„Bezahlen mit Daten“ und der „Preis“ der Gegenleistung
Kurz und Knapp
Das „Bezahlen mit Daten“ wird nunmehr in § 312 Abs. 1a und § 327 Abs. 3 BGB ausdrücklich in das neue Recht aufgenommen. Zudem findet sich (nur) in § 327q BGB eine Regelung über die Rechtsfolgen datenschutzrechtlicher Erklärungen. Der Beitrag beschäftigt sich mit den Neuerungen, dem Verhältnis der Neuregelungen zum Datenschutzrecht und der analogen Anwendbarkeit des § 327q BGB auf andere Verbraucherverträge, bei denen ein Verbraucher personenbezogene Daten als Gegenleistung bereitstellt.
I. Einführung und Überblick
Im bisherigen Recht fanden die besonderen verbraucherschützenden Vorschriften der §§ 312 ff. BGB nur auf Verbraucherverträge Anwendung, die eine „entgeltliche“ Leistung des Unternehmers zum Gegenstand hatten. Eine enge Auslegung des Begriffs der Entgeltlichkeit hätte eine Einschränkung des Verbraucherschutzrechts zur Folge gehabt, weshalb die wohl h. M.1 auch das Bezahlen mit personenbezogenen Daten als Entgelt einordnete, um den Anwendungsbereich der Vorschriften zu erweitern. Die gesetzliche Neuregelung bringt zwar einerseits Klarstellungen mit sich, andererseits aber auch eine Reihe von Problemen, die der Erörterung bedürfen. Sie betreffen z. B. die Frage, wie personenbezogene Daten als Handelsgegenstand eingesetzt werden können und auch das Verhältnis zur DSGVO.
1. Europarechtliche Vorgaben
Das Konzept des „Bezahlens mit Daten“ ist ausdrücklich zum ersten Mal in der Digitale-Inhalte-Richtlinie2 und der Modernisierungsrichtlinie3 geregelt worden, die der Gesetzgeber zum 1. 1. 2022 im deutschen Recht umgesetzt hat; dies ist insoweit beachtlich, als die Modernisierungsrichtlinie erst zum 28. 5. 2022 umzusetzen war. Der Gesetzgeber hat hier der Umsetzungsfrist vorgegriffen, weil damit ohnehin nichts Neues als bisher geregelt werde.4
a) Digitale-Inhalte-Richtlinie
Gemäß Art. 3 Abs. 1 S. 1 der Digitale-Inhalte-Richtlinie gilt die Richtlinie für alle Verträge, auf deren Grundlage der Unternehmer dem Verbraucher digitale Inhalte oder digitale Dienstleistungen bereitstellt oder deren Bereitstellung zusagt und der Verbraucher einen Preis zahlt oder dessen Zahlung zusagt, oder gemäß Abs. 1 S. 2, wenn der Verbraucher zwar keinen Preis zahlt, dem Unternehmer aber personenbezogene Daten bereitstellt oder deren Bereitstellung zusagt. Ausgenommen sind wiederum Verträge, bei denen die vom Verbraucher bereitgestellten personenbezogenen Daten durch den Unternehmer ausschließlich zur Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen im Einklang mit der Digitale-Inhalte-Richtlinie oder zur Erfüllung der vom Unternehmer einzuhaltenden rechtlichen Anforderungen verarbeitet werden und der Unternehmer diese Daten zu keinen anderen Zwecken verarbeitet.
Art. 2 Nr. 8 der Digitale-Inhalte-Richtlinie verweist für die Definition der personenbezogenen Daten auf Art. 4 Nr. 1 DSGVO.5 Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.6
Art. 16 der Digitale-Inhalte-Richtlinie, der die Pflichten des Unternehmers im Fall der Beendigung des Vertrags regelt, stellt in dessen Abs. 2 klar, dass der Unternehmer in Bezug auf personenbezogene Daten des Verbrauchers die Pflichten aus der DSGVO einhalten muss.
b) Modernisierungsrichtlinie
Auch die Modernisierungsrichtlinie enthält Regelungen zum „Bezahlen mit Daten“. Die Modernisierungsrichtlinie ändert ihrerseits bestehende Richtlinien, u. a. die Verbraucherrechterichtlinie.7
Der Geltungsbereich der Verbraucherrechterichtlinie wurde gemäß dem neu eingefügten Art. 3 Abs. 1a, der eine Art. 3 Abs. 1 der Digitale-Inhalte-Richtlinie entsprechende Regelung vorsieht, auf Verträge über digitale Inhalte erweitert, die nicht auf einem körperlichen Datenträger geliefert werden, sowie auf digitale Dienstleistungen, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder deren Bereitstellung zusagt. Ausgenommen wurden auch hier Verträge, bei denen personenbezogene Daten durch den Unternehmer ausschließlich zum Zweck der Vertragserfüllung oder der Erfüllung der vom Unternehmer einzuhaltenden rechtlichen Anforderungen verarbeitet werden.
2. Umsetzung im deutschen Recht
Der deutsche Gesetzgeber hat die unter Ziff. 1 erläuterten Vorgaben aus der Digitale-Inhalte-Richtlinie und aus der Modernisierungsrichtlinie mit dem „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“8 umgesetzt.
a) Umsetzung der Digitale-Inhalte-Richtlinie
Das Gesetz ist am 1. 1. 2022 in Kraft getreten. Die neu eingeführten und in §§ 327 ff. BGB verankerten Regelungen zu Verträgen über digitale Produkte gelten gemäß der Übergangsvorschrift in Art. 229 § 57 EGBGB für Verbraucherverträge, die die Bereitstellung eines digitalen Produkts zum Gegenstand haben und ab dem 1. 1. 2022 abgeschlossen werden. Mit Ausnahme der §§ 327r, 327t und 327u BGB sind die neuen Vorschriften auch auf Verträge anwendbar, die zwar vor dem 1. 1. 2022 abgeschlossen wurden, eine Bereitstellung der digitalen Produkte jedoch erst ab dem 1. 1. 2022 vorsehen.
Gegenstand der Bestimmungen in den §§ 327 ff. BGB sind gemäß § 327 Abs. 1 BGB Verbraucherverträge, welche die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (die der Gesetzgeber zusammenfassend als „digitale Produkte“ definiert) durch einen Unternehmer zum Gegenstand haben. Die Bereitstellung muss entweder gegen Zahlung eines Preises erfolgen (§ 327 Abs. 1 BGB) oder aber, wie von Art. 3 Abs. 1 der Digitale-Inhalte-Richtlinie vorgegeben und in § 327 Abs. 3 BGB umgesetzt, der Verbraucher stellt dem Unternehmer personenbezogene Daten bereit bzw. verpflichtet sich zu deren Bereitstellung. Entsprechend Art. 3 Abs. 1 der Digitale-Inhalte-Richtlinie sieht § 327 Abs. 3 a. E. BGB hiervon eine Ausnahme vor und verweist insoweit auf § 312 Abs. 1a S. 2 BGB.
Neu eingefügt wurde in diesem Zusammenhang auch § 327q BGB, welcher die Folgen regelt, wenn ein Verbraucher von seinen datenschutzrechtlichen Betroffenenrechten Gebrauch macht oder eine datenschutzrechtliche Erklärung abgibt.9
b) Umsetzung der Modernisierungsrichtlinie
Zwar wird die Modernisierungsrichtlinie weitgehend mit dem Gesetz zur Änderung des BGB und des EGBGB in Umsetzung der EU-Richtlinie zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union10 in das nationale Recht umgesetzt. Die die Verbraucherrechterichtlinie und in diesem Zusammenhang, das „Bezahlen mit Daten“ betreffenden Vorgaben aus der Modernisierungsrichtlinie wurden jedoch vorgreiflich im Zuge der mit dem Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen erfolgten Änderung und Ergänzung des § 312 BGB umgesetzt.
Gemäß dem neu eingefügten § 312 Abs. 1a BGB, der am 1. 1. 2022 in Kraft getreten ist und für den die Übergangsvorschrift des Art. 229 § 57 EGBGB ebenfalls gilt, sind die Vorschriften in den §§ 312 bis 312h BGB nicht nur auf Verbraucherverträge anzuwenden, bei denen sich der Verbraucher zur Zahlung eines Preises verpflichtet (§ 312 Abs. 1 BGB n. F.), sondern auch auf solche, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. § 312 Abs. 1a S. 2 BGB setzt die in Art. 3 Abs. 1a der Modernisierungsrichtlinie vorgesehene Ausnahme um und regelt, dass der Anwendungsbereich nicht eröffnet ist, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.
312 BGB wurde zeitgleich mit dem Gesetz zur Umsetzung der Digitale-Inhalte-Richtlinie überarbeitet;11 dies wurde mit Erwägungsgrund 31 der Modernisierungsrichtlinie begründet, wonach die Verbraucherrechterichtlinie auch schon vor ihrer Änderung für Verträge über die Bereitstellung digitaler Inhalte galt, die nicht auf einem körperlichen Datenträger bereitgestellt werden, und zwar unabhängig davon, ob der Verbraucher eine Geldzahlung leisten oder personenbezogene Daten zur Verfügung stellen musste. Im Übrigen wurde der Begriff der „entgeltlichen Leistung“ in § 312 Abs. 1 BGB a. F. bereits vor Umsetzung der Modernisierungsrichtlinie in der deutschen Rechtspraxis dahingehend ausgelegt, dass auch ein Bezahlen mit personenbezogenen Daten umfasst war.12 Aus Sicht des deutschen Gesetzgebers handelt es sich bei der Neufassung von § 312 BGB folglich nicht um eine vorzeitige Umsetzung der Modernisierungsrichtlinie, sondern lediglich um eine klarstellende Änderung.13
Eine dem § 327q BGB vergleichbare Regelung hat der deutsche Gesetzgeber in den §§ 312 ff. BGB nicht vorgesehen. Hier stellt sich die Frage einer analogen Anwendung.14
II. Bezahlen mit Daten
Der Anwendungsbereich der §§ 312 ff. und §§ 327 ff. BGB ist nur im Falle von Verbraucherverträgen eröffnet, bei denen der Verbraucher personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Die §§ 327 ff. BGB setzen zudem die Bereitstellung eines digitalen Inhalts voraus.15
1. Verbrauchervertrag
Sowohl die §§ 312 ff. BGB als auch die §§ 327 ff. BGB verlangen zunächst einen Verbrauchervertrag. Das deutsche Recht enthält in § 310 Abs. 3 BGB eine Legaldefinition, auf die weder die Neufassung von § 310 Abs. 1 BGB noch der neue § 327 Abs. 1 BGB Bezug nehmen. Nach Ansicht des deutschen Gesetzgebers sei dies eine Selbstverständlichkeit und daher ein Verweis auf § 310 Abs. 3 BGB, wie er bisher in § 312 Abs. 1 BGB a. F. enthalten war, nicht erforderlich.16
Es muss sich folglich um einen Vertrag handeln, bei dem der Unternehmer derjenige ist, der ein Produkt oder eine Leistung zur Verfügung stellt, während der Verbraucher für die Inanspruchnahme dieser Leistung dem Unternehmer etwas Geldwertes zur Verfügung stellt. Die umgekehrte Konstellation ist hiervon nach Sinn und Zweck nicht umfasst.17 Dies war unter der Geltung von § 312 Abs. 1 BGB a. F. noch umstritten, wurde jedoch durch die Neufassung von Art. 3 der Verbraucherrechterichtlinie und die Formulierung in Art. 3 der Digitale-Inhalte-Richtlinie, wonach der Verbraucher derjenige ist, der etwas Geldwertes bereitstellt, nunmehr klargestellt.18 Zurückzugreifen ist auf die Definitionen in den §§ 13 und 14 BGB, die lediglich im Bereich des „Dual-Use“, d. h. bei Geschäften, die aus Sicht einer Vertragspartei sowohl den privaten als auch den beruflichen Bereich tangieren, Abgrenzungsprobleme bereiten.19
2. Bereitstellung personenbezogener Daten
312 Abs. 1a und § 327 Abs. 3 BGB setzen ferner voraus, dass der Verbraucher personenbezogene Daten bereitstellt oder sich hierzu verpflichtet hat.
a) Der Begriff der personenbezogenen Daten
Weder § 312 Abs. 1a BGB noch § 327 Abs. 3 BGB enthalten eine Definition der personenbezogenen Daten. Eine solche findet sich auch nicht in den übrigen Vorschriften des BGB. Ausweislich des Erwägungsgrundes 37 der Digitale-Inhalte-Richtlinie soll diese die Datenschutzgrundverordnung unberührt lassen. Insbesondere sollen personenbezogene Daten nur im Einklang mit der Datenschutzgrundverordnung erhoben und verarbeitet werden dürfen.20 Der europäische Normgeber hat dies auch in Art. 3 Abs. 8 der Digitale-Inhalte-Richtlinie ausdrücklich klargestellt, wonach die Digitale-Inhalte-Richtlinie die Regelungen in der DSGVO unberührt lässt und Letztere im Falle von Widersprüchen vorgeht.
Vor diesem Hintergrund ist der Begriff der personenbezogenen Daten in beiden Richtlinien nicht eigenständig, sondern nach Art. 4 Nr. 1 der DSGVO zu bestimmen. Personenbezogene Daten sind danach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.21 Diese Definition setzen auch § 312 Abs. 1a BGB und § 327 Abs. 3 BGB voraus.22
b) Daten als geldwerte Leistung
Gibt der Verbraucher personenbezogene Daten von sich preis, um so in den Genuss einer Gegenleistung des Unternehmers zu gelangen, stellt sich eine ganz grundsätzliche Frage, nämlich ob es sich bei personenbezogenen Daten um ein wirtschaftliches Gut handelt, das ein Verbraucher wie Geld oder eine Ware zum Handel einsetzen kann, oder ob das Datenschutzrecht nicht viel eher lediglich ein Recht ist, wonach der Verbraucher Anspruch darauf hat, dass mit seinen personenbezogenen Daten nur auf eine ganz bestimmte – nämlich rechtmäßige – Art und Weise umgegangen wird.
Der angelsächsische Begriff „privacy“ enthält durchaus eine vermögens- bzw. eigentumsrechtliche Komponente.23 Der Gedanke, mit seinen personenbezogenen Daten im Sinne einer Gegenleistung Handel treiben zu können, ist also keineswegs neu oder gar revolutionär. In Deutschland hat sich das Datenschutzrecht allerdings seit der Volkszählungsurteil-Rechtsprechung des BVerfG24 ganz anders entwickelt. Datenschutz wurde im Wesentlichen als Teil der informationellen Selbstbestimmung verstanden, mithin als Abwehrrecht gegenüber dem Staat.25 Datenschutz ist folglich Teil des allgemeinen Persönlichkeitsrechts und wurde daher schon von seinem Grundgedanken her nicht als wirtschaftlich handelbares Gut verstanden. Die Ausgangspunkte in Europa in Bezug auf das Datenschutzrecht waren folglich sehr unterschiedlich und mussten in der Datenschutzgrundverordnung vereinheitlicht werden.
Die Persönlichkeitsrechte haben mittlerweile auch in der deutschen Rechtsprechung einen Wandel erlebt. Das BVerfG hat bereits im Jahr 2006 darauf hingewiesen, dass Bestandteile des Persönlichkeitsrechts durchaus kommerzialisiert werden können.26 Zwar ging es in dieser Entscheidung um das postmortale Persönlichkeitsrecht und das Recht am eigenen Bild und nicht um personenbezogene Daten. Allerdings handelt es sich auch beim Recht am eigenen Bild um eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts.27 Nach diesem neueren Ansatz kann folglich auch das allgemeine Persönlichkeitsrecht kommerzialisiert werden, sofern dies nicht zum Verlust der Menschenwürde führt (z. B. bei sogenannten „Bum-Fights“,28 bei denen beispielsweise Obdachlose aufgefordert werden, sich gegenseitig zu verprügeln und dem Sieger eine Flasche Schnaps in Aussicht gestellt wird).29
Obgleich dies darauf hindeutet, dass das Bezahlen mit Daten nicht nur nachvollziehbar, sondern allseits sogar gewünscht war, bestanden gerade auf europäischer Ebene erhebliche Bedenken an dieser liberalen Auslegung. In einer Stellungnahme des European Data Protection Supervisor zum Richtlinienvorschlag der Digitalen-Inhalte-Richtlinie aus dem Jahr 201730 wurde ausdrücklich davor gewarnt, aufgrund des Grundrechtscharakters der personenbezogenen Daten den Begriff „Daten als Gegenleistung“ zu verwenden. Personenbezogene Daten sollten nach dieser Ansicht ausdrücklich nicht wie jede andere Ware behandelt werden. Wörtlich heißt es dort: „lassen sich personenbezogene Daten nicht mit einem Preis oder mit Geld vergleichen. Personenbezogene Daten stehen i. V. m. einem Grundrecht und können nicht als Ware betrachtet werden“.31 Wie aus Erwägungsgrund 24 der Digitale-Inhalte-Richtlinie ersichtlich, hat der europäische Normgeber diesen Grundsatz anerkannt, das Bezahlen mit Daten in die Digitale-Inhalte-Richtlinie dennoch mit aufgenommen; in der „Schwester-Richtlinie“, also der Warenkauf-Richtlinie32 fehlt übrigens jeglicher Bezug zum Bezahlen mit personenbezogenen Daten. Eine Ware mit digitalen Elementen kann außerhalb der besonderen Vertriebsformen folglich nicht mit personenbezogenen Daten bezahlt werden, ein digitales Produkt hingegen schon.
Ob einem Verbraucher bewusst ist, was seine personenbezogenen Daten wert sind, ist zweifelhaft. Selbst einmal unterstellt, ein Verbraucher würde eine umfassende Datenschutzerklärung des Unternehmers lesen und verstehen, er wüsste wohl dennoch nicht, was mit seinen personenbezogenen Daten, die er einem Unternehmer zur Verfügung stellt, tatsächlich passiert. Schon gar nicht wird er einschätzen können, welchen Wert diese personenbezogenen Daten haben, zumal Nutzerdaten oftmals erst, wenn sie mit personenbezogenen Daten anderer Nutzer zusammengeführt und im Anschluss analysiert werden, für den Unternehmer werthaltig sind.33 Schließlich – auch dies darf nicht unterschätzt werden – stehen dem Verbraucher zwar Rechte aus der Datenschutzgrundverordnung auf Beendigung der Verarbeitung seiner personenbezogenen Daten zu. Was dies allerdings heißt, dürfte einem Verbraucher nur in Ausnahmefällen bewusst sein. Ein Verbraucher erhält nach seinem Widerruf bzw. Widerspruch in die Verarbeitung seiner personenbezogenen Daten diese schließlich nicht zurück. Zwar endet die Verarbeitungstätigkeit des Unternehmers (jedenfalls im besten Falle, nachprüfen wird der Verbraucher dies kaum können). Ob ein Unternehmer den Wert aus den bereitgestellten personenbezogenen Daten nicht bereits gezogen hat, dürfte ungewiss bleiben.
Ob personenbezogene Daten etwas Geldwertes darstellen, steht daher außer Frage.34 Unbeantwortet – und unbeantwortbar – bleibt für den Verbraucher allerdings, welchen Wert sie darstellen und wann der Wert vom Unternehmer gezogen worden ist.
c) Zustandekommen eines Vertrags
Die §§ 312 ff. und §§ 327 ff. BGB setzen einen Verbrauchervertrag und damit einen Vertragsschluss zwischen den Parteien voraus. Was zunächst selbstverständlich klingt, entpuppt sich tatsächlich als nicht unerhebliche Schwierigkeit. Die Digitale-Inhalte-Richtlinie und die Modernisierungsrichtlinie machen den nationalen Gesetzgebern insoweit keine Vorgaben. Die Frage des Vertragsschlusses wird ausdrücklich den Mitgliedstaaten überlassen (vgl. Art. 3 Abs. 10 der Digitale-Inhalte-Richtlinie sowie Erwägungsgrund 57 der Modernisierungsrichtlinie).
Auch für die in § 312 Abs. 1a BGB und § 327 Abs. 3 BGB geregelten Fälle des „Bezahlens mit Daten“ ist folglich nach den allgemeinen vertragsrechtlichen Regelungen (§ 145 ff. BGB) im Einzelfall zu prüfen, ob ein Vertrag zustande gekommen ist.35 Insbesondere Leistungen, die ein Verbraucher im Internet gegen Hingabe seiner Daten „kostenlos“ erhält, bedürfen hier einer exakteren Betrachtung. Der Gesetzgeber geht in seiner Begründung zutreffend davon aus, dass insbesondere die Frage des Rechtsbindungswillens entscheidend ist, die anhand objektiver Kriterien zu ermitteln sei (§§ 133, 157 BGB).36 Ob ein Rechtsbindungswille besteht, hängt davon ab, ob die Parteien aus verobjektivierter Sicht den Willen haben, sich rechtlich zu binden, oder ob lediglich eine unverbindliche Gefälligkeit vorliegen soll. Dafür muss auf die üblichen Kriterien abgestellt werden, so „die Art der Gefälligkeit, ihren Grund und Zweck, ihre wirtschaftliche und rechtliche Bedeutung (insbesondere für den Empfänger) sowie die Umstände, unter denen sie erbracht wird“.37 Es ist folglich auf die von der Rechtsprechung bisher entwickelnden Grundsätze zurückzugreifen.38
Zu beachten ist dabei nach wie vor, dass es sich hier um personenbezogene Daten, mithin um das allgemeine Persönlichkeitsrecht des Verbrauchers handelt und damit die relevanten Sachverhalte einen grundrechtsrelevanten Bezug aufweisen. Zu berücksichtigen ist zudem, dass es das ausdrücklich erklärte Ziel insbesondere der Digitale-Inhalte-Richtlinie ist, dem Verbraucher Rechtsbehelfe im Zusammenhang mit mittlerweile weit verbreiteten Geschäftsmodellen zur Verfügung zu stellen, bei denen der Verbraucher anstelle einer Preiszahlung dem Unternehmer personenbezogene Daten bereitstellt.39 Schon aus diesem Grund dürfte der Vertragsschluss im Zweifel eher anzunehmen sein als ein bloßes Gefälligkeitsverhältnis, aus dem einem Verbraucher im Zweifel keine weiteren Ansprüche zustehen, wenn die Leistung des Unternehmers mangelhaft ist oder gar nicht erbracht wird.
Nach der Gesetzesbegründung zu § 327 Abs. 3 BGB soll zudem für einen Vertragsschluss sprechen, wenn der Unternehmer einen Verbraucher mit seinem Angebot dazu motivieren will, seine Website immer wieder zu besuchen, oder wenn er seine Dienste oder Leistungen erbringt, weil er daraus Einnahmen erzielen kann (z. B. durch Werbung, deren Vergütung natürlich von der Anzahl der Zugriffe auf eine Website abhängt) oder weil er dem jeweiligen Verbraucher personalisierte Werbung ausspielen möchte.40
Diese Erwägungen des Gesetzgebers sind etwas holprig. Entscheidend dürfte sein, ob der Verbraucher auf die Bereitstellung der Dienste bzw. Leistungen und deren Mangelfreiheit durch den Unternehmer (ganz gleich, ob es sich um digitale Dienstleistungen oder digitale Inhalte handelt) vertraut und deswegen Dispositionen trifft. Ob sich dies trotz des für das Internet typischen Massenverkehrs ohne persönlichen Kontakt zwischen den Parteien typisiert und verobjektiviert feststellen lässt, ist zweifelhaft. Dies gilt insbesondere, wenn man die wirtschaftlichen Dispositionen des Verbrauchers betont. Es dürften im Einzelfall ganz unterschiedliche Beweggründe für die Nutzung einer Leistung bestehen. Aus einem Vertrag erwachsen zudem auch für einen Verbraucher Pflichten; es muss also keineswegs so sein, dass der Verbraucher typisiert einen Vertrag schließen möchte.
d) Daten als synallagmatische Gegenleistung
Eine weitere, nicht nur dogmatische Frage ist, ob die Hingabe der personenbezogenen Daten durch den Verbraucher tatsächlich im Synallagma zur Leistung des Unternehmers steht bzw. stehen kann. Sowohl § 312 Abs. 1a BGB als auch § 327 Abs. 3 BGB verlangen nur, dass der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Beide Vorschriften verzichten auf die Präposition „gegen“, wie diese etwa in § 327 Abs. 1 BGB enthalten ist („…gegen Zahlung eines Preises“), welche für eine synallagmatische Gegenleistung sprechen würde.
Wollte man eine synallagmatische Gegenleistung bejahen, hätte dies zur Folge, dass der Unternehmer einen einklagbaren Anspruch gegen den Verbraucher auf Bereitstellung seiner personenbezogenen Daten hätte, wenn die Parteien einen Vertrag geschlossen haben. Dagegen bestehen erhebliche Bedenken. Der Gesetzgeber hat das Problem erkannt, war allerdings nicht bereit, es auch zu lösen; stattdessen hat er auf eine rechtsdogmatische Einordnung hinsichtlich der Bereitstellung personenbezogener Daten ausdrücklich verzichtet.41 Die Rechtsfolgen der §§ 312 ff. und §§ 327 ff. BGB sollen ungeachtet dessen gelten, ob der Verbraucher die personenbezogenen Daten als Gegenleistung bereitstellt oder ob diese im Gegenseitigkeitsverhältnis mit der vom Unternehmer erbrachten Leistung stehen.42
So pauschal kann man das nicht abhandeln. Es macht durchaus einen praktischen Unterschied, ob ein Unternehmer die Bereitstellung personenbezogener Daten, wie vertraglich vereinbart, einklagen kann, oder nicht. Dem Gesetzgeber ist allerdings zuzugeben, dass ein Einklagen wohl eher untypisch sein dürfte. Der Verbraucher könnte durch die Ausübung seiner datenschutzrechtlichen Rechte jederzeit den Widerruf seiner Einwilligung in die Verarbeitung seiner personenbezogenen Daten erklären. Damit würde die Klage unbegründet werden. Auch der Wortlaut von § 327q Abs. 1 BGB spricht dafür, dass die Bereitstellung der personenbezogenen Daten gerade keine im Synallagma stehende Verpflichtung des Verbrauchers ist.43 Danach soll die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss keinen Einfluss auf die Wirksamkeit des Vertrags haben. Wenn die Leistungen tatsächlich in einem Gegenseitigkeitsverhältnis stehen würden, wäre diese Regelung systemwidrig.
Viel eher ist daher davon auszugehen, dass es sich bei der Bereitstellung personenbezogener Daten um eine unvollkommene Verbindlichkeit handelt, wie sie etwa aus den Vorschriften zur Wette bzw. zum Spiel (§ 762 BGB) bekannt ist. Damit kann die Verpflichtung zur Bereitstellung personenbezogener Daten gerichtlich nicht durchgesetzt werden. Dieser Ansatz scheint auch in praktischer Hinsicht sinnvoll, weil ein Verbraucher mit einer entsprechenden datenschutzrechtlichen Erklärung das gleiche Ergebnis erreichen würde.
e) Bereitstellen oder Verpflichtung dazu
Ausweislich des Wortlauts der einschlägigen Normen muss ein Verbraucher seine personenbezogenen Daten bereitstellen oder sich zu deren Bereitstellung verpflichten. Der Begriff der Bereitstellung soll möglichst weit verstanden werden und alle möglichen Arten der Verarbeitung personenbezogener Daten durch den Unternehmer erfassen.44 Dazu zählen auch die Daten Dritter; der Wortlaut beschränkt sich jedenfalls nicht auf die Bereitstellung der Daten durch den Vertragspartner selbst.45
Erfasst wird dabei zunächst das aktive Zurverfügungstellen, wenn also der Verbraucher dem Unternehmer seine Daten aktiv übermittelt. In diesen Fällen hat der Verbraucher dem Unternehmer seine personenbezogenen Daten unzweifelhaft bereitgestellt.46 Schwieriger ist die Frage, ob stets ein aktives Tätigwerden des Verbrauchers erforderlich ist, um ein Bereitstellen im Sinne der Vorschrift bejahen zu können. Es genügt nach überwiegender Ansicht auch, wenn der Verbraucher die Verarbeitung seiner personenbezogenen Daten durch den Unternehmer zulässt.47 Wann dies geschieht, also im Zeitpunkt des Vertragsschlusses oder im weiteren Verlauf des Vertragsverhältnisses, ist dabei unerheblich.48 Wenn man diesen Gedanken konsequent zu Ende denkt, ist mithin auch das Erfassen von personenbezogenen Daten durch Cookies von dem Begriff der Bereitstellung umfasst. Sogar das Erfassen von Metadaten, also notwendigen Informationen, die unabhängig von Cookies gesammelt werden (IP-Adresse, Version des Browsers, Art des Geräts, gegebenenfalls Standortdaten), ist umfasst.49 Dies eröffnet einen sehr weiten Anwendungsbereich, weil damit faktisch jeder Besuch einer Website zu einem Vertragsschluss führen kann, wenn aus einer verobjektivierten und typisierten Sicht50 der Verbraucher von einem Vertragsschluss ausgegangen werden kann. Die Konsequenzen für Website-Betreiber sind erheblich.51 Wenn die auf der Website vorgehaltenen Informationen Gegenstand einer entgeltlichen Leistung sind, greift bei digitalen Produkten das Rechtsfolgenregime der §§ 327 ff. BGB, insbesondere auch bei Nichtbereitstellung und Mängeln (§ 327c und § §§ 327e BGB). Es ist mehr als fraglich, ob eine so weite Erstreckung tatsächlich notwendig und gewünscht ist.
Anwendbar sind die §§ 312 ff. und §§ 327 ff. BGB (einen wirksamen Vertragsschluss vorausgesetzt) auch dann, wenn sich der Verbraucher zur Bereitstellung von personenbezogenen Daten verpflichtet hat. Diese Alternative setzt aufgrund ihres Wortlauts („sich … verpflichtet“) einen entsprechenden Willen und damit grundsätzlich eine Einwilligung des Verbrauchers in die Datenverarbeitung im Sinne des Art. 6 Abs. 1 lit. a DSGVO voraus. Sie wirft deshalb in datenschutzrechtlicher Hinsicht Probleme auf. Art. 7 Abs. 4 DSGVO verlangt, dass die Einwilligung „freiwillig“ erteilt wurde. Um diese Freiwilligkeit zu wahren, sieht Art. 7 Abs. 3 DSGVO vor, dass die betroffene Person das Recht hat, ihre Einwilligung jederzeit zu widerrufen. Eine (vertragliche) Verpflichtung für die Zukunft zur Bereitstellung von personenbezogenen Daten würde aber eine mit der DSGVO nicht vereinbare Einschränkung des freien Widerrufsrechts zur Folge haben.52 Folglich kann sich eine vertragliche Verpflichtung zur Bereitstellung personenbezogener Daten gegen das freie Widerrufsrecht nicht durchsetzen.
3. Rechtmäßigkeit der Datenverarbeitung
Das Bezahlen mit Daten schafft neben der Datenschutzgrundverordnung keine neue Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten durch den Unternehmer, da die Datenschutzgrundverordnung insoweit ausdrücklich Vorrang genießt.53 Es muss folglich einer der Tatbestände in Art. 6 Abs. 1 DSGVO gegeben sein. Typischerweise wird dies wohl Art. 6 Abs. 1 lit. a (Einwilligung des Betroffenen), lit. c (Vertragserfüllung) oder lit. f (berechtigte Interessen) sein.54 Allerdings stellt die Gesetzesbegründung ausdrücklich klar, dass es für die Anwendbarkeit der §§ 312 ff. und §§ 327 ff. BGB gerade nicht auf die Frage der datenschutzrechtlichen Rechtsmäßigkeit der Datenverarbeitung ankommt, da ein derartiges enges Verständnis den Zweck der Regelungen, den Verbraucher zu schützen, andernfalls vereiteln würde.55 Insbesondere sollen datenschutzrechtliche Verstöße nicht die Vermutung des § 134 BGB auslösen.56 Ein Verbraucher, der einer unrechtmäßigen Datenverarbeitung ausgesetzt wird (indem er bspw. in eine Datenverarbeitung einwilligt, über deren Umfang er aber nicht ordnungsgemäß informiert wurde), ist in der Tat nicht weniger schutzwürdig als ein Verbraucher, der für die Inanspruchnahme eines Dienstes personenbezogene Daten zur Verfügung stellt, die von dem Unternehmer in rechtmäßiger Weise verarbeitet werden. Eine gegenteilige Auffassung hätte für einen Verbraucher die untragbare Konsequenz, dass nicht nur seine Daten unter Verstoß gegen die Datenschutzgrundverordnung verarbeitet werden, sondern ihm deswegen darüber hinaus auch die besonderen verbraucherschutzrechtlichen Rechte des BGB verwehrt wären; eine solche Doppelbestrafung wäre nicht hinnehmbar und auch die damit einhergehende Privilegierung des Unternehmers nicht einzusehen.57 Zuzustimmen ist auch dem deutschen Gesetzgeber, dass der Verbraucher regelmäßig gar nicht in der Lage sein wird, die Rechtmäßigkeit der Datenverarbeitung zu beurteilen.58
Die Unrechtmäßigkeit der Datenverarbeitung hat folglich keine Auswirkungen auf die Anwendbarkeit der §§ 312 ff. und §§ 327 ff. BGB und auf die Wirksamkeit eines einmal zustande gekommenen Vertrags.
4. Ausnahmen
Kein Bezahlen mit Daten liegt gemäß § 312 Abs. 1a S. 2 BGB bzw. gemäß § 327 Abs. 3 i. V. m. § 312 Abs. 1a S. 2 BGB vor, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.
Während unter die zweite Ausnahmeregelung in § 312 Abs. 1a S. 2 BGB (Erfüllung rechtlicher Anforderungen) nach Steuer- oder Ordnungsrecht notwendige Datenverarbeitungen59 oder etwa auch gesetzlich vorgeschriebene Registrierungen der Verbraucher zu Sicherheits- und Identifizierungszwecken60 fallen, betrifft die erste Alternative Verarbeitungen personenbezogener Daten, die ausschließlich zur Vertragserfüllung erfolgen. Unter letztere Alternative fallen beispielsweise die Angabe von Namen und Lieferadresse, die der Unternehmer benötigt, um dem Verbraucher die von ihm bestellte Ware zukommen zu lassen.61 Beide Alternativen stellen damit einen klaren Bezug zu den gesetzlichen Erlaubnistatbeständen in Art. 6 Abs. 1 lit. c und lit. e sowie Art. 6 Abs. 1 lit. b DSGVO her,62 sodass die Beurteilung, welche Verarbeitung zur Erfüllung rechtlicher Anforderungen oder vertraglicher Pflichten erforderlich ist, nach den vorgenannten Normen zu erfolgen hat. Insoweit kann laut Gesetzesbegründung zur Auslegung insbesondere auf die von dem Europäischen Datenschutzausschuss erarbeiteten Leitlinien zu Art. 6 Abs. 1 lit. b DSGVO zurückgegriffen werden.63 Letztere stellen klar, dass die bloße Erwähnung der Verarbeitung bestimmter Daten in einem Vertrag gerade nicht ausreicht, um eine Verarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO zu rechtfertigen.64 Ob die konkrete Verarbeitung tatsächlich erforderlich ist, ist vielmehr anhand objektiver Kriterien zu beurteilen; eine von einer Partei einseitig auferlegte Verarbeitung oder eine Erwähnung im Vertrag haben nicht automatisch zur Folge, dass die konkrete Verarbeitung im Sinne von Art. 6 Abs. 1 lit. b DSGVO erforderlich ist.65
Kennzeichnend für beide Ausnahmen ist, dass die Folgen der §§ 312 ff. und §§ 327 ff. BGB faktisch dann nicht gelten, wenn der Unternehmer aus der Bereitstellung der personenbezogenen Daten keinen wirtschaftlichen Mehrwert ziehen kann.66 Voraussetzung für den Ausschluss ist allerdings, dass die nach Maßgabe von Art. 6 Abs. 1 lit. c und lit. e oder Art. 6 Abs. 1 lit. b DSGVO verarbeiteten personenbezogenen Daten zu keinem weiteren Zweck verarbeitet werden. In dieser weiteren Voraussetzung ist der sich aus Art. 5 Abs. 1 lit. b DSGVO ergebende Grundsatz der Zweckbindung verankert, wonach personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.67 Wurden personenbezogene Daten unter Rückgriff auf Art. 6 Abs. 1 lit. c und lit. e oder Art. 6 Abs. 1 lit. b DSGVO erhoben und verarbeitet der Unternehmer diese Daten anschließend zu anderen Zwecken, ist der Anwendungsbereich der §§ 312 ff. und §§ 327 ff. BGB eröffnet. Offen lässt der Gesetzgeber jedoch die Frage, welche Auswirkungen der damit einhergehende Verstoß gegen den Grundsatz der Zweckbindung in vertragsrechtlicher Hinsicht hat, insbesondere auf die Haftung des Unternehmers aus einer Vertragsverletzung.68 Diese Frage mag aber wohl eher theoretischer Natur sein, da der Verbraucher in den meisten Fällen von dem Verstoß gar keine Kenntnis erlangen wird.69
III. Rechtsfolgen, § 327q BGB
Der neue § 327q BGB regelt die Rechtsfolgen, wenn ein Verbraucher, der einen Vertrag über digitale Produkte abgeschlossen hat, von seinen datenschutzrechtlichen Betroffenenrechten Gebrauch macht oder datenschutzrechtliche Erklärungen abgibt. Nach dem Willen des Gesetzgebers dürfen einen Verbraucher nicht deswegen Sanktionen treffen, weil er seine datenschutzrechtlichen Rechte ausübt.70
1. Datenschutzrechtliche Betroffenenrechte und Erklärungen
Die Norm spricht zunächst von der Ausübung von datenschutzrechtlichen Betroffenenrechten. Während das Auskunftsrecht des Betroffenen aus Art. 15 DSGVO einen etwaigen Vertragsschluss unberührt lässt, können insbesondere die weiteren Rechte aus Art. 16 (Recht auf Berichtigung), Art. 17 (Recht auf Löschung) und Art. 18 (Recht auf Einschränkung der Verarbeitung) durchaus dazu führen, dass die Verarbeitungstätigkeit durch den Unternehmer eingeschränkt wird. Ausweislich des Wortlauts führt dies dazu, dass die Wirksamkeit des Vertrags unberührt bleibt.
Datenschutzrechtliche Erklärungen im Sinne der Vorschrift sind insbesondere der Widerruf einer Einwilligung i. S. d. Art. 7 Abs. 3 DSGVO und der Widerspruch gegen eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e und Abs. 1 lit. f bzw. nach Art. 21 Abs. 2 DSGVO gegen die Verarbeitung zum Zwecke der Direktwerbung. Diese datenschutzrechtlichen Erklärungen des Verbrauchers haben eine massive Auswirkung auf die künftige Verarbeitungstätigkeit des Unternehmers.
Gleichwohl soll auch für sie wegen § 327q Abs. 1 BGB gelten, dass deren Ausübung die Wirksamkeit des Vertrags nicht berührt. Insbesondere steht dem Unternehmer damit kein Zurückbehaltungsrecht nach § 273 BGB mehr zu. In Fällen, in denen der Verbraucher sich folglich lediglich bereiterklärt hat, seine personenbezogenen Daten bereitzustellen und dieser Bereitschaft später nicht mehr nachkommt, bevor der Unternehmer seine Leistung erbracht hat, bleibt der Unternehmer zur künftigen Leistung verpflichtet. Umgekehrt behält der Verbraucher trotz der Ausübung seiner datenschutzrechtlichen Erklärung die ihn als Verbraucher schützenden Gewährleistungsrechte der §§ 327 ff. BGB. Nur so kann sichergestellt werden, dass ein Verbraucher nicht davon abgehalten wird, von seinen datenschutzrechtlichen Rechten Gebrauch zu machen. Müsste er befürchten, durch die Ausübung in seinen Rechten beschränkt zu werden, würde er gegen seinen Willen an etwas festgehalten, was er gar nicht mehr möchte.
2. Kündigungsrecht des Unternehmers
327q Abs. 2 BGB regelt die weiteren zivilrechtlichen Folgen nach Ausübung einer datenschutzrechtlichen Erklärung durch den Verbraucher. Insoweit hat die Digitale-Inhalte-Richtlinie dem nationalen Gesetzgeber keine Vorgaben gemacht.71 Die Regelungen zur Kündigung sind mithin vom deutschen Gesetzgeber autonom geschaffen worden.
Für den Fall einer Reihe einzelner Bereitstellungen digitaler Produkte oder der dauerhaften Bereitstellung eines digitalen Produkts ist der Unternehmer aufgrund von § 327q Abs. 1 BGB verpflichtet, in Zukunft seine Leistung weiter zu erbringen, ohne dass er die vertraglich vereinbarte Gegenleistung des Verbrauchers erhält. Diesem Umstand trägt der Gesetzgeber damit Rechnung, dass er dem Unternehmer im Falle eines datenschutzrechtlichen Widerrufs oder Widerspruchs durch den Verbraucher ein außerordentliches Kündigungsrecht einräumt, jedoch nur dann, wenn ihm unter Berücksichtigung des weiteren zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann. Erforderlich ist also eine Interessenabwägung zwischen den Interessen des Unternehmers und denen des Verbrauchers an der Fortsetzung des Vertrags trotz erfolgten Widerspruchs bzw. Widerrufs des Verbrauchers. In welchen Fällen dem Unternehmer die Fortsetzung des Vertragsverhältnisses bis zum nächstmöglichen ordentlichen Beendigungszeitpunkt nicht mehr zugemutet werden kann, wird Gegenstand einer Einzelfallrechtsprechung sein (müssen); eine pauschale Festlegung von Kriterien ist im grundrechtsrelevanten Bereich kaum denkbar. Schwierig ist insoweit insbesondere der Hinweis des Gesetzgebers, wonach im Rahmen der Abwägung zu berücksichtigen sei, dass eine zunächst auf Art. 6 Abs. 1 lit. a DSGVO gestützte Verarbeitung nach Widerruf der Einwilligung u. U. auch auf andere Erlaubnistatbestände gestützt werden könne.72 Problematisch ist die vorzunehmende Abwägung auch, wenn man das vom Gesetzgeber in Bezug auf die Regelung in § 327q Abs. 1 BGB erklärte Ziel berücksichtigt, den Verbraucher nicht in der Ausübung seiner datenschutzrechtlichen Rechte zu beschränken, indem er in Unsicherheit über das Schicksal des Vertrags gelassen wird. Allerdings hat die nach § 327 Abs. 2 BGB vorzunehmende Abwägung und das damit zusammenhängende Kündigungsrecht des Unternehmers gerade eine solche Unsicherheit zur Folge. In der Regel wird man jedenfalls davon ausgehen müssen, dass die weitere Bereitstellung seiner Leistungen dem Unternehmer auch ohne die Hingabe der personenbezogenen Daten des Verbrauchers zumutbar ist.
Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten und handelt es sich um eine einmalige Bereitstellung digitaler Inhalte, so findet § 327q Abs. 2 BGB dafür keine Regelung. Konsequenz ist, dass der Verbraucher den digitalen Inhalt behalten darf.
Keine Regelung findet sich auch für die Frage, ob einem Verbraucher nach der Ausübung seiner datenschutzrechtlichen Rechte weiterhin alle Rechte aus dem geschlossenen Vertrag zustehen sollen, die ihm gemäß den §§ 327 ff. BGB zugedacht sind. Dem könnte jedenfalls die Überlegung entgegenstehen, dass es widersprüchlich i. S. d. § 242 BGB ist, wenn ein Verbraucher einerseits nicht bereit ist, seiner eingegangenen (aber nicht durchsetzbaren) Verpflichtung zur Bereitstellung seiner personenbezogenen Daten nachzukommen, er aber andererseits die ihm aus den §§ 327 ff. BGB zustehenden Rechte einfordert. Nach der Konzeption des neuen Rechts scheint der Gesetzgeber dies allerdings in Kauf zu nehmen.
Problematisch ist allerdings das Verhältnis zum Kopplungsverbot des Art. 7 Abs. 4 DSGVO, der die Freiwilligkeit bei einer Hingabe von personenbezogenen Daten in Frage stellt, wenn die Vertragserfüllung davon abhängig gemacht wird, obgleich der konkrete Verarbeitungsvorgang nicht für die Vertragserfüllung erforderlich ist.73 Art. 7 Abs. 4 DSGVO soll die Freiwilligkeit der Einwilligung sicherstellen. Der Betroffene soll nicht in unbilliger Weise durch emotionalen oder wirtschaftlichen Druck zu einer Hingabe von für die Vertragserfüllung nicht erforderlichen personenbezogenen Daten veranlasst werden.74 Der Grundsatz der Freiwilligkeit der Einwilligung wird durch das Recht des Betroffenen gemäß Art. 7 Abs. 3 DSGVO flankiert, seine Einwilligung jederzeit zu widerrufen. Probleme wirft das Kopplungsverbot insoweit nicht nur bei Vertragsschluss auf, sondern auch im Hinblick auf das dem Unternehmer nachträglich gemäß § 327q Abs. 2 BGB zustehende Kündigungsrecht für den Fall eines datenschutzrechtlichen Widerrufs durch den Verbraucher und bei Unzumutbarkeit der Vertragsfortführung. Müsste ein Verbraucher im Falle des Widerrufs seiner Einwilligung mit einer (von ihm nicht gewünschten) Vertragskündigung durch den Unternehmer rechnen, könnte auch dies zur Folge haben, dass der Verbraucher faktisch keine andere Wahl hat, als seine Zustimmung in eine weitere Datenverarbeitung aufrechtzuerhalten, die er mittlerweile nicht mehr wünscht. Zwar stellt das in Art. 7 Abs. 4 DSGVO geregelte Kopplungsverbot darauf ab, ob die Einwilligung freiwillig „erteilt“ wurde. Im Interesse des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten kann es aber nicht alleine darauf ankommen, ob die Einwilligung nur bei erstmaliger Bereitstellung der Daten „freiwillig“, d. h. ohne Druck und Zwang, erteilt wurde. Vielmehr muss diese auch freiwillig „aufrechterhalten“ werden. Vor diesem Hintergrund ist die Neuregelung in § 327q Abs. 2 BGB mit dem Kopplungsverbot aus Art. 7 Abs. 4 DSGVO nicht vereinbar; auch der Hinweis auf die „beiderseitigen Interessen“ kann dies nicht retten, weil bereits die abschreckende Wirkung ausreichen kann, dass ein Verbraucher von der Ausübung seiner datenschutzrechtlichen Rechte Abstand nimmt. Die Regelung darf im Rahmen einer europarechtskonformen Auslegung daher nicht angewandt werden. Entgegen dem Wortlaut des § 327q Abs. 2 BGB kann sich ein Unternehmer nach der Ausübung eines datenschutzrechtlichen Rechts durch den Verbraucher daher nicht vom Vertrag lösen.
3. Ausschluss von Schadensersatzansprüchen
Schließlich regelt § 327q Abs. 3 BGB, dass Ersatzansprüche des Unternehmers gegen den Verbraucher wegen eines durch die Ausübung von Datenschutzrechten oder die Abgabe datenschutzrechtlicher Erklärungen bewirkten Einschränkung der zulässigen Datenverarbeitung ausgeschlossen sind. Der Begriff der Ersatzansprüche ist an die mietrechtlichen Regelungen und dort § 548 BGB angelehnt und soll umfassend zu verstehen sein.75 Umfasst sind gesetzliche Nutzungs- und Schadensersatzansprüche sowie Ansprüche aus ungerechtfertigter Bereicherung und Geschäftsführung ohne Auftrag. Die Regelung ist konsequent; wären solche Ansprüche nicht ausgeschlossen, würde die Regelung in § 327q Abs. 1 BGB durch die Hintertür wieder ausgehebelt. Zudem bestünden erhebliche Bedenken, ob damit die freie Wahl des Verbrauchers nicht eingeschränkt wäre.
Anders als in § 327o Abs. 2 BGB, der im Falle der Beendigung des Vertrags bei Zahlung des Verbrauchers einer Geldleistung einen Rückzahlungsanspruch vorsieht, regelt § 327p Abs. 2 BGB explizit, dass eine Rückgabe personenbezogener Daten nicht in Betracht kommt; lediglich Inhalte muss der Unternehmer dem Verbraucher bereitstellen. Insoweit von einer Schlechterstellung des Verbrauchers beim Bezahlen mit Daten zu sprechen, scheint aber nicht angezeigt zu sein. Immerhin darf der Verbraucher beim Bezahlen mit Daten die Leistung des Unternehmers – vorbehaltlich eines außerordentlichen Kündigungsrechts – weiter in Anspruch nehmen, während er beim Bezahlen mit Geld die Nutzung wegen § 327p Abs. 1 BGB einstellen muss.
4. Analoge Anwendung auf andere Verbraucherverträge
Anders als für die digitalen Produkte fehlt ein Rechtsfolgenregime für die vom Anwendungsbereich des § 312 BGB umfassten Verbraucherverträge. Es findet sich weder in der Digitale-Inhalte-Richtlinie noch in der Modernisierungsrichtlinie etwas dazu, was mit diesen Verträgen geschehen soll, wenn ein Verbraucher von einem seiner datenschutzrechtlichen Rechte Gebrauch macht, also z. B. bei der Zusendung von Ware im Wege eines Fernabsatzgeschäfts gegen Zurverfügungstellung seiner personenbezogenen Daten. Die Richtlinien sehen dies nämlich nicht vor. Art. 3 Abs. 1a der Modernisierungsrichtlinie, der den Anwendungsbereich der Verbraucherrechterichtlinie modifiziert, erwähnt das „Bezahlen mit Daten“ ausschließlich i. V. m. Verträgen über digitale Inhalte, die nicht auf einem körperlichen Datenträger geliefert werden, sowie bei digitalen Dienstleistungen. Gemeint sind damit die in den §§ 327 ff. BGB geregelten Verträge über digitale Produkte. Mit der durch Art. 3 Abs. 1a der Modernisierungsrichtlinie herbeigeführten Änderungen sollte lediglich die vollständige Übereinstimmung der Verbraucherrechterichtlinie mit der Digitale-Inhalte-Richtlinie sichergestellt werden.76
Der Wortlaut des § 312 Abs. 1a BGB, der nur einen Verbrauchervertrag voraussetzt, geht weiter. Eine Beschränkung auf digitale Produkte sieht § 312 Abs. 1a BGB nicht vor. Der deutsche Gesetzgeber hat dies bewusst so gestaltet und den Anwendungsbereich über den der Verbraucherrechterichtlinie hinaus erweitert.77 Eine derartige überschießende Umsetzung gestattet Erwägungsgrund 13 der Verbraucherrechterichtlinie, wonach Mitgliedstaaten befugt sind, die Richtlinie auf Bereiche anzuwenden, die nicht in deren Anwendungsbereich fallen. Nicht erkannt zu haben scheint der deutsche Gesetzgeber allerdings die damit gerissene Regelungslücke, denn ein Rechtsfolgeregime, wie es § 327q BGB für digitale Produkte vorsieht, fehlt. Vor diesem Hintergrund stellt sich die Frage der analogen Anwendung von § 327q BGB auf sonstige Verträge i. S. d. § 312 Abs. 1a BGB, die kein digitales Produkt zum Gegenstand haben. Die Gesetzesbegründung schweigt jedenfalls zu den vertragsrechtlichen Folgen einer datenschutzrechtlichen Erklärung des Verbrauchers im Zusammenhang mit Verträgen nach § 312 Abs. 1a BGB.
Vor diesem Hintergrund ist zu überlegen, ob die Regelung in § 327q BGB analog auf die weiteren von § 312 BGB umfassten Verbraucherverträge angewandt werden muss. Eine Regelungslücke besteht. Die ist Interessenlage ist identisch. Zwar mag die Hingabe von personenbezogenen Daten vor allem bei Verträgen über digitale Produkte verbreitet sein. Ein Verbraucher, der gegen Hingabe von Daten eine Ware erwirbt, ist aber genauso schutzwürdig wie ein Verbraucher, der einen Vertrag über digitale Produkte schließt. Es kann aus Gründen des Verbraucherschutzes und des Datenschutzrechts keinen Unterschied machen, ob der Verbraucher personenbezogene Daten bereitstellt, um bspw. einen Streaming-Dienst in Anspruch zu nehmen oder um eine Ware im Fernabsatz zu erwerben. Auch er sollte nicht in Unsicherheit über das Schicksal seines Vertrags gelassen und Ersatzansprüchen des Unternehmers ausgesetzt werden (vgl. § 327q Abs. 1 und Abs. 3 BGB). Gleichzeitig ist ein Unternehmer, der sich zur regelmäßigen Lieferung von Waren oder zur Erbringung sonstiger Dienstleistungen verpflichtet, im Hinblick auf die fortlaufenden Aufwendungen für die Aufrechterhaltung seines Angebotes genauso schutzwürdig wie ein Unternehmer, der sich zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet hat.78 Diese Regelungslücke ist auch planwidrig, wie das Gesetzgebungsverfahren zeigt.
Die analoge Anwendbarkeit des § 327q BGB auf Verträge i. S. d. § 312 Abs. 1a BGB, die kein digitales Produkt zum Gegenstand haben, ist folglich zu bejahen. Auch in diesem Zusammenhang dürfte aber eine europarechtskonforme Auslegung der analogen Anwendbarkeit des Kündigungsrechts aus § 327q Abs. 2 BGB entgegenstehen.
IV. Fazit
Das „Bezahlen mit Daten“ ist trotz der Auslegung des Begriffs der Entgeltlichkeit in der Vorgängerregelung in § 312 Abs. 1 BGB a. F. ein neues Feld, das mit § 327q BGB jedenfalls für digitale Produkte ein Regelungsregime erhalten hat, das zumindest rudimentär das Verhältnis zwischen Datenschutz und Zivilrecht regelt, aber hinsichtlich der Kündigungsmöglichkeit des Unternehmers europarechtswidrig ist. Für die besonderen Vertriebsformen und die allgemeinen Regelungen für Verbraucherverträge fehlt es an einer Regelung, was im Falle der Ausübung der datenschutzrechtlichen Rechte eines Verbrauchers geschehen soll; hier ist § 327q BGB analog anzuwenden. Aus den neuen Regelungen wird offenbar, dass den Rechtsverkehr eine Reihe von Problemen erwartet. Die Regelungen des BGB zum Vertragsschluss im grundrechtsrelevanten Bereich lassen sich mit pauschalen Abwägungskriterien kaum in den Griff bekommen. Zu erwarten ist daher eine Einzelfallrechtsprechung und damit für lange Zeit wenig Rechtssicherheit.
1 Brönneke/Schmidt, VuR 2014, 3 ff.; Wendehorst, NJW 2014, 577, 580; Czajkowski/Müller-ter Jung, CR 2018, 157, 160; diff. Buchmann, K&R 2014, 2014, 369; a. A. Spindler/Schuster/Schirmbacher, Recht der elektronischen Medien, 4. Aufl. 2019, BGB, § 312 Rn. 30.
2 RL (EU) 2019/770 v. 20. 5. 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen.
3 RL (EU) 2019/2161 v. 27. 11. 2019 zur Änderung der RL 93/13/EWG des Rates und der RL 98/6/EG, 2005/29/EG und 2011/83/EU des Europäischen Parlaments und des Rates zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union.
4 BT-Drs. 19/27653, S. 34.
5 VO (EU) 2016/679 v. 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
6 Identisches findet sich im neuen Art. 2 Abs. 1 Nr. 4a der Verbraucherrechterichtlinie 2011/83/EU.
7 RL 2011/83/EU v. 25. 10. 2011 über die Rechte der Verbraucher.
8 Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen vom 25. 6. 2021, BGBl. I S. 2123 ff.
9 Siehe dazu unten unter III.
10 Gesetz zur Änderung des Bürgerlichen Gesetzbuchs und des Einführungsgesetzes zum Bürgerlichen Gesetzbuche in Umsetzung der EU-Richtlinie zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union und zur Aufhebung der Verordnung zur Übertragung der Zuständigkeit für die Durchführung der VO (EG) Nr. 2006/2004 auf das Bundesministerium der Justiz und für Verbraucherschutz v. 10. 8. 2021, BGBl. I S. 3483 ff.
11 Während die Digitale-Inhalte-Richtlinie bis zum 1. 7. 2021 umzusetzen war, war die Modernisierungsrichtlinie erst bis zum 28. 11. 2021 umzusetzen.
12 BT-Drs. 19/27653, S. 34; s. zudem oben Fn. 1.
13 BT-Drs. 19/27653, S. 34.
14 Siehe dazu unten unter III. 4.
15 Dazu ausführlich Buchmann/Panfili, K&R 2022, 73, 75.
16 BT-Drs. 19/27653, S. 35.
17 Zum umgekehrten Fall: Maume, NJW 2016, 1041 ff.
18 Vgl. hierzu Martens, in: Hau/Poseck, BeckOK BGB, 61. Edition, Stand: 1. 2. 2022, BGB § 312 Rn. 11.
19 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 13 BGB, Rn. 3.
20 So auch ErwG 33 der Modernisierungsrichtlinie.
21 Ausführlich: Arning/Rothkegel, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Aufl. 2022, Art. 4, Rn. 8 ff.
22 BT-Drs. 19/27653, S. 36, 40.
23 Götting, Persönlichkeitsrechte als Vermögensrechte, 2019, S. 168 ff.
24 BVerfG, 15. 12. 1983 – 1 BvR 209/83.
25 Schmidt/Weichert, Datenschutz, 2012, S. 71 f.
26 BVerfG, 22. 8. 2006 – 1 BvR 1168/04.
27 Götting, in: Schricker/Loewenheim, Urheberrecht, 6. Aufl. 2020, § 22 KUG, Rn. 7.
28 https://de.wikipedia.org/wiki/Bumfights.
29 Mikat, TV Diskurs 2015, S. 46, abrufbar unter https://tvdiskurs.de/data/hefte/ausgabe/71/mikat_menschenwuerde_044_tvd71.pdf.
30 European Data Protection Supervisor, Stellungnahme 4/2017, S. 9 f., abrufbar unter https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_de.pdf.
31 European Data Protection Supervisor, Stellungnahme 4/2017, S. 9.
32 RL (EU) 2019/771 v. 20. 5. 2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs.
33 Żdanowiecki, DSRITB 2018, 559, 562.
34 Kroschwald/Polenz, in: Brönneke/Föhlisch/Tonner, Das neue Schuldrecht, 2022, § 6 Rn. 16 ff.
35 BT-Drs. 19/27653, S. 40.
36 BT-Drs. 19/27653, S. 40.
37 BT-Drs. 19/27653, S. 40.
38 Grundlegend: BGH, 22. 6. 1956 – I ZR 198/54.
39 ErwG 24 der Digitale-Inhalte-Richtlinie.
40 BT-Drs. 19/27653, S. 40.
41 BT-Drs. 19/27653, S. 35, 40.
42 BT-Drs. 19/27653, S. 35, 40.
43 Wie hier Klink-Straub, NJW 2021, 3217, 3219 f.; Hacker, ZfPW 2019, 148, 170 ff.; a. A. Kaesling, in: Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Aufl. 2020, § 327 BGB, Rn. 25 (Stand: 19. 1. 2022); Specht, DGRI-Jahrbuch 2017, Rn. 5 (juris), m. w. N.).
44 BT-Drs., 19/27653, S. 36, 41.
45 Kroschwald/Polenz, in: Brönneke/Föhlisch/Tonner (Fn. 33), § 6 Rn. 52 ff.
46 Siehe ErwG 24 der Digitale-Inhalte-RL (EU) 2019/770.
47 European Data Protection Supervisor, Stellungnahme 4/2017, S. 12; Art. 29 DSG, WP 242, S. 9; Kaesling, in: Herberger/Martinek/Rüßmann/Weth/Würdinger (Fn. 43), § 327 BGB, Rn. 23 (Stand: 19. 1. 2022).
48 BT-Drs., 19/27653, S. 36, 41; Klink-Straub, NJW 2021, 3217, 3219.
49 BT-Drs., 19/27653, S. 36, 41.
50 So jedenfalls die Ansicht des Gesetzgebers.
51 Vgl. hierzu auch Spindler, MMR 2021, 451, 453.
52 Vgl. hierzu Martens, in: Hau/Poseck (Fn. 18), § 312 Rn. 10 f., mit Hinweis auf Schulz, in: Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 7 Rn. 54.
53 BT-Drs. 19/27653, S. 41; ErwG 38 der Digitale-Inhalte-Richtlinie.
54 So wohl auch der deutsche Gesetzgeber, vgl. BT-Drs. 19/27653, S. 36 und der dort enthaltene Hinweis auf die Einwilligung, Datenverarbeitung zur Vertragserfüllung oder gemäß Art. 6 Abs. 1 lit. f DSGVO; a. A. wohl Martens, in: Hau/Poseck (Fn. 18), § 312 Rn. 10c, wonach die Bereitstellung personenbezogener Daten neben der tatsächlichen Bereitstellung auch die datenschutzrechtliche Einwilligung des Verbrauchers umfasse.
55 BT-Drs. 19/27653, S. 36, 40.
56 BT-Drs. 19/27653, S. 36, 40; siehe hierzu auch Spindler, MMR 2021, 451, 452.
57 Mischau, ZEuP 2020, 335, 341.
58 BT-Drs. 19/27653, S. 36, 40.
59 BT-Drs. 19/27653, S. 37.
60 ErwG 25 der Digitale-Inhalte-Richtlinie; ErwG 34 der Modernisierungsrichtlinie.
61 BT-Drs. 19/27653, S. 36.
62 Kroschwald/Polenz, in: Brönneke/Föhlisch/Tonner (Fn. 34), § 6 Rn. 54 ff.; BT-Drs. 19/27653, S. 36 f.
63 BT-Drs. 19/27653, S. 37.
64 Rn. 24 der Leitlinien 2/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, abrufbar unter https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf.
65 Rn. 28 der Leitlinien 2/2019 des Europäischen Datenschutzausschusses, mit Hinweis auf die von der Artikel-29-Datenschutzgruppe verabschiedeten Leitlinien.
66 Kroschwald/Polenz, in: Brönneke/Föhlisch/Tonner (Fn. 34), § 6 Rn. 54.
67 BT-Drs. 19/27653, S. 37.
68 Vgl. Spindler, MMR 2021, 451, 453 zur Frage, ob eine nachträgliche, unzulässige Änderung des Datenverarbeitungszwecks zugleich die in den §§ 327 ff. BGB geregelten Gewährleistungsrechte für digitale Produkte auslöst.
69 Zu dieser Problematik ebenfalls Spindler, MMR 2021, 451, 453.
70 BT-Drs. 19/27653, S. 75.
71 Digitale-Inhalte-RL (EU) 2019/770, ErwG 40.
72 BT-Drs. 19/27653, S. 76, vgl. hierzu auch Spindler, MMR 2021, 528, 530 m. w. N.
73 Dazu Engeler, ZD 2018, 55 ff.; Schneider, ITRB 2021, 182, 187.
74 Taeger, in: Taeger/Gabel (Fn. 21), Art. 7 Rn. 94.
75 BT-Drs. 19/27653, S. 76.
76 ErwG 32 und 34 der Modernisierungsrichtlinie.
77 BT-Drs. 19/27653, S. 35.
78 BT-Drs. 19/27653, S. 76.