Jusletter IT

Wirksamkeit datenschutzrechtlicher Einwilligungserklärungen bei Online-Angeboten

  • Author: Sebastian Meyer
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Tagungsband IRIS 2014
  • Citation: Sebastian Meyer, Wirksamkeit datenschutzrechtlicher Einwilligungserklärungen bei Online-Angeboten, in: Jusletter IT 20 February 2014
Die Verarbeitung personenbezogener Daten von Nutzern durch die Anbieter von Online-Angeboten darf grundsätzlich nur im Rahmen der jeweils anwendbaren nationalen Vorgaben erfolgen. Typischerweise beruft sich der Anbieter auf eine Einwilligung des Nutzers zur Datenverarbeitung, die in den Nutzungsbedingungen oder Datenschutzhinweisen verankert ist. Die Wirksamkeit derartiger vorformulierter Einwilligungserklärungen ist jedoch unter Berücksichtigung der aktuellen Rechtsprechung in Deutschland mehr als fraglich.

Inhaltsverzeichnis

  • 1. Voraussetzungen für eine rechtskonforme Datenverarbeitung
  • 1.1. Gesetzliche Ermächtigungsgrundlage
  • 1.2. Anforderungen an eine wirksame Einwilligung
  • 1.3. AGB-Kontrolle von Einwilligungserklärungen
  • 2. Beispiele aus der Rechtsprechung
  • 2.1. Google
  • 2.2. Facebook
  • 3. Lösungsmöglichkeiten
  • 4. Literatur

1.

Voraussetzungen für eine rechtskonforme Datenverarbeitung ^

[1]
Bei Online-Angeboten bestehen umfangreiche technische Möglichkeiten, das Verhalten der einzelnen Nutzer genau zu analysieren und die so gewonnen Kenntnisse für Werbung oder zu anderen Zwecken zu nutzen. Der Nutzer muss sich regelmäßig für die Nutzung der Angebote registrieren, so dass für den Anbieter ein Personenbezug besteht und daher die datenschutzrechtlichen Grenzen zu beachten sind.

1.1.

Gesetzliche Ermächtigungsgrundlage ^

[2]
Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt.1 Demnach ist jede Form der Datenverarbeitung grundsätzlich untersagt, außer es gibt hierfür eine gesetzliche Ermächtigungsgrundlage.2 Die wenigsten Daten, die von den Anbietern der Online-Angebote erhoben, gespeichert und verwenden werden, sind für die Vertragsabwicklung aber zwingend erforderlich und deswegen privilegiert.3 Bei einer kostenpflichtigen Nutzung fallen beispielsweise die für die Abrechnung erforderlichen Daten unter diese Privilegierung.
[3]
Der überwiegende Teil der Daten wird jedoch weder für die Leistungserbringung noch für eine etwaige Abrechnung benötigt. Die Anbieter setzen daher auf eine Einwilligung der Nutzer in die Datenverarbeitung, soweit nicht bereits eine andere gesetzliche Ermächtigungsgrundlage einschlägig ist.4 In diesem Zusammenhang stellt sich dann aber die Frage, welche Anforderungen an eine wirksame Einwilligungserklärung zu stellen sind.

1.2.

Anforderungen an eine wirksame Einwilligung ^

[4]
Unabhängig von den weiteren gesetzlichen Ermächtigungsgrundlagen steht es jedem Nutzer natürlich frei, dem Anbieter von Online-Angeboten in beliebigem Umfang die Verarbeitung der eigenen personenbezogenen Daten zu erlauben.5 Basierend auf der Annahme, dass der Nutzer grundsätzlich selbst entscheiden können muss, in welchem Umfang seine personenbezogenen Daten verarbeitet werden dürfen, gibt es kaum Beschränkungen bezüglich der Möglichkeit einer Einwilligung des Nutzers.6 Es ist lediglich sicherzustellen, dass die Einwilligungserklärung freiwillig abgegeben wird und nach einer ausreichenden Information des Nutzers erfolgt.7
[5]
Die Freiwilligkeit der Einwilligung entfällt nicht schon deshalb, weil ein Online-Angebot beispielsweise nicht genutzt werden kann, ohne dass bestimmte Einwilligungserklärungen zwingend abgegeben werden müssen. Praktisch wird dies zumeist dadurch gelöst, dass eine Registrierung für Online-Angebote nur abgeschlossen werden kann, wenn der Nutzer erklärt, die zumeist verlinkten Nutzungsbedingungen einschließlich etwaiger Einwilligungserklärungen zu akzeptieren. Die Freiwilligkeit würde nur entfallen, wenn der Nutzer auf das Angebot angewiesen wäre und für ihn daher ein Zwang zur Nutzung des Online-Angebotes besteht.8 Hiervon kann bei den üblichen Diensten jedoch nicht ausgegangen werden.
[6]
Schwieriger ist die Prüfung, wie umfangreich ein Nutzer über die beabsichtigte Art der Datenverarbeitung informiert werden muss, damit seine Einwilligungserklärung ausreichend informiert abgegeben wird und wirksam ist. Unbestritten ist dabei zunächst, dass die Information in einer für den Nutzer verständlichen Weise erfolgen muss.9 Für den Umfang der Information soll es dagegen auf die Umstände des Einzelfalls ankommen.10 An dieser Stelle ergeben sich für die Anbieter von Online-Angeboten die ersten ernsthaften Probleme. Große Anbieter wie Google oder Facebook bieten ihren Nutzern eine Vielzahl von Diensten und Nutzungsmöglichkeiten, wobei kaum sämtliche Dienste und Möglichkeiten vollständig im Hinblick auf die damit einhergehende Datenverarbeitung sinnvoll beschrieben werden können.11 Dabei ist auch zu beachten, dass nicht jeder Nutzer auch tatsächlich alle Dienste in Anspruch nimmt. Für einen Anbieter gibt es im Massengeschäft zwei verschiedene Lösungsmöglichkeiten zur Aufklärung seiner Nutzer, die allerdings beide risikobehaftet sind.
[7]
Zunächst kann der Anbieter für jeden seiner Dienste eigene Erläuterungen und damit einhergehende Einwilligungserklärungen vorbereiten. Nutzer, die zahlreiche Dienste verwenden, müssen sich dann aber mit einer Vielzahl von weitgehend gleichen oder zumindest ähnlichen Regelungen befassen. Außerdem ergibt sich für den Anbieter ein relativ hoher Aufwand, wenn er stets alle Dokumente auf dem richtigen Stand halten und etwaige Querverbindungen dauernd prüfen muss. Alternativ kann der Anbieter versuchen, die verschiedenen Bedingungen und Erläuterungen zusammenzufassen, wobei hierbei jedoch eine Vielzahl von denkbaren Varianten und Nutzungsmöglichkeiten für alle Nutzer einheitlich abgedeckt werden muss.
[8]
Im ersten Fall setzt sich der Anbieter dem Vorwurf aus, dass seine Hinweise wegen des verschachtelten Aufbaus unverständlich sind. Im zweiten Fall riskiert der Anbieter den Vorwurf, dass die Texte zu allgemein gehalten sind und der Nutzer nicht erkennen könnte, welche Datenverarbeitung in seinem konkreten Fall erfolgt. Dieses Dilemma ist für die Anbieter von umfangreichen Online-Angeboten kaum auflösbar.

1.3.

AGB-Kontrolle von Einwilligungserklärungen ^

[9]
Verschärft wir das Risiko für Anbieter von Online-Angeboten durch die Tatsache, dass die Rechtsprechung in Deutschland jedenfalls regelmäßig die datenschutzrechtlichen Einwilligungserklärungen als Allgemeine Geschäftsbedingungen ansieht und einer Inhaltskontrolle unterwirft.12
[10]
Eine Inhaltskontrolle kommt eigentlich nur in Betracht, wenn überhaupt eine Vertragsklausel vorliegt.13 Der Inhalt der jeweiligen Klausel muss zusätzlich von der gesetzlichen Grundwertung abweichen, weil ansonsten eine Klauselprüfung überflüssig wäre. Vielfach ist der Regelungsgehalt einer datenschutzrechtlichen Klausel aber nicht so genau bestimmbar. Jedenfalls gibt der Anbieter häufig nicht an, ob er nur über eine ohne erlaubte Datenverarbeitung informiert oder im Rahmen der Information zugleich die notwendige Einwilligung in die Datenverarbeitung einholt, weil die Datenverarbeitung ansonsten nicht möglich wäre.14
[11]
Gerichte, die derartige Klauseln zu prüfen haben, wenden dabei das Prinzip der verbraucherfeindlichsten Auslegung an. Diese Auslegung ist eigentlich für den Nutzer nachteilig, kann aber zu dem – für den Nutzer positiven – Ergebnis führen, dass die Klausel deshalb insgesamt unwirksam ist, weil nicht ausgeschlossen werden kann, dass sie auch die verbraucherfeindlichste Auslegung abdecken sollte.15

2.

Beispiele aus der Rechtsprechung ^

[12]
In Deutschland hat es sich vor allem der Verbraucherzentrale Bundesverband (vzbv) zur Aufgabe gemacht, gegen unwirksame Datenschutzbestimmungen der großen Anbieter von Online-Angeboten vorzugehen. Alle Anbieter erhielten zunächst außergerichtliche Aufforderungen zur Abänderung ihrer Vertragsbestimmungen. Einige Anbieter wie Microsoft und Nokia haben ihre Klauseln freiwillig angepasst und konnten so eine gerichtliche Auseinandersetzung vermeiden. Soweit die Anbieter nicht eingelenkt haben, hat der vzbv jeweils Klagen in Deutschland erhoben, die bisher alle erfolgreich waren.

2.1.

Google ^

[13]
Google wurde bereits im Jahre 2009 das erste Mal vom vzbv verklagt.16 Seinerzeit hatte der Suchmaschinenanbieter darauf verwiesen, dass er die angegriffenen Klauseln ohnehin nicht mehr verwenden würde. Gleichwohl wollte Google keine Unterlassungserklärung abgeben, so dass eine erste Verurteilung erfolgte. Einer der Hauptkritikpunkte war damals die Verteilung von relevanten Klauseln in unterschiedlichsten Texten, die alle zum Gegenstand des Nutzungsverhältnisses gemacht wurden.
[14]

Im Frühjahr 2012 hat Google dann erklärt, die Nutzungsbedingungen vereinfachen und zusammenführen zu wollen.17 Dies wurde allerdings auch gleichzeitig zum Anlass genommen, diensteübergreifende Profile über Nutzer bei Google anzulegen, was auf heftige Kritik gestoßen ist.18 Der vzbv hat in der Folgezeit erneut Google abgemahnt und darauf hingewiesen, dass auch die neuen Nutzungsbedingungen immer noch nicht mit deutschem Recht vereinbar sind.19 Kritisiert wurde diesmal vor allem, dass jetzt die Texte so unverbindlich formuliert sind, dass der Nutzer nicht erkennen kann, in welchem Umfang konkret personenbezogene Daten verwendet werden. Das LG Berlin ist auch diesmal der Argumentation des vzbv gefolgt und hat die neuen Klauseln ebenfalls für unwirksam erklärt.20 Google ist gleichwohl weiterhin davon überzeugt, sich an die nationalen Vorschriften zu halten, so dass Berufung gegen die erstinstanzliche Entscheidung eingelegt wurde, über die bisher noch nicht entschieden ist.

[15]
Google argumentiert insbesondere damit, dass die eigenen Klauseln gar nicht als AGB angesehen werden können, weil die Nutzung der Dienste bei Google unentgeltlich und ohne jegliches Vertragsverhältnis erfolgen kann. Dies ist im Grundsatz zwar zutreffend, gleichwohl ist die Entscheidung des LG Berlin zutreffend. Das Gericht hat ausdrücklich darauf hingewiesen, dass für alle Dienste bei Google eine freiwillige Registrierung möglich ist, bei der dann die Nutzungsbedingungen akzeptiert werden müssen. Zumindest in diesem Fall liegen dann echte Vertragsklauseln vor. In den Fällen der Nutzung ohne Registrierung stellt sich außerdem die Frage, ob Google nicht zumindest den Eindruck erweckt, auch für diesen Fall würden die Nutzungsbedingungen ebenfalls gelten. Dann ist es aber angemessen, Google bei der Klauselprüfung auch so zu behandeln, als ob tatsächlich wirksam einbezogene Vertragsbedingungen vorlägen.21

2.2.

Facebook ^

[16]
Facebook hat sein Verfahren gegen den vzbv ebenfalls verloren.22 Unzulässig war insbesondere eine Regelung in den AGB, wonach sich Facebook umfassend das Recht einräumen lassen wollte, die bei Facebook veröffentlichten Inhalte der Nutzer beliebig zu nutzen.23 Viele weitere Regelungen zur Nutzung von Daten waren deshalb unwirksam, weil Facebook nicht konkret genug dargelegt hatte, wie genau die Nutzung der Daten vorgesehen war. Schließlich hat das LG Berlin in Bezug auf Facebook ebenso wie bei Google entschieden, dass ein Anbieter von Online-Angeboten sich nicht vorbehalten kann, seine Nutzungsbedingungen jederzeit einseitig zu ändern.

3.

Lösungsmöglichkeiten ^

[17]
Aufgrund der anfangs aufgezeigten praktischen Schwierigkeiten bei der Gestaltung von Nutzungsbedingungen einschließlich Einwilligungserklärungen ist es sicherlich nicht einfach, Klauseln zu formulieren, die den strengen Maßstäben der deutschen Rechtsprechung genügen. Die zuletzt gerichtlich in Anspruch genommen Anbieter von Online-Angeboten haben sich aber gar nicht ernsthaft die Mühe gemacht, auch nur zu versuchen, transparente und verständliche Texte zu formulieren, die den gesetzlichen Anforderungen genügen.
[18]

Ein erster Schritt zu mehr Transparenz wäre es bereits, wenn die Anbieter deutlicher zwischen Nutzungsbedingungen mit echtem Regelungsgehalt und bloßen Hinweisen mit informatorischem Charakter unterscheiden. Richtigerweise gehören alle Einwilligungserklärungen in die Nutzungsbedingungen (AGB), wobei sie dort besonders hervorgehoben werden müssen.24 Die Datenschutzhinweise sollten dagegen keinerlei Klauseln mit eigenem Regelungsgehalt beinhalten. In den Datenschutzhinweisen ist dem Nutzer «nur» zu erklären, in welchem Umfang und auf welcher Grundlage personenbezogene Daten verarbeitet werden.25 Wenn die jeweiligen Anbieter jetzt noch darauf hinweisen, ob und wann die Datenverarbeitung unabhängig von einer Einwilligung des Nutzers auf gesetzlicher Grundlage oder nur mit freiwilliger Zustimmung des Nutzers erfolgt, wäre dies schon ein großer Schritt für mehr Transparenz.

[19]
Anbieter sollten außerdem nicht ausschließlich darauf fixiert sein, sich alle Nutzungsmöglichkeiten in der Zukunft offen zu halten. Die Anbieter könnten ansonsten viel klarer die heutige Nutzung erklären und andere Nutzungsmöglichkeiten deutlicher aktuell und für die Zukunft ausschließen. Sie müssten dann allerdings darauf setzen, bei neuen Nutzungsmöglichkeiten später den Nutzer erneut um Erlaubnis zu fragen. Im Sinne einer größeren Transparenz muss dies nicht einmal zu einer geringeren Akzeptanz oder Zustimmungsrate führen. Vielmehr könnten sich Anbieter so positiv von anderen Anbietern abgrenzen, die dem Datenschutz einen nicht so großen Stellenwert beimessen.

4.

Literatur ^

Becker, Maximilian / Becker, Felix, Die neue Google-Datenschutzerklärung und das Nutzer-Metaprofil, MMR 2012, S. 351 ff.

Meyer, Sebastian, Facebook: Freundefinder und AGB rechtswidrig, K&R 2012, S. 309 ff.

Meyer, Sebastian, Prüfungsmaßstab für Datenschutzerklärungen und Sanktionierung bei Unwirksamkeit, in Taeger, Jürgen (Hrsg.), IT und Internet – mit Recht gestalten, OWIR, Oldenburg (2012), S. 643 ff.

Widuwilt, Hendrik, Warnschuss für Web 2.0-Juristen, K&R 2009, S. 741 ff.

 

Sebastian Meyer

Rechtsanwalt und Notar, BRANDI Rechtsanwälte Partnerschaft

Adenauerplatz 1, 33602 Bielefeld, DE

sebastian.meyer@brandi.net; http://www.brandi.net

 

  1. 1 Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4 Rn. 3; BVerfG, Urt. v. 15. Dezember 1983, 1 BvR 209/83 u.a., NJW 1984, 419 = BVerfGE 65, 1 – Volkszählung.
  2. 2 Helfrich in Hoeren/Sieber/Holznagel, Multimedia-Recht, 36. EL 2013, Kap. 16.1 Rn. 35.
  3. 3 Nach deutschem Recht greift insoweit als Ermächtigungsgrundlage die Regelung des § 28 Abs. 1 S. 1 Nr. 1 BDSG ein, der auf Art. 7 lit. b) DS-RL basiert.
  4. 4 Helfrich in Hoeren/Sieber/Holznagel, Multimedia-Recht, 36. EL 2013, Kap. 16.1 Rn. 35.
  5. 5 Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4a Rn. 2 zur Einwilligung als Ausübung des Selbstbestimmungsrechts.
  6. 6 Es wird insoweit von dem Recht auf informationelle Selbstbestimmung gesprochen, vgl.Di Fabio in Maunz/Dürig, GG, 69. EL 2013, Art. 2 Rn. 173 unter Verweis auf BVerfG, Urt. v. 15. Dezember 1983, 1 BvR 209/83 u.a., NJW 1984, 419 = BVerfGE 65, 1 – Volkszählung.
  7. 7 Die Anforderungen an eine wirksame Einwilligung sind in § 4a BDSG bzw. § 11 TMG definiert; europarechtliche Grundlagen sind Art. 2 lit. h) und Art. 7 lit. a) DS-RL; vgl. zur AbgrenzungMeyer in Taeger, IT und Internet, S. 647; Nord/Manzel, NJW 2010, 3756, 3757.
  8. 8 Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4a Rn. 6a.
  9. 9 Simitis in Simitis, BDSG, 7. Aufl. 2011, § 4a Rn. 72.
  10. 10 Simitis in Simitis, BDSG, 7. Aufl. 2011, § 4a Rn. 73.
  11. 11 Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, 2. Auflage 2011, § 4a BDSG Rn. 11 kurz zu Problemen der Einwilligung im «Web 2.0».
  12. 12 Meyer in Taeger, IT und Internet, S. 647 unter Verweis auf LG Hamburg, Urt. v. 7. August 2009, 324 O 650/08, K&R 2009, 735.
  13. 13 Meyer in Taeger, IT und Internet, S. 648.
  14. 14 Basedow in Münchener Kommentar zum BGB, 6. Aufl. 2012, § 305 Rn. 12 zur Abgrenzung von Regelungen und Hinweisen.
  15. 15 Basedow in Münchener Kommentar zum BGB, 6. Aufl. 2012, § 305c Rn. 34.
  16. 16 LG Hamburg, Urt. v. 7. August 2009, 324 O 650/08, K&R 2009, 735; vgl. dazu auchWiduwilt, K&R 2009, 741.
  17. 17 Meyer, K&R 2013, 221, 227.
  18. 18 Becker/Becker, MMR 2012, 351.
  19. 19 Pressemitteilung des vzbv vom 5. März 2012, online abrufbar unter http://www.vzbv.de/8963.htm.
  20. 20 LG Berlin, Urt. v. 19. November 2013, 15 O 402/12, K&R 2014, 56.
  21. 21 Stadler in Jauernig, BGB, 14. Aufl. 2011, § 305 Rn. 3 lässt es offensichtlich auch genügen, dass der Eindruck von Vertragsklauseln besteht; ausführlicher dazu Meyer in Taeger, IT und Internet, S. 648.
  22. 22 LG Berlin, Urt. v. 6. März 2012, 16 O 551/10, K&R 2012, 300.
  23. 23 Meyer, K&R 2013, 309, 311.
  24. 24 Gola/Schomerus, BDSG, 11. Aufl. 2012, § 4a Rn. 14.
  25. 25 Vgl. dazu auch Meyer in Taeger, IT und Internet, S. 647.