16.01.2017 Zweckbindung personenbezogener Daten
Datenschutz-Grundverordnung versus AGB-Recht - Wendehorst und Graf von Westphalen untersuchen den Umgang mit personenbezogenen Daten
Kurznachricht zu "Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht" von Prof. Dr. Christine Wendehorst und RA Prof. Dr. Friedrich Graf von Westphalen, original erschienen in: NJW 2016 Heft 52, 3745 - 3750.

Kurznachricht zu "Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht" von Prof. Dr. Christine Wendehorst und RA Prof. Dr. Friedrich Graf von Westphalen, original erschienen in: NJW 2016 Heft 52, 3745 - 3750.

Wendehorst und Graf von Westphalen legen im ersten Abschnitt dar, dass in der digitalen Welt zunehmend Geschäftsmodelle Einzug gehalten haben, bei denen Leistungen (soziale Netzwerke, E-Mail-Dienste, Cloud-Speicherplatz etc.) ganz oder teil­weise nicht gegen Zahlung von Geld erbracht werden, son­dern bei denen der Leistungserbringer den wirtschaftlichen Gegenwert aus überwiegend personenbezogenen Daten des Kunden lukriert. Sodann zeigen die Autoren auf, dass die naheliegendste Rechtsgrundlage für die Datenverarbeitung eine freiwillig erteilte Einwilligung des Kun­den wäre. Tatsächlich stützen sich viele Leistungserbringer allerdings auf Art. 6 Abs. 1 lit. b) DSGVO, weil die Verarbeitung der Daten zugleich für die Erfüllung des Vertrags erforderlich ist bzw. vom Anbieter durch selbstgesetzte technische Leis­tungsstandards erforderlich gemacht wird. Zudem wird unter Hinweis auf "berechtigte Interessen" Art. 6 Abs. 1 lit. f) DSGVO herangezogen. Damit aber werden zentrale, an die datenschutzrechtliche Einwilligung geknüpfte Schutzmechanismen der DSGVO unterlaufen. Aus Sicht der Autoren kann dies vom Sinn und Zweck der Regelung nicht umfasst sein. Sie wollen Art. 6 Abs. 1 lit. b) und f) DSGVO teleologisch reduzieren, d.h. immer dann nicht als Rechtfertigungsgrund ausreichen lassen, wenn die Verarbeitung der Kundendaten zu­gleich Entgeltcharakter aufweist. Ob dies der Fall ist, sollte danach entschieden werden, ob die Verarbeitung der Daten einem eigenen kommerziellen Interesse des Anbieters dient (vgl. § 2 Abs. 2 Nr. 11 UKlaG). Dafür streitet insbesondere bei "Gratis"­-Angeboten eine widerlegliche Vermutung. Eine solche teleologische Reduktion bzw. einschränkende Aus­legung wäre vom EuGH vorzunehmen.

Wendehorst und Graf von Westphalen arbeiten im nächsten Abschnitt heraus, dass dann, wenn die Verarbeitung von Kundendaten zugleich Entgelt­charakter hat, "Datenschutzerklärungen" auch ihre Rechtsnatur als bloße Information verlieren: Sie werden ihrem Wesen nach zu Vertragsbestimmungen (vgl. § 305 Abs. 1 Satz 1 BGB) und unterliegen somit in vollem Umfang der AGB-Kontrolle. Der AGB-Kontrolle unterliegen insoweit aber auch vom Anbieter vorformulierte Leistungsbeschreibungen, die eine Datenver­arbeitung überhaupt erst zur Erfüllung des Vertrags "erfor­derlich" machen. Zu den häufigsten Gründen, aus denen derartige Klauseln an der AGB-Kontrolle scheitern können, gehören Intransparenz (§ 307 Abs. 1 Satz 2 und Abs. 3 Satz 2 BGB), Verstöße gegen die Prinzipien von "privacy by design" und "privacy by default" (vgl. Art. 25 DSGVO, § 307 Abs. 2 Nr. 1 BGB) sowie eine deutliche Unausgewogenheit der vertraglichen Rechte und Pflichten (vgl. § 307 Abs. 2 Nr. 2 BGB). Die Autoren zeigen schließlich auf, dass dann, wenn eine Klausel an der AGB-Kontrolle scheitert, sich der Unternehmer vertragsrechtlich nicht auf sie berufen kann. Zudem hat die Verwendung unwirksamer AGB die üb­lichen Konsequenzen in Bezug auf UKlaG, UWG und eine Schadensersatzhaftung nach den Regeln der "c.i.c." (vgl. BGH, Urteil vom 16.07.2008, Az.: VIII ZR 348/06). Selbst wenn der EuGH die von den Autoren vertretene teleologi­sche Reduktion von Art. 6 Abs. 1 lit. b) und f) DSGVO ableh­nen sollte, würde die vertragsrechtliche Unwirk­samkeit der Klauseln weitgehend auf die datenschutzrecht­lichen Rechtfertigungsgründe durchschlagen. Abschließend konstatieren Wendehorst und Graf von Westphalen, dass dann, wenn kein Rechtfertigungsgrund vorliegt, auch die Datennut­zung durch den Anbieter ohne Rechtsgrund erfolgt ist. Er schuldet in diesem Fall gem. §§ 812 Abs. 1 Satz 1, 818 Ab. 2 BGB für diese Nutzung ein marktkonformes Entgelt. Insofern ist auch das AGB-Recht nach wie vor berufen, einen wichtigen Beitrag zum Datenschutz zu liefern: DSGVO und §§ 305 ff. BGB stellen teilweise gleichlaufende, sich teilweise aber auch wechselseitig ergänzende Schutzregime zu Guns­ten des Einzelnen dar.

Dieser Beitrag wurde erstellt von RA Dr. Henning Seel.