Seit dem 01.01.2022 sind in Deutschland neue zivilrechtliche Verbraucherschutzvorschriften über digitale Produkte in Kraft: § 312 Abs. 1a BGB gibt vor, dass die Vorschriften zum Anwendungsbereich und den Grundsätzen bei Verbraucherverträgen (§§ 312, 312a BGB) sowie für außerhalb von Geschäftsräumen geschlossenen Verträgen und Fernabsatzverträgen (§§ 312b-312h BGB) auch auf Verbraucherverträge anwendbar sind, „bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet“. Ausnahme bildet die Situation, dass „der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet“. Zusätzlich werden in § 327q BGB vertragsrechtliche Folgen datenschutzrechtlicher Erklärungen von Verbrauchern geregelt.
§ 312 Abs. 1a BGB
Durch die Gesetzesänderung wird die Geltung von Verbraucherschutzvorschriften auch für Vertragsmodelle festgelegt, die ein „Bezahlen mit Daten“ einschließen. Dies wirft die (viel diskutierte) Frage auf, ob dadurch auch eine datenschutzrechtliche Legitimation für derartige Modelle geschaffen wird, bei denen z. B. Inhalte mithilfe von personalisierter Werbung finanziert werden. Diesbezüglich ist Folgendes zu berücksichtigen:
- Im Gesetzentwurf zu den neuen Vorschriften (BT-Drs. 19/27653, S. 36) wurde herausgestellt, dass es für die Anwendbarkeit von § 312 Abs. 1a BGB „Auf die Frage der datenschutzrechtlichen Rechtmäßigkeit der Datenverarbeitung“ nicht ankommt. Es widerspreche dem Ziel der Regelungen, wenn der Verbraucher bei einem rechtswidrigen Verhalten des Unternehmers, auf das er keinen Einfluss habe, nicht durch die Regelungen geschützt werde. Zudem könne der Verbraucher i. d. R. auch nicht beurteilen, ob der Unternehmer die datenschutzrechtlichen Vorgaben einhalte oder nicht. Ein Verstoß gegen die DSGVO lasse die Wirksamkeit des Vertrags daher unberührt. Ein Datenschutzverstoß führt also laut den Ausführungen im Gesetzentwurf nicht dazu, dass der gesamte Vertrag gemäß § 134 BGB nichtig ist.
- Zudem vertritt die Datenschutzkonferenz (DSK) in ihrem Beschluss (Beschluss von Oktober 2022, S. 1-2) die Auffassung, dass die neuen Regelungen im BGB keine eigene Rechtsgrundlage für Verarbeitungen von personenbezogenen Daten bilden. Mögliche Rechtsgrundlagen seien grundsätzlich Art. 6 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO. Bei besonderen Datenkategorien gelte es zusätzlich die Vorgaben aus Art. 9 DSGVO zu beachten. Direkten datenschutzrechtlichen Auswirkungen der Vorschriften aus dem BGB wurde somit eine Absage erteilt. Des Weiteren verneint die DSK auch Auswirkungen auf die Vorgaben in § 25 TTDSG (Speicherung und Zugriff auf Informationen in Endeinrichtungen).
§ 327q BGB
Aus datenschutzrechtlicher Sicht interessant sind weiterhin die Aussagen zu § 327q BGB. In dieser Norm wird festgehalten, dass die Ausübung datenschutzrechtlicher Betroffenenrechte und die Abgabe datenschutzrechtlicher Erklärungen durch den Verbraucher nach Vertragsschluss die Wirksamkeit des Vertrags unberührt lässt (§ 327q Abs. 1 BGB). Ferner wird einem Unternehmer für einen Vertrag, „der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet“, sofern der Verbraucher eine Einwilligung in die Verarbeitung seiner Daten widerruft oder der weiteren Verarbeitung seiner Daten widerspricht, ein fristloses Kündigungsrecht zugestanden, „wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann“ (§ 327q Abs. 2 BGB). Für den Verbraucher wiederum werden etwaige Ersatzansprüche des Unternehmers wegen einer Ausübung von Datenschutzrechten oder der Abgabe datenschutzrechtlicher Erklärungen, die zur Einschränkung der zulässigen Datenverarbeitung führen, ausgeschlossen (§ 327q Abs. 3 BGB).
- Gemäß dem Gesetzentwurf (S. 75-76) soll damit klargestellt werden, dass der Verbraucher seine bestehenden Betroffenenrechte jederzeit uneingeschränkt geltend machen kann. Der Unternehmer erhält zwar eine Kündigungsmöglichkeit, sollte der Verbraucher seine Datenschutzrechte nutzen, um die Verarbeitung seiner Daten einzuschränken oder ganz zu beenden, jedoch ist diese an bestimmte Voraussetzungen geknüpft, da der Unternehmer nicht als gleichwertig schutzbedürftig zum Verbraucher anerkannt wird. Das wird damit begründet, dass dieses Risiko für den Unternehmer absehbar sei. Der Ausschluss von Ersatzansprüchen (z. B. von Vergütungsansprüchen) gegenüber dem Verbraucher soll wiederum verhindern, dass dieser von der Geltendmachung seiner Betroffenenrechte abgeschreckt wird. Zudem soll die Freiwilligkeit einer in die Datenverarbeitung erteilten Einwilligung, bei der es zu keinen Nachteilen durch einen Widerruf kommen darf (ErwG 42 der DSGVO), dadurch abgesichert werden.
- Die DSK stellt in ihrem Beschluss (S. 2) fest, dass § 327q BGB lediglich zivilrechtliche Auswirkungen der Geltendmachung von Betroffenenrechten auf Verbraucherverträge regelt (z. B. Konsequenzen eines Widerrufs der Einwilligung in die Datenverarbeitung oder eines Widerspruchs, wenn die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird), nicht jedoch Auswirkungen der Verbraucherschutzvorschriften auf das Datenschutzrecht.
Fazit
Grundsätzlich gehen die neuen zivilrechtlichen Verbraucherschutzvorschriften mit keinen datenschutzrechtlichen Implikationen einher. Die Frage nach der datenschutzrechtlichen Rechtmäßigkeit von „Bezahlen mit Daten“-Modellen wird darin ausgeklammert. Eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Rahmen dieser Modelle wird nicht geschaffen. Im Ergebnis lässt sich feststellen, dass sich das Zivilrecht – wie diskutiert – nicht auf das Datenschutzrecht auswirkt, sondern dies eher umgekehrt der Fall ist: So werden vertragsrechtliche Folgen der Geltendmachung datenschutzrechtlicher Betroffenenrechte geregelt und klargestellt, dass Verbraucher auch beim „Bezahlen mit Daten“ in deren Ausübung nicht beschränkt werden dürfen.