeitung bedarf es immer einer konkreten Erlaubnis beziehungsweise eines konkreten erlaubten Anlasses, sodass dies auch für Verträge gilt, bei denen die Bereitstellung der Daten die vertragliche Gegenleistung darstellt.

Das neue Vertragsmodell stellt für sich also keinen eigenen Erlaubnistatbestand dar. In Betracht kommen in Fällen vom Bezahlen mit Daten vor allem die Verarbeitung zur Vertragserfüllung gem. Art. 6 Abs. 1 S.1 lit. b DS-GVO, die Verarbeitung aufgrund berechtigter Interessen des Unternehmens gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO oder eine Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO. 

Zunächst könnte im Falle des Bezahlens mit Daten daran gedacht werden, die Verarbeitung der personenbezogenen Daten der Konsumenten als für die Vertragserfüllung erforderlich und somit gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO als gerechtfertigt anzusehen. Nach Einschätzung des Europäischen Datenschutzausschusses (EDSA) ist dies jedoch grundsätzlich zu verneinen (vgl. EDSA Guidelines 2/2019).

Es könne kaum argumentiert werden, dass der Vertrag über die Bereitstellung und Nutzung des jeweiligen Onlinedienstes nicht erfüllt worden sei, wenn bspw. keine personalisierte Werbung stattgefunden habe. Dem stehe auch nicht entgegen, dass die Bereitstellung der Dienstleistung oder des Produktes mit der gezielten Werbung finanziert werde. Damit Art. 6 Abs. 1 S.1 lit. b DS-GVO greife, müsse ein enger sachlicher Zusammenhang zwischen der Datenverarbeitung und dem Zweck des Vertrages zur Bereitstellung des Onlinedienstes bestehen.

Daran fehle es ist den meisten Fällen jedoch, da die Unternehmen die personenbezogenen Daten gerade nicht benötigen, um ihre vertraglich vereinbarten Leistungen zu erbringen, namentlich eine Plattform oder einen anderen Onlinedienst zur Verfügung zu stellen. Anbieterinnen und Anbieter würden die personenbezogenen Daten der Konsumenten lediglich als Gegenleistung annehmen.

Die Herausgabe der Daten sei also das Äquivalent zur Geldleistung, die ebenfalls für eine Vertragserfüllung seitens des Unternehmens nicht erforderlich sei; die Leistung könne auch ohne die Datenverarbeitung erfolgen und gehe nicht notwendig mit ihr einher. Nach Ansicht des EDSA ist der Erlaubnistatbestand der Erforderlichkeit zur Vertragserfüllung also restriktiv auszulegen. Dem schließen sich auch viele Stimmen in der Literatur an. Art. 6 Abs. 1 S. 1 lit. b DS-GVO dürfte somit in der Regel keine ausreichende Erlaubnisgrundlage darstellen.

Beim Bezahlen mit Daten könnte die Datenverarbeitung ein berechtigtes Interesse des Unternehmens begründen und deshalb erlaubt sein. Dies wäre anhand einer Interessenabwägung im Einzelfall zu bestimmen. Die Interessen der Anbieterinnen und Anbieter müssen demnach die Interessen der Betroffenen überwiegen. Daraus folgt, dass eine Datenverarbeitung nicht ohne Weiteres auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden kann, sondern es stets vom Einzelfall anhängt, was zu einer erheblichen Rechtsunsicherheit führt.   

In der Praxis wird die Verarbeitung personenbezogener Daten bisher in den meisten Fällen auf eine Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a DS-GVO gestützt. Das heißt, dass die Unternehmen die Nutzerinnen und Nutzer der digitalen Inhalte vor Vertragsschluss darüber informieren müssen, dass sie im Anschluss die personenbezogenen Daten verarbeiten und auch zu welchen Zwecken sie dies tun.

Verbraucherinnen und Verbraucher müssen dieser Verarbeitung sodann aktiv und freiwillig zustimmen, damit die konkrete Datenverarbeitung seitens des Unternehmens rechtmäßig ist. Daraus folgt erneut, dass die Unternehmen einige substantiierte Informationspflichten über die Datenverarbeitung und deren Zwecke treffen, da eine Einwilligung nur freiwillig sein kann, wenn die Betroffenen genau wissen, was mit ihren Daten geschieht, also welchen Verwendungen sie im Endeffekt zustimmen.  

Vereinbarkeit mit dem Kopplungsverbot? 

Es fragt sich zudem, ob eine Einwilligung im Rahmen eines Vertragsschlusses bei dem mit personenbezogenen Daten gezahlt wird, mit dem Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO vereinbar ist. Das Kopplungsverbot besagt, dass eine Einwilligung der betroffenen Person nicht freiwillig, also damit unwirksam ist, wenn sie an einen Vertrag gekoppelt ist, das heißt für einen Vertragsschluss vorausgesetzt wird.  

Deshalb stellt sich die Frage, ob eine Einwilligung in die Verarbeitung personenbezogener Daten freiwillig sein kann, wenn der oder die Betroffene dafür eine vertraglich vereinbarte Leistung erhält. Hierfür spricht der Grundsatz der Privatautonomie, wonach jede Person die Freiheit besitzt, einen Vertrag mitsamt seiner rechtlichen Konsequenzen nach seinem Belieben zu schließen oder eben nicht.

Da ein Verbraucher oder eine Verbraucherin sich im Fall des § 312 Abs. 1a BGB n.F. aktiv dafür entscheidet mit personenbezogenen Daten zu bezahlen, liegt eine Freiwilligkeit der Einwilligung nahe. Dies ist vor allem dann der Fall, wenn die Nutzerinnen und Nutzer auf die digitalen Inhalte und Dienstleistungen nicht angewiesen sind, also eine freiwillige Entscheidung in jedem Fall möglich bleibt.

Ein Widerspruch zu den Vorgaben der DS-GVO besteht vom Wortlaut her also erst einmal nicht. 

Gegenstimmen führen jedoch an, dass das Persönlichkeitsrecht der Betroffenen hierdurch stark kommerzialisiert wird. Genaueres dazu wird sich allerdings erst ab Inkrafttreten der neuen Regelungen des BGB ergeben. Rechtsprechung zu diesem Thema ist also abzuwarten um die Fragestellung letztlich abschließend klären zu können.  

Was darf der Unternehmer mit den erlangten Daten tun?  

Wenn mit Daten für digitale Inhalte bezahlt wird, stimmen die Konsumenten dieser Inhalte in der Regel auch einer etwaigen Verarbeitung ihrer personenbezogen Daten zu (s.o.). Berechtigt sind die Unternehmen dann zu allem, worin zuvor im Wege der Einwilligung zugestimmt wurde.

Pflicht der Anbieterinnen und Anbieter ist dann aber auch eine umfassende vorherige Information der Verbraucherinnen und Verbraucher darüber, zu welchen Zwecken die personenbezogenen Daten verarbeitet und verwendet werden (s.o.).  

In der Praxis erfolgt die Datenverarbeitung meist zur Platzierung personalisierter Werbung oder zur Entwicklung neuer Angebote und Inhalte. Außerdem werden die Daten auch häufig an Drittanbieter weiterveräußert. 

Auswirkungen bei Angabe falscher Daten 

Sofern zur Bezahlung falsche Daten angegeben wurden, haben die Betroffenen ihre vertraglichen Hauptleistungspflichten verletzt. Nach Erwägungsgrund 24 der DIDRL bestehen dann die vertraglichen Rechtsbehelfe. Es wäre also denkbar, dass das Unternehmen auf Vertragserfüllung, also auf Angabe der richtigen Daten klagen könnte.

Dies wäre aber etwas umständlich und wenig interessengerecht, da die Verbraucherin oder der Verbraucher mit der falschen Angabe zuvor deutlich macht, dass sie oder er mit der Datenverarbeitung nicht einverstanden ist. Eine Kündigung des Vertrages scheint in solchen Fällen einfacher und auch angemessener zu sein. Dasselbe gilt, wenn Daten gegen Ware, anstatt gegen den Zugang zu einem Onlinedienst herausgegeben werden. 

Anbieterinnen und Anbieter können den Vertrag mit Inkrafttreten der Neuregelungen nach dem Verbraucherrecht kündigen, wenn ihnen ein Festhalten am Vertrag gem. § 327q Abs. 2 BGB n.F. nicht zumutbar ist. Das dürfte insbesondere dann der Fall sein, wenn die Daten gar nicht herausgegeben wurden, also die vertraglich zugesagte Gegenleistung nicht erfolgt ist.

Gleiches gilt, wenn eine Einwilligung zur Verarbeitung widerrufen und eine weitere Verarbeitung damit explizit untersagt wurde. Dies könnte auch bei der Verwendung falscher Daten gelten, weil es den Unternehmen durch die falschen Daten kaum gelingen wird, ihr vertragsgemäßes Ziel, namentlich die Schaltung personalisierter Werbung, zu erreichen.  

Auswirkungen eines Widerrufs durch die Betroffenen  

Gem. § 355 BGB können Verbraucherinnen und Verbraucher sich ohne einen bestimmten Grund innerhalb der gesetzlich festgelegten Frist von 14 Tagen vom Vertrag lösen. Macht der oder die Betroffene von seinem oder ihrem Widerrufsrecht Gebrauch, wandelt der einstige Vertrag sich in ein Rückgewährschuldverhältnis um, sodass die erbrachten Leistungen zurückzugewähren sind.

Das bedeutet im konkreten Fall, dass Verbraucherinnen und Verbraucher keinen Zugang mehr zu den Onlinediensten erhalten, aber dafür auch ihre personenbezogenen Daten von dem jeweiligen Unternehmen nicht mehr verarbeiten werden dürfen; mit dem Widerruf des Vertrages wurde also auch die Einwilligung zur Datenverarbeitung zurückgenommen. Darüber hinaus müssen die Unternehmen die Daten der widerrufenden Partei auch löschen.  

Fazit 

Die Neuregelung im BGB bringt vor allem Klarheit in die zuvor sehr umstrittene und deshalb unsichere Rechtslage. Dies gilt insbesondere in Bezug auf die Anwendbarkeit des Verbraucherschutzrechtes. Bezüglich des Verhältnisses zum Kopplungsverbot der DS-GVO besteht derzeit noch Uneinigkeit, vom Wortlaut her dürfte es aber mit dem Bezahlen mit Daten vereinbar sein.  

Für Verbraucherinnen und Verbraucher dürften die Änderungen erfreulich sein, da sie durch die Anwendbarkeit der Verbraucherschutzvorschriften besser geschützt werden. Dies zeigt sich vor allem in der erhöhten Transparenz und Datensouveränität. Betroffene können künftig gezielt entscheiden, inwiefern sie ihre Daten herausgeben und damit bezahlen wollen, oder ob sie die Verarbeitung eher ablehnen und für die digitalen Inhalte eine Geldzahlung leisten möchten.

Außerdem können sie sich nun durch einen Widerruf gem. § 355 BGB leichter vom Vertrag lösen. Auf der anderen Seite können aber auch Unternehmen profitieren, da ihnen nun Kündigungsrechte zustehen und sie im Falle eines Widerrufs der Einwilligung ihre Produkte und Dienstleistungen nicht weiterhin kostenlos zur Verfügung stellen müssen.