Auf Kollisionskurs – Datenschutz und Schuldrecht
Ein Gastbeitrag von Dr. Andreas Sattler im Rahmen der Artikelreihe „Disconnecting Frameworks” in Kooperation mit der PinG
Für das Verhältnis zwischen Schuldrecht und Datenschutzrecht heißt es am 25.05.2018 „Zurück auf Start“. Ab diesem Tag ist die europäische Datenschutz-Grundverordnung (DSGVO) anwendbar und das Bundesdatenschutzgesetz (BDSG) hat – dann in Form des BDSG 2018 – nur noch eine ergänzende Funktion. Zwar beruhte das deutsche Datenschutzrecht auch bislang maßgeblich auf europäischem Sekundärrecht (DatenschutzRL 95/46/EG und eprivacyRL 2002/58/EG). Allerdings verbleibt den Mitgliedstaaten unter der DSGVO ein deutlich geringerer Spielraum für nationale Regelungen.
Weil die europäische DSGVO auch den Umgang mit personenbezogenen Daten im Rechtsverhältnis zwischen Privatrechtsubjekten weitgehend vereinheitlicht, hat sie automatisch Auswirkungen auf das nationale Schuldrecht. Konsequenz: Das datenschutzrechtliche Handlungsverbot mit Erlaubnisvorbehalt (Art. 6 Abs. 1 S. 1 DSGVO) und die schuldrechtliche Handlungserlaubnis mit Verbotsvorbehalt (§§ 311 Abs. 1, 134 BGB) prallen unvermittelt aufeinander. Dieser Konflikt ist der anwaltlichen Praxis zwar bekannt, wird wissenschaftlich aber erst in jüngerer Zeit systematisch aufgegriffen (hierzu detailliert: JZ 2017, 1036 ff. ). Das hat einen guten Grund.
Auf den ersten Blick ist die Schnittmenge zwischen Datenschutz- und Schuldrecht gering. Zwar regelt Art. 6 Abs. 1 S. 1 lit. a iVm. Art. 7 DSGVO die Einwilligung des Datensubjekts als wichtigen Erlaubnistatbestand für den Umgang mit personenbezogenen Daten. Allerdings ist diese Einwilligung gemäß Art. 7 Abs. 3 DSGVO – wie zuvor auch nach dem BDSG – jederzeit und ohne Grund mit Wirkung für die Zukunft widerruflich. Aus schuldrechtlicher Perspektive kann die datenschutzrechtliche Einwilligung deshalb als unvollkommene Verbindlichkeit (Langhanke/Schmidt-Kessel, EuCML 2015, 218 [221]) oder als einfache, einseitige Einwilligung auf der untersten Stufe der schuldrechtlichen Gestattungen (Ohly, Die Einwilligung im Privatrecht, 2002, S. 144) eingeordnet werden.
Folgt man der derzeit herrschenden Ansicht, so hat das Datenschutzrecht mit der frei widerruflichen Einwilligung den Kaiser der Privatautonomie gekrönt. Die Einwilligung bietet ein Maximum an Selbstbestimmung, indem sie dem Datensubjekt jederzeitige Gestaltungsfreiheit garantiert. Die im Schuldrecht sonst übliche Selbstbindung als Kehrseite der Selbstbestimmung entfällt. Damit etabliert eine jederzeit frei widerrufliche Einwilligung ein voraussetzungsloses „Reue-Recht“. Allenfalls in Fällen evidenten Missbrauchs könnte die Ausübung des Widerrufs untersagt werden (§ 242 BGB). Soweit die übliche Lesart von BDSG und DSGVO.
Problem erkannt …
Dieses traditionelle Verständnis wird derzeit durch die Gesetzgebungsverfahren der EU in Frage gestellt. Parallel zu den Verhandlungen über die DSGVO hat die Kommission – bezeichnender Weise unter Federführung einer anderen Generaldirektion – eine weitere Maßnahme im Rahmen ihrer Agenda für den digitalen Binnenmarkt angestoßen. Noch bevor der Krönungszug der „Einwilligung“ als prunkvollem Kaiser der Privatautonomie überhaupt begonnen hat, wird nun bereits geflüstert: „Der Kaiser ist nackt.“
In ihrem Vorschlags für eine Richtlinie über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte vom 9.12.2015 („DIRL-V“, COM (2015) 634 final) erkennt die EU-Kommission personenbezogene Daten als vertraglichen Leistungsgegenstand an.
Gemäß Art. 3 Abs. 1 DIRL-V will die Kommission den Anwendungsbereich der Richtlinie auf Verträge erstrecken,
„auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalte bereitstellt oder sich hierzu verpflichtet und der Verbraucher als Gegenleistung einen Preis zahlt oder aktiv eine andere Gegenleistung als Geld in Form personenbezogener oder anderer Daten erbringt“.
Weil die Möglichkeit zur Selbstbindung die Grundlage von gegenseitigen Leistungsversprechen ist, wirft dieser Vorschlag die Frage auf, wie eine jederzeit widerrufliche datenschutzrechtliche Einwilligung mit diesem Richtlinienvorschlag vereinbar ist.
Anhand von Art. 13 Abs. 2 lit. b DIRL-V wird die Brisanz des Konflikts zwischen DSGVO und DIRL-V vollends deutlich: Nach der DIRL-V soll ein Anbieter digitaler Inhalte, wenn ein Verbraucher den Vertrag beendet, zwar „Maßnahmen ergreifen”, um die künftige Nutzung von personenbezogenen Daten zu unterlassen (Art. 13 Abs. 1 b) DIRL-V). Ausgenommen hiervon sind jedoch „vom Verbraucher bereitgestellte Inhalte […], die der Verbraucher gemeinsam mit anderen erzeugt hat, die die Inhalte [nach Beendigung des Vertrags durch den Verbraucher] weiterhin nutzen“.
Weil der Begriff „Inhalte“ auch personenbezogene Daten einbeziehen kann (vgl. ErwägungsG 15, 37 und 38 DIRL-V sowie Dok: ST 14827 2016 INIT vom 1.12.2016, S. 11/Nr. 29), ist das Verhältnis zwischen DIRL-V und DSGVO komplexer, als es der Abgrenzungsversuch in Art. 3 Abs. 8 DIRL-V suggeriert („Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bleibt von dieser Richtlinie unberührt“). Vermutlich war der EU-Kommission die Tragweite von Art. 3 Abs. 1 und Art. 13 Abs. 2 lit. b DIRL-V bei deren Ausarbeitung nicht vollständig bewusst.
… Lösung verbannt.
Obwohl mittlerweile offenkundig ist, dass zwischen Art. 7 Abs. 3 DSGVO und Art. 13 Abs. 2 lit. b DIRL-V ein Konflikt besteht, haben die europäischen Institutionen noch keine Lösung parat. Derzeit wird die Strategie verfolgt, das Problem den Mitgliedsstaaten zu überlassen. Immerhin schlägt der Rat der Europäischen Union mittlerweile zusätzliche Erwägungsgründe für den DIRL-V vor, um die Kollision abzuschwächen (Dok 9901/17 ADD 1 v. 1.6.2017):
- Zunächst wird in Fußnote 28 der Änderungsvorschläge der Wunsch formuliert, die „Richtlinie sollte weder die Gültigkeit der Einwilligung noch die Folgen eines Widerrufs regeln“ [Hervorhebung durch den Autor].
- In Fußnote 29 seines Änderungsvorschlags schlägt der Rat eine Ergänzung der Erwägungsgründe vor, wonach „das Recht des Verbrauchers auf Beendigung des Vertrags gemäß dieser Richtlinie […] das Recht des Verbrauchers auf Widerruf einer Einwilligung zur Verarbeitung der ihn betreffenden personenbezogenen Daten gemäß der [DSGVO] unberührt“ lässt.
- Mit dem Formulierungsvorschlag in Fußnote 30 des Änderungsvorschlags hofft der Rat, den Konflikt loszuwerden. Danach sollen die schuldrechtlichen Folgen, die mit einem Widerruf der datenschutzrechtlichen Einwilligung einhergehen, „nach wie vor Sache des nationalen Rechts der Mitgliedsstaaten“ sein.
Nächste Haltestelle: EuGH
Hier ist nicht der Raum für eine Diskussion, ob personenbezogene Daten bereits als Leistungsgegenstand kommerzialisiert sind und inwieweit dies rechtpolitisch erwünscht ist. Unterstellt man aber, dass Art. 3 Abs. 1 und Art. 13 Abs. 1 lit. b DIRL-V verabschiedet und durch die Mitgliedstaaten umgesetzt werden, so bleiben den nationalen Gerichten mehrere Optionen.
- Erstens könnte die nationale Umsetzung von Art. 13 Abs. 1 lit. b DIRL-V als spezieller gesetzlicher Erlaubnistatbestand zum Umgang mit personenbezogenen Daten interpretiert werden, sofern diese einen Drittbezug haben. Dagegen spricht allerdings, dass der DIRL-V die DSGVO „unberührt“ lassen soll.
- Zweitens könnte Art. 13 Abs. 1 lit. b DIRL-V als konkretisierter Anwendungsfall der datenschutzrechtlichen Generalklausel gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO ausgelegt werden.
- Drittens und letztens kommt eine Auslegung der DSGVO in Betracht, die der Tatsache Rechnung trägt, dass personenbezogene Daten zunehmend als Leistungsgegenstand vereinbart werden. Infolgedessen müsste die in Art. 7 Abs. 3 DSGVO geregelte freie Widerruflichkeit – nach einer Vorlage – durch den EuGH teleologisch auf den Fall der einfachen, einseitigen Einwilligung reduziert werden, wie sie in Art. 4 Nr. 11 DSGVO definiert ist.
Die letzte Variante (hierzu ausführlich: JZ 2017, 1036 [1043]) hätte jedoch sehr weitreichende rechtspolitische Konsequenzen: Nach diesem Verständnis würde die Möglichkeit eröffnet, schuldrechtlich bindende Verträge über personenbezogene Daten als Leistungsgegenstand abzuschließen. Die Grenzen solcher Datenüberlassungsverträge müssten unter Beachtung der grundrechtlichen Schutzpflichten durch die Gerichte bei Anwendung der zivilrechtlichen Generalklauseln (§§ 305 ff., 314, 138, 242 BGB) herausgearbeitet werden. Der Diskussion darüber, ob dieser in Art. 13 Abs. 2 lit. b DIRL-V angelegte Weg wünschenswert ist, sollten sich die politisch Verantwortlichen auf europäische Ebene stellen, statt sie in den Erwägungsgründen des DIRL-V zu verstecken.
Dr. Andreas Sattler ist akademischer Rat a.Z. an der LMU München am Lehrstuhl für Bürgerliches Recht, Recht des Geistigen Eigentums und Wettbewerbsrecht (Prof. Dr. Ansgar Ohly). Seine Interessenschwerpunkte sind Grundfragen des Bürgerlichen Rechts, Rechtsgeschichte – insbesondere die Geschichte des Geistigen Eigentums – sowie aktuelle Herausforderungen des Rechts des Geistigen Eigentums und des IT-Rechts. Zuvor war er als Rechtsanwalt im Bereich IT-Recht in Stuttgart tätig.
