litres-logo
Lekka lektura
Poważna lektura
Historia
Książki biznesowe
Wiedza i umiejętności
Psychologia, motywacja
Sport, zdrowie, uroda
Hobby, rozrywka
Dom, dacza
Książki dla dzieci
Dla rodziców
Publicystyka i czasopisma
Ekskluzywne
Szkice
Darmowe książki
Wszystkie 142 gatunki

Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 40

Czcionka:

f) Weitere Erlaubnis bei Einwilligungswiderruf

47

Umstritten ist, ob im Fall des Widerrufs einer Einwilligung vom Verantwortlichen eine gesetzliche Erlaubnis wie die aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO geltend gemacht werden darf, wenn dafür die Tatbestandsvoraussetzungen erfüllt sind. Dagegen wird vorgebracht, dass die Berufung auf einen gesetzlichen Erlaubnistatbestand im Fall einer Einwilligung gegen Treu und Glauben verstoßen würde. Die betroffene Person würde bei einem Widerruf der Einwilligung davon ausgehen, dass sie es im Sinne eines informationellen Selbstbestimmungsrechts in der Hand habe, über die Rechtmäßigkeit der Datenverarbeitung zu entscheiden. Wer im Glauben, allein durch seine Einwilligung den Weg für eine Verarbeitung der sich auf ihn beziehenden Daten freizumachen, sähe sich getäuscht, wenn im Fall des Widerrufs auf eine gesetzliche Erlaubnis Bezug genommen würde.66 Ein solches Verhalten verstieße gegen Treu und Glauben (§ 242 BGB, venire contra factum proprium)67 und würde zu einer Rechtsverwirkung führen. Würde die betroffene Person beim Einholen einer Einwilligung nicht darauf hingewiesen, dass es neben der Einwilligung auch eine gesetzliche Erlaubnis für die Verarbeitung ihrer Daten gäbe, sei das Verhalten „in sich widersprüchlich und damit unzulässig“.68

48

Der Grundsatz von Treu und Glauben wird in der Tat von Art. 5 Abs. 1 lit. a DSGVO als ein die DSGVO prägender Grundsatz hervorgehoben. Gleichwohl greift ein Rückgriffsverbot nicht, weil nicht das subjektive Empfinden in die Wirksamkeit eines Einwilligungswiderrufs maßgeblich sein kann, sondern die von der Rechtsordnung gedeckte Erlaubnis.69 Bei Wegfall der Einwilligung als Erlaubnis für die Datenverarbeitung aufgrund eines Widerrufs oder wegen Unwirksamkeit darf durchaus auf eine gesetzliche Erlaubnis abgestellt werden, sodass der Verantwortliche zur Löschung der Daten, deren Verarbeitung sich (auch) auf eine Einwilligung stützt, nicht verpflichtet ist, soweit die gesetzliche Erlaubnis die Verarbeitung der betreffenden Daten und den Umfang der Datenverarbeitung abdeckt. Eine Löschungsverpflichtung besteht – was die hier vertretene Ansicht stützt – nach dem insoweit klaren Wortlaut des Art. 17 Abs. 1 lit. b DSGVO bei Widerruf einer Einwilligung nur, wenn es „an einer anderweitigen Rechtsgrundlage“ für die Verarbeitung fehlt (siehe Rn. 21).70 Die betroffene Person darf nicht in Unkenntnis gelassen werden, auf welcher Rechtsgrundlage ihre Daten verarbeitet werden; sie ist entsprechend zu informieren, wenn der Rückgriff auf eine gesetzliche Erlaubnis erfolgt. Sollte die Datenverarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt werden, müsste der Verantwortliche den Widerruf der Einwilligung zudem als Widerspruch in die Datenverarbeitung deuten und prüfen, ob das damit zum Ausdruck gebrachte Interesse der betroffenen Person daran, dass die von ihr bezeichneten Daten nicht (mehr) verarbeitet werden, höher wiegt als sein eigenes berechtigtes Interesse an der Verarbeitung.71

49

Außerdem ist beachtlich, dass es in Art. 6 Abs. 1 DSGVO heißt, dass die Verarbeitung nur rechtmäßig ist, „wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist“. Es wird keine Einschränkung dahingehend vorgenommen, dass neben einer Erlaubnis nach Buchstabe a nicht auch eine nach Buchstabe f vorliegen kann. Daraus lässt sich schließen, dass neben der Einwilligung gemäß Buchstabe a auch einer der weiteren Erlaubnistatbestände zur Erlaubnis führen kann.72

50

Aus Treu und Glauben könnte sich aber eine Pflicht des Verantwortlichen ergeben, bei Vorliegen und in Kenntnis eines gesetzlichen Erlaubnistatbestands nicht zusätzlich um eine Einwilligung zu bitten. In der Tat sollte die Einwilligung nicht eingeholt werden, wenn eine gesetzliche Erlaubnis vorliegt, weil der Betroffene es kaum nachvollziehen könnte, wenn der Verantwortliche bei einem Widerruf seiner Einwilligung auf eine bestehende gesetzliche Erlaubnis verweisen und die Datenverwendung wegen einer „Subsidiarität der Einwilligung“73 fortsetzen würde.74 Gleichwohl würde sich aus dem Widerruf der Einwilligung keine Sperrwirkung für die weitere Verarbeitung ergeben, wenn die Verarbeitung nach einem anderen Erlaubnistatbestand rechtmäßig ist (siehe Art. 7 Rn. 27).

51

Bei einer Information der betroffenen Person über die beabsichtigte Datenverarbeitung sollte deshalb nicht der Eindruck erweckt werden, die Verarbeitung würde allein von der Zustimmung der betroffenen Person abhängen, wenn das nicht der Fall ist. Diese Gefahr könnte bestehen, wenn die betroffenen Personen – was in der bisherigen Datenschutzpraxis verbreitet war – durch Unterschrift bestätigen sollen, dass sie die Datenschutzgrundsätze zur Kenntnis genommen haben und mit ihr einverstanden sind. Eine solche (überflüssige) Einverständniserklärung könnte zu dem unzutreffenden Eindruck führen, die Zulässigkeit der Datenverarbeitung von dem mit der Unterschrift dokumentierten Einverständnis abhängig gemacht zu haben. Überhaupt ist dem Verantwortlichen davon abzuraten, eine Einwilligung einzuholen, wenn eine gesetzliche Erlaubnis vorliegt (Rn. 42).75 Eine Einwilligung sollte nicht eingeholt werden, wenn die Verarbeitung darauf gestützt werden kann, dass sie zur Erfüllung einer rechtlichen Pflicht erforderlich ist (lit. c) oder dass damit lebenswichtige Interessen geschützt werden (lit. d); die (zusätzliche) Einholung einer Einwilligung sollte besonders in diesen Fällen unterbleiben.

52

Irrtümer in der Praxis: Von Unkenntnis zeugt die Einholung der (schriftlichen) Einwilligung bei über tausend Mietern durch eine Hausverwaltung – auf Anraten eines externen Datenschutzbeauftragten –, um Handwerker weiterhin mit Reparaturen beauftragen zu können, wofür die Einwilligung in die Weitergabe der Kontaktdaten der Mieter an die Handwerker erforderlich sei. Bedenken ruft der Text der Einwilligungserklärung hervor, wenn als Zweck ausdrücklich angegeben wird: „Durchführung und Abwicklung des Vertragsverhältnisses“ und die Mieter auf ihr „Widerspruchsrecht“ hingewiesen werden, bei dessen Wahrnehmung es keine Nachteile geben würde, aber dann Probleme bei der Beauftragung von Handwerkern entstehen könnten. Derartige Sachverhalte zeugen von Rechtsunsicherheit oder Rechtsunkenntnis selbst bei (in diesem Fall aus der Praxis: zertifizierten) Beratern. Richtig wäre es, bei notwendigen Reparaturmaßnahmen Daten der Mietpartei an den Handwerker auf der Grundlage von Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO zu übermitteln;76 immerhin gehört es zu seinen vertraglichen Hauptpflichten nach § 535 Abs. 1 BGB, die Mietsache in einem gebrauchsfähigen Zustand zu erhalten. Dafür ist die Datenweitergabe auch erforderlich. Auch Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO wäre eine taugliche Rechtsgrundlage,77 zumal nicht davon ausgegangen werden kann, dass die Mieter entgegenstehende Interessen an der Weitergabe der Daten zum ausschließlichen Zweck der Vornahme einer Handwerkerleistung beim Mieter haben könnten. Weil bei Inanspruchnahme dieser gesetzlichen Erlaubnis allerdings weitergehende Informationspflichten bestehen (formal der Hinweis auf das Widerspruchsrecht), ist der Weg über Buchstabe b zu empfehlen. Über §§ 27ff. WEG kann sich auch der Hausverwalter auf diese Erlaubnistatbestände berufen.

53

Allerdings könnte es aufgrund eines Widerrufs zu einer Neubewertung der gesetzlichen Erlaubnisnorm führen, wenn die Erlaubnis sich auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO stützt. Bei diesem Erlaubnistatbestand geht es um die Abwägung der berechtigten Interessen des Verantwortlichen mit den Interessen der betroffenen Person. Wenn diese auf ein Ersuchen des Verantwortlichen, dessen Verarbeitung auch gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig ist, eine Einwilligung erteilt hatte, bringt der Widerruf der Einwilligung zum Ausdruck, dass die Verarbeitung nicht gewünscht und dementsprechend im Widerspruch zu den Interessen der betroffenen Person steht. Mit dem Widerruf hat der Betroffene also sein gegenüber dem berechtigten Interesse des Verantwortlichen an der Datenverarbeitung entgegenstehendes Interesse zum Ausdruck gebracht. Wird auf diese Weise eine Interessenverletzung zum Ausdruck gebracht, besteht für den Verantwortlichen zwingend die Pflicht zur Neubewertung. Bei dieser Abwägung dürften dann die Interessen der betroffenen Person gegenüber denen des Verantwortlichen nicht überwiegen, um auf der Grundlage der gesetzlichen Erlaubnis nach Buchstabe b die Verarbeitung fortsetzen zu dürfen.

g) Weitere Anforderungen an die Wirksamkeit der Einwilligung

54

Wird die Verarbeitungserlaubnis auf eine Einwilligung gestützt, muss die betroffene Person vom Verantwortlichen darüber vorher so umfassend informiert worden sein, dass sie die Risiken einer Einwilligung bewerten kann (informed consent, siehe Rn. 37). Außerdem sind die weiteren Anforderungen an die Wirksamkeit der Einwilligung aus Art. 4 Nr. 11 und Art. 7 DSGVO zu beachten (siehe Art. 7 Rn. 37ff.). Die Einwilligung muss sich auf jede der vorgesehenen Verarbeitungsphasen (Art. 4 Nr. 2 DSGVO) beziehen und den Zweck der Verarbeitung benennen. Dabei ist eine pauschale Einwilligung in die Datenerhebung und beliebige Verwendung unwirksam (Art. 7 Rn. 31, 135). Ist der beabsichtigte Zweck erfüllt78 oder ist die in einer Einwilligung als Bedingung genannte Frist abgelaufen, darf eine weitere Datenverarbeitung nicht mehr auf die Einwilligung gestützt werden. Eine einmal erteilte Einwilligung erlischt aber nicht durch Zeitablauf (Art. 7 Rn. 76).79 Wurde eine Einwilligung von einem Erziehungsberechtigten für das minderjährige Kind erteilt, bedarf es dann, wenn die Daten über das Kind auch nach Eintritt der Volljährigkeit weiter genutzt werden sollen, der Einwilligung der nun volljährigen betroffenen Person. In einem vom LG Frankfurt entschiedenen Fall ging es darum, dass ein Foto einer 16-jährigen 19 Jahre später erneut veröffentlicht werden sollte und dies auf die ursprüngliche Einwilligung des Vaters in die Erstveröffentlichung gestützt wurde.80 Zwar handelte es sich im Verfahren um eine Einwilligung in die Veröffentlichung eines Fotos gem. § 22 Abs. 1 Satz 1 KUG; die Erwägungen des LG Frankfurt/M. sind aber auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO übertragbar.81 Wenn das OLG Frankfurt im Berufungsverfahren die Neuveröffentlichung dennoch zuließ, dann deswegen, weil es das Foto als Dokument der Zeitgeschichte einstufte.82

55

Eine Einwilligung, bei der die vorgenannten Anforderungen nicht beachtet werden, ist unwirksam. Fehlt es dem Verantwortlichen an einem Erlaubnistatbestand, der eine konkrete Verarbeitung für einen festgelegten Zweck legitimiert, so ist die Verarbeitung rechtswidrig.83 Ohne Rechtsgrundlage sind die rechtswidrig verarbeiteten Daten zu löschen. Wurde die Einwilligung allerdings vor Wirksamwerden der DSGVO erteilt und damit nicht alle nach der DSGVO zu erfüllenden Anforderungen beachtet, soll der Verantwortliche die Möglichkeit haben, die Einwilligung nun DSGVO-konform einzuholen, ohne dass die bereits gespeicherten Daten gelöscht werden müssten.84 Die Berliner Beauftragte für den Datenschutz hatte bei einer Überprüfung der neu eingeführten elektronischen Gesundheitsakte festgestellt, dass nicht für alle Funktionalitäten des Systems jeweils eine separat abzugebende Einwilligung vorlag und auch nicht für die kontinuierlich neu hinzukommenden Features. Sie räumte den Verantwortlichen ein, dem Mangel nach Information der betroffenen Personen über die neuen Funktionalitäten durch ergänzende Einwilligungen abzuhelfen.85 Es empfiehlt sich nach dieser von der Aufsichtsbehörde aufgezeigten Möglichkeit der „Heilung“ von Mängeln, im Einzelfall, ggf. nach einer Rückversicherung bei der Aufsichtsbehörde, zu prüfen, ob entgegen der Regel eine nachträgliche Einwilligung datenschutzrechtskonform eingeholt werden kann, um den Datenbestand zu retten.86 Bis eine Einwilligung vorliegt, sollte die Nutzung der Daten der jeweils betroffenen Person nicht fortgesetzt werden.

2. Vertrag und vorvertragliche Verarbeitung (lit. b)

56

Die Anbahnung, Erfüllung, Abwicklung und Beendigung von Vertragsverhältnissen kann die Verarbeitung personenbezogener Daten erforderlich machen. Bei alltäglichen Einkäufen im Supermarkt, auf dem Wochenmarkt, beim Bäcker oder Blumenhändler werden personenbezogene Daten des Kunden regelmäßig nicht erfasst oder, beispielsweise bei der Vorbestellung von Waren im Ladengeschäft unter Angabe eines Namens, nicht elektronisch verarbeitet. Anders sieht es bei Beschäftigungsverhältnissen, bei Online-Verträgen, beim Fernabsatz, beim Kauf auf Rechnung, bei Telekommunikationsverträgen und vielen anderen Verträgen aus, bei der die Verarbeitung personenbezogener Daten erforderlich ist. Eine Interessenabwägung ist nicht vorzunehmen,87 weil es allein auf die objektive Feststellung der Erforderlichkeit ankommt.

a) Erforderlichkeit

57

„Erforderlich“ im Sinne von Buchstabe b ist die Datenverarbeitung dann, wenn sie für die Erfüllung des Vertrags oder für die Durchführung vorvertraglicher Maßnahmen notwendig ist. Die Erforderlichkeit orientiert sich zunächst daran, dass ohne die Datenverarbeitung der Vertragszweck nicht oder nur unwirtschaftlich verwirklicht werden kann (Art. 5 Abs. 1 lit. b DSGVO). Dabei gilt es, den Grundsatz der Datenminimierung zu beachten (Art. 5 Abs. 1 lit. c DSGVO). Die Prüfung des Merkmals der Erforderlichkeit verlangt demnach keine Berücksichtigung des Verhältnismäßigkeitsgrundsatzes, wie sie bei der Durchführung einer hoheitlichen Maßnahme gegenüber einem Privatrechtssubjekt notwendig wäre.88 Es wird nach dem Erforderlichkeitskriterium aber nicht verlangt, dass bei nicht erfolgender Datenverarbeitung der Vertragsschluss oder die Vertragserfüllung unmöglich oder tatsächlich ausgeschlossen wäre. Notwendig und damit auch erforderlich ist die Datenverarbeitung auch dann, wenn sie aus der objektiven Sicht eines verständigen Dritten sinnvoll ist, beispielsweise um die Effizienz zu steigern und Kosten zu minimieren.89

58

Ist die Verarbeitung personenbezogener Daten für die Anbahnung, Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses bzw. für ein rechtsgeschäftsähnliches Schuldverhältnis oder für den Abschluss eines Gesellschaftsvertrags erforderlich, dann ist sie zulässig, ohne dass es einer Abwägung mit Interessen des Betroffenen bedarf. Anders als nach der Zulässigkeitsalternative gemäß Buchstabe f verpflichtet die Verordnung bei Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO weder zu einer Abwägung mit Betroffeneninteressen, noch ist eine Interessenabwägung im Rahmen einer Verhältnismäßigkeitsprüfung wie bei einer Verarbeitung durch öffentliche Stellen vorzunehmen, die wegen des Eingriffscharakters der Datenverarbeitung stets die Verhältnismäßigkeit des Eingriffs zu prüfen haben. Vielmehr ist nach objektiven Kriterien festzustellen, ob die Daten verarbeitet werden müssen, um dadurch effizient die sich beispielsweise aus einem Vertragsverhältnis ergebenden Pflichten erfüllen und die Erbringung der Gegenleistung feststellen zu können. Soll ein Vertrag elektronisch unter Verwendung einer fortgeschrittenen elektronischen Signatur geschlossen werden, sodass ein externer Vertrauensdiensteanbieter als Auftragsverarbeiter einzubeziehen ist, dann ist auch die hierfür erforderliche Verarbeitung nach Buchstabe b erlaubt.90

59

Das Merkmal „erforderlich“ ist deshalb dahingehend zu verstehen, dass die Verarbeitung personenbezogener Daten notwendig ist, um vorvertragliche Anfragen bearbeiten, einen Vertragsschluss vornehmen und dann eingegangene Vertragspflichten erfüllen und eigene Rechte geltend machen zu können. Es dürfen danach diejenigen Daten verarbeitet werden, die bei der Geschäftsanbahnung und -abwicklung im Rahmen des rechtsgeschäftsähnlichen Schuldverhältnisses benötigt werden. Auch die Speicherung der Kontaktdaten einer Person, die sich Informationen über Produkte oder Dienstleistungen in einem analogen oder digitalen Katalog zuschicken lassen möchte, ist nach Buchstabe b zulässig. Die zum Zweck der Bonitätsanfrage bei einer Wirtschaftsauskunftei erfolgende Übermittlung personenbezogener Daten über eine potenzielle Vertragspartei ist eine Verarbeitung, die nach Buchstabe b zulässig ist;91 bei einem internen oder externen Scoring, bei Bonitätsprüfungen oder automatisierten Einzelentscheidungen wären die Vorschriften der §§ 30, 31 und 37 BDSG sowie § 18a KWG zu beachten. Diese Verarbeitungen können für die Zweckerfüllung eines Vertragsverhältnisses gemäß Buchstabe b erforderlich sein.

60

Die Erlaubnis nach Buchstabe b geht stillschweigend vom Einklang der Datenverarbeitung mit den Interessen des Betroffenen aus, sodass es der Feststellung etwaiger entgegenstehender Interessen des Betroffenen nicht bedarf. Wer ein Vertragsverhältnis eingeht und sich in ein rechtsgeschäftsähnliches Schuldverhältnis begibt, weiß, dass – anders als bei anonymen Bargeschäften des täglichen Lebens – in der Informations- und Kommunikationsgesellschaft personenbezogene Daten zur Geschäftsabwicklung (Rechnungstellung, Lieferung) benötigt werden. Die Zweckbestimmung des rechtsgeschäftlichen bzw. des rechtsgeschäftsähnlichen Schuldverhältnisses ist insofern Legitimation, aber auch zugleich Grenze der Verarbeitung von Daten über den Vertragspartner bzw. über den in einem Vertrauensverhältnis mit der verantwortlichen Stelle verbundenen betroffenen Personen. Nicht erfasst werden von der Erlaubnis nach lit. b nach einem Beschluss der DSK92 solche Daten, die für die Vertragserfüllung und die Vertragsabwicklung nicht erforderlich sind (Kernvertragstheorie – „core of the contract“). Der Tendenz von Verantwortlichen, sich unter Berufung auf die unternehmerische Freiheit weitreichende Erhebungen von Kundendaten mit Buchstabe b zu legitimieren („Umgehbarkeit mittels bewusster Vertragsgestaltung“),93 versucht der EDSA zwar mit einer Leitlinie entgegenzutreten, weil er die Gefahr eines vertraglichen „Unterschiebens“ von Verarbeitungsbefugnissen bzw. einer künstlichen Ausdehnung der erforderlichen Daten- oder Verarbeitungsarten im Vertrag beobachtet,94 lässt aber doch mehr Raum für eine Vertragsgestaltungsfreiheit als die DSK.95

61

Werden Daten erhoben, die bei einem Vertragsschluss quasi als Gegenleistung, beispielsweise auch für die Registrierung bei einem Sozialen Netzwerk, gefordert werden,96 so bedarf es für diese Daten einer Einwilligung, die mit zweifelhafter Wirksamkeit häufig über Cookies erfolgt97 (siehe § 25 TTDSG Rn. 24ff.). Dabei ist die schuldrechtliche Leistungspflicht als Synallagma von der datenschutzrechtlich zu erklärenden Einwilligung zu trennen. Die Frage ist nicht abschließend geklärt, ob die Verarbeitung – hier: die Erhebung, von Daten als Gegenleistung auf der Grundlage des Buchstaben b – zulässig ist, oder ob eine (datenschutzrechtliche, informierte) Einwilligung nach Buchstabe a geschuldet ist, wenn von einem Vertragsverhältnis auszugehen ist. Eine Vertragspflicht zur datenschutzrechtlichen Einwilligung würde jedenfalls der Anforderung der Freiwilligkeit der datenschutzrechtlichen Einwilligung widersprechen98 und schnell zu einem Kopplungsverbot führen.99

62

§ 327q Abs. 2 BGB100 erkennt allerdings an, dass bei Verbraucherverträgen, die digitale Inhalte oder Dienstleistungen zum Gegenstand haben, Verbraucher ihre für die Vertragsabwicklung erforderlichen Daten nicht nur zur Erfüllung der primären Leistungspflichten101 zur Verfügung stellen müssen, sondern sie weitere Daten neben oder anstelle eines Preises mit ihrer Einwilligung überlassen können.102 Bei dem Geschäftsmodell der „Daten als Gegenleistung“ wird unterschieden, ob als Gegenleistung ausschließlich Daten zur Verfügung gestellt werden oder ob eine Rabattierung des Entgelts erfolgt, wenn über die für die Vertragsabwicklung erforderlichen Daten hinaus weitere Daten des Vertragspartners abgefragt werden. Dann wäre nach einer verbreiteten Ansicht die Einwilligung zur Vertragserfüllung notwendig. Nach § 327q BGB wird eine Verknüpfung zwischen schuldrechtlichem Vertrag und datenschutzrechtlicher Einwilligung in die Verarbeitung der Daten im Sinne des § 327 Abs. 1 BGB (digitale Darstellung eines Wertes als Gegenleistung) beispielsweise insofern hergestellt, als der Unternehmer berechtigt ist, „einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann“. Demnach würde die Verarbeitung der Daten des Verbrauchers durch den Unternehmer auf Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO hinsichtlich der für die Erbringung der Leistung durch den Unternehmer erforderlichen Daten und auf Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO hinsichtlich derjenigen Daten zu stützen sein, die vom Verbraucher als Gegenleistung (Wert der Daten) gegeben werden.

63

Offen ist, ob derartige Verträge über digitale Inhalte so ausgestaltet werden können, dass die Bereitstellung personenbezogener Daten eine schuldrechtliche Verpflichtung darstellt, sodass diese dann auf der Grundlage einer Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO mit der Begründung verarbeitet werden dürfen, diese Daten seien erforderlich, um die den Vertrag prägende Hauptleistung zu erfüllen (so die „Vertragsfreiheitstheorie“).103 Die dann zu erwartende Tendenz, diese Daten für umfassende Profile von Verbrauchern zu verwenden, sollte zu einer restriktiven Auslegung im Sinne der Richtlinien des EDSA mit der Folge führen, dass die Verarbeitung der Verbraucherdaten sich dann nicht auf Buchstabe b stützen kann, soweit sie nicht objektiv zur Abwicklung des Vertrags gehören und dafür objektiv nicht erforderlich sind.104 Wie weit die auch von der DIRL verfolgte Verknüpfung von nationalem Schuldrecht mit dem europäischen Datenschutzrecht wirkt, ist Gegenstand einer noch laufenden Diskussion, an deren Ende die Aushebelung des Kopplungsverbotes stehen könnte.105 Unklar ist insbesondere, wie weit die Einwilligung in die weitere Verarbeitung etwa für Marketingzwecke auch von Dritten, denen die Daten übermittelt werden, unter AGB-rechtlichen Erwägungen gehen darf. Es sei schließlich darauf hingewiesen, dass sich ein datenschutzrechtlicher Erlaubnistatbestand für die Verarbeitung „überschießender“, als Gegenleistung verlangter Daten in der DIRL (ErwG 38) und im Umsetzungsgesetz nicht finden lässt. § 327q BGB spricht dafür, dass der Gesetzgeber von einer datenschutzrechtlichen Einwilligung ausgeht, die widerrufen werden kann.

64

Bei einem Kauf im Fernabsatz wären der Name und die Anschrift des Käufers, die Art und Menge des gekauften Artikels, die Zahlungsweise, die Versandangaben und in diesem Zusammenhang ggf. die Kontoverbindung erforderlich, um den Kauf abzuwickeln (Basisdaten). Wird die Gegenleistung per Nachnahme erbracht, bedarf es der Erhebung von Bankdaten nicht; ihre Erhebung und Verarbeitung wären für die Abwicklung des rechtsgeschäftlichen Schuldverhältnisses nicht erforderlich. Weiterer Attribute (personenbezogene Daten) bedarf es in der Regel nicht, um die Abwicklung vorzunehmen, wenn nicht besondere Umstände vorliegen (Altersverifikation, Abgabebedingungen). Insofern ist die Feststellung, was erforderlich ist, objektivierbar. Werden weitere Angaben über den Käufer erhoben und verarbeitet, die im Zusammenhang mit dem Vertragsverhältnis nicht erforderlich sind, ergibt sich die Zulässigkeit nicht aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Sie dürfen dann nur mit Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO) oder aufgrund einer Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO) verarbeitet werden. Zur Frage eines Konditionenmissbrauchs gem. § 19 Abs. 1 GWB, wie ihn das Bundeskartellrecht wegen unangemessener Datenverarbeitung durch Plattformanbieter annimmt, ist hier nicht Stellung zu nehmen.

65

Im Einzelnen wird der erforderliche Umfang davon abhängig sein, was die Vertragsparteien an Rechten und Pflichten vereinbart haben und was sich als (Haupt- und Neben-)Zweck aus dem Vertrag ergibt. Dabei ist zu beachten, dass die Verarbeitung von Daten, die nicht unmittelbar dem Vertragsverhältnis dienen, aber aus der Sicht der einen Partei für sie nützlich sein könnte, etwa um auch auf anderen Kommunikationskanälen Kontakt aufnehmen zu können oder andere für die werbliche Ansprache und Profilbildung nützliche Daten zu erhalten, als „nicht erforderlich“ anzusehen ist. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO scheidet hier als Erlaubnistatbestand aus. Geprüft werden könnte alternativ eine Erlaubnis aus Buchstabe f.

66

Erforderlich ist die Datenverarbeitung aufgrund einer Erlaubnis nach Buchstabe b – und im Zusammenhang mit einem Rechtsgeschäft nicht etwa nach Buchstabe c – auch, wenn die Verarbeitung zur Erfüllung einer gesetzlichen und auf Rechtspflicht der einen Partei notwendig ist. Dürfen bestimmte Produkte wie Alkoholika oder Computerspiele nach dem Jugendschutzgesetz nur an Personen ab einem bestimmten Alter verkauft werden oder entwicklungsbeeinträchtigende Angebote über Medien nach dem Jugendmedienschutzstaatsvertrag nicht unter einem bestimmten Alter verbreitet werden, so ist im Fernabsatz die Erhebung des Alters etwa durch eine Altersverifikation eine Pflicht. Die Verträge könnten zwar auch ohne Verarbeitung von Daten nach einer Altersverifikation geschlossen und erfüllt werden, was aber Jugendschutzvorschriften verletzen und damit einen Pflichtverstoß darstellen würde. Die Erhebung des Alters kann vom Vertragszweck auch gedeckt sein, wenn das Datum benötigt wird, um die korrekte Identifizierung einer Person bei Namensgleichheit zu ermöglichen.106

DSGVO - BDSG - TTDSG
Tekst
0
Zostaw recenzję
1209,24 zł
Gatunki i tagi
Adwokatura
Ograniczenie wiekowe:
0+
Objętość:
4734 str. 7 ilustracje
ISBN:
9783800594207
Redaktor:
Wydawca:
Właściciel praw:
Bookwire
Format pobierania:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip
Część serii "Kommunikation & Recht"
Wszystkie książki z serii

Z tą książką czytają

Круть
Ekskluzywny

Круть

Wiktor Pielewin
Audiobook z wersją tekstową
3,6
105