Ein Gastbeitrag von Dr. Andreas Sattler im Rahmen der Artikelreihe „Disconnecting Frameworks” in Kooperation mit der PinG
Für das Verhältnis zwischen Schuldrecht und Datenschutzrecht heißt es am 25.05.2018 „Zurück auf Start“. Ab diesem Tag ist die europäische Datenschutz-Grundverordnung (DSGVO) anwendbar und das Bundesdatenschutzgesetz (BDSG) hat – dann in Form des BDSG 2018 – nur noch eine ergänzende Funktion. Zwar beruhte das deutsche Datenschutzrecht auch bislang maßgeblich auf europäischem Sekundärrecht (DatenschutzRL 95/46/EG und eprivacyRL 2002/58/EG). Allerdings verbleibt den Mitgliedstaaten unter der DSGVO ein deutlich geringerer Spielraum für nationale Regelungen.
Weil die europäische DSGVO auch den Umgang mit personenbezogenen Daten im Rechtsverhältnis zwischen Privatrechtsubjekten weitgehend vereinheitlicht, hat sie automatisch Auswirkungen auf das nationale Schuldrecht. Konsequenz: Das datenschutzrechtliche Handlungsverbot mit Erlaubnisvorbehalt (Art. 6 Abs. 1 S. 1 DSGVO) und die schuldrechtliche Handlungserlaubnis mit Verbotsvorbehalt (§§ 311 Abs. 1, 134 BGB) prallen unvermittelt aufeinander. Dieser Konflikt ist der anwaltlichen Praxis zwar bekannt, wird wissenschaftlich aber erst in jüngerer Zeit systematisch aufgegriffen (hierzu detailliert: JZ 2017, 1036 ff. ). Das hat einen guten Grund.
Auf den ersten Blick ist die Schnittmenge zwischen Datenschutz- und Schuldrecht gering. Zwar regelt Art. 6 Abs. 1 S. 1 lit. a iVm. Art. 7 DSGVO die Einwilligung des Datensubjekts als wichtigen Erlaubnistatbestand für den Umgang mit personenbezogenen Daten. Allerdings ist diese Einwilligung gemäß Art. 7 Abs. 3 DSGVO – wie zuvor auch nach dem BDSG – jederzeit und ohne Grund mit Wirkung für die Zukunft widerruflich. Aus schuldrechtlicher Perspektive kann die datenschutzrechtliche Einwilligung deshalb als unvollkommene Verbindlichkeit (Langhanke/Schmidt-Kessel, EuCML 2015, 218 [221]) oder als einfache, einseitige Einwilligung auf der untersten Stufe der schuldrechtlichen Gestattungen (Ohly, Die Einwilligung im Privatrecht, 2002, S. 144) eingeordnet werden.
Folgt man der derzeit herrschenden Ansicht, so hat das Datenschutzrecht mit der frei widerruflichen Einwilligung den Kaiser der Privatautonomie gekrönt. Die Einwilligung bietet ein Maximum an Selbstbestimmung, indem sie dem Datensubjekt jederzeitige Gestaltungsfreiheit garantiert. Die im Schuldrecht sonst übliche Selbstbindung als Kehrseite der Selbstbestimmung entfällt. Damit etabliert eine jederzeit frei widerrufliche Einwilligung ein voraussetzungsloses „Reue-Recht“. Allenfalls in Fällen evidenten Missbrauchs könnte die Ausübung des Widerrufs untersagt werden (§ 242 BGB). Soweit die übliche Lesart von BDSG und DSGVO.
Dieses traditionelle Verständnis wird derzeit durch die Gesetzgebungsverfahren der EU in Frage gestellt. Parallel zu den Verhandlungen über die DSGVO hat die Kommission – bezeichnender Weise unter Federführung einer anderen Generaldirektion – eine weitere Maßnahme im Rahmen ihrer Agenda für den digitalen Binnenmarkt angestoßen. Noch bevor der Krönungszug der „Einwilligung“ als prunkvollem Kaiser der Privatautonomie überhaupt begonnen hat, wird nun bereits geflüstert: „Der Kaiser ist nackt.“
In ihrem Vorschlags für eine Richtlinie über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte vom 9.12.2015 („DIRL-V“, COM (2015) 634 final) erkennt die EU-Kommission personenbezogene Daten als vertraglichen Leistungsgegenstand an.
Gemäß Art. 3 Abs. 1 DIRL-V will die Kommission den Anwendungsbereich der Richtlinie auf Verträge erstrecken,
„auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalte bereitstellt oder sich hierzu verpflichtet und der Verbraucher als Gegenleistung einen Preis zahlt oder aktiv eine andere Gegenleistung als Geld in Form personenbezogener oder anderer Daten erbringt“.
Weil die Möglichkeit zur Selbstbindung die Grundlage von gegenseitigen Leistungsversprechen ist, wirft dieser Vorschlag die Frage auf, wie eine jederzeit widerrufliche datenschutzrechtliche Einwilligung mit diesem Richtlinienvorschlag vereinbar ist.
Anhand von Art. 13 Abs. 2 lit. b DIRL-V wird die Brisanz des Konflikts zwischen DSGVO und DIRL-V vollends deutlich: Nach der DIRL-V soll ein Anbieter digitaler Inhalte, wenn ein Verbraucher den Vertrag beendet, zwar „Maßnahmen ergreifen”, um die künftige Nutzung von personenbezogenen Daten zu unterlassen (Art. 13 Abs. 1 b) DIRL-V). Ausgenommen hiervon sind jedoch „vom Verbraucher bereitgestellte Inhalte […], die der Verbraucher gemeinsam mit anderen erzeugt hat, die die Inhalte [nach Beendigung des Vertrags durch den Verbraucher] weiterhin nutzen“.
Weil der Begriff „Inhalte“ auch personenbezogene Daten einbeziehen kann (vgl. ErwägungsG 15, 37 und 38 DIRL-V sowie Dok: ST 14827 2016 INIT vom 1.12.2016, S. 11/Nr. 29), ist das Verhältnis zwischen DIRL-V und DSGVO komplexer, als es der Abgrenzungsversuch in Art. 3 Abs. 8 DIRL-V suggeriert („Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bleibt von dieser Richtlinie unberührt“). Vermutlich war der EU-Kommission die Tragweite von Art. 3 Abs. 1 und Art. 13 Abs. 2 lit. b DIRL-V bei deren Ausarbeitung nicht vollständig bewusst.
Obwohl mittlerweile offenkundig ist, dass zwischen Art. 7 Abs. 3 DSGVO und Art. 13 Abs. 2 lit. b DIRL-V ein Konflikt besteht, haben die europäischen Institutionen noch keine Lösung parat. Derzeit wird die Strategie verfolgt, das Problem den Mitgliedsstaaten zu überlassen. Immerhin schlägt der Rat der Europäischen Union mittlerweile zusätzliche Erwägungsgründe für den DIRL-V vor, um die Kollision abzuschwächen (Dok 9901/17 ADD 1 v. 1.6.2017):
Hier ist nicht der Raum für eine Diskussion, ob personenbezogene Daten bereits als Leistungsgegenstand kommerzialisiert sind und inwieweit dies rechtpolitisch erwünscht ist. Unterstellt man aber, dass Art. 3 Abs. 1 und Art. 13 Abs. 1 lit. b DIRL-V verabschiedet und durch die Mitgliedstaaten umgesetzt werden, so bleiben den nationalen Gerichten mehrere Optionen.
Die letzte Variante (hierzu ausführlich: JZ 2017, 1036 [1043]) hätte jedoch sehr weitreichende rechtspolitische Konsequenzen: Nach diesem Verständnis würde die Möglichkeit eröffnet, schuldrechtlich bindende Verträge über personenbezogene Daten als Leistungsgegenstand abzuschließen. Die Grenzen solcher Datenüberlassungsverträge müssten unter Beachtung der grundrechtlichen Schutzpflichten durch die Gerichte bei Anwendung der zivilrechtlichen Generalklauseln (§§ 305 ff., 314, 138, 242 BGB) herausgearbeitet werden. Der Diskussion darüber, ob dieser in Art. 13 Abs. 2 lit. b DIRL-V angelegte Weg wünschenswert ist, sollten sich die politisch Verantwortlichen auf europäische Ebene stellen, statt sie in den Erwägungsgründen des DIRL-V zu verstecken.
Dr. Andreas Sattler ist akademischer Rat a.Z. an der LMU München am Lehrstuhl für Bürgerliches Recht, Recht des Geistigen Eigentums und Wettbewerbsrecht (Prof. Dr. Ansgar Ohly). Seine Interessenschwerpunkte sind Grundfragen des Bürgerlichen Rechts, Rechtsgeschichte – insbesondere die Geschichte des Geistigen Eigentums – sowie aktuelle Herausforderungen des Rechts des Geistigen Eigentums und des IT-Rechts. Zuvor war er als Rechtsanwalt im Bereich IT-Recht in Stuttgart tätig.