Was Anbieter von digitalen Produkten in den Nutzungsbedingungen regeln sollten.
Mit Inkrafttreten des neue Digitalen Vertragsrechts der §§ 327 ff. BGB sollten Unternehmer die Gestaltung ihrer Nutzungsbedingungen für digitale Produkte überprüfen. Auch die Regelungen zum Datenschutz in diesen AGBs sollten gecheckt werden. Was ist notwendig, was hilfreich? Wie so oft, kommt es dabei auf die Umstände an – eine Leitlinie finden Sie hier:
Datenverarbeitung zur Vertragserfüllung
Wenn personenbezogene Daten zur Vertragserfüllung verarbeitet werden, ist dies unter der DSGVO per se erlaubt. Der Vertrag muss die entsprechenden Verarbeitungsvorgänge dann aber auch abbilden und so gestaltet sein, dass diese objektiv erforderlich sind. Möglich ist dies zudem nur für „normale“ personenbezogene Daten, besonders sensitive Daten i.S.d. Art. 9 DSGVO dürfen nur von bestimmten Personengruppen zur Vertragserfüllung verarbeitet werden, insbesondere Ärzten zur Behandlung ihrer Patienten.
Der Gestaltungsfreiheit im Vertrag setzt der Europäische Datenschutzausschuss (EDSA), in dem die nationalen Aufsichtsbehörden versammelt sind, enge Grenzen: Eine Datenverarbeitung ist danach nur für die Vertragserfüllung bzw. -anbahnung erforderlich, wenn sie objektiv unverzichtbar ist (EDSA, Leitlinien 2/2019, Version 2.0, 08.10.2019, insb. Rn. 25). Die Literatur sieht dies mit gewichtigen Argumenten anders, zumal die Ansicht des EDSA letztlich innovationsfeindlich ist. Ausreichend ist danach, dass eine Datenverarbeitung objektiv sinnvoll ist und einer Interessenabwägung stand hält. Dies kann in der Vertragsgestaltung umgesetzt werden.
Datenschutzrechtliche Einwilligung
Ein „Bezahlen mit Daten“ wird indes nach überwiegender Ansicht nicht als zur Vertragserfüllung erforderlich angesehen, da es hier gerade um die Hingabe personenbezogener Daten geht, die der Anbieter nicht benötigt, um seine Leistung zu erbringen. Diese Daten werden als „Zusatz“ und deshalb als einer Bezahlung vergleichbar überlassen, um die Leistung zu erhalten. Datenschutzrechtlich erlaubt werden kann dies dann regelmäßig durch eine Einwilligung.
Sollen Einwilligungen eingeholt werden, sind die strengen Anforderungen der DSGVO zu beachten, damit diese auch wirksam sind und die beabsichtigte Datenverarbeitung tragen. Dabei ist es grundsätzlich möglich, solche Einwilligungen auch im Rahmen von Nutzungsbedingungen, AGB einzuholen.
Nicht möglich ist es allerdings, die Einwilligungserklärung als eine Klausel von vielen im Gesamttext „untergehen“ zu lassen. Sowohl das deutsche AGB-Recht (§§ 305 ff. BGB) als auch die spezifischen datenschutzrechtlichen Anforderungen verlangen eine Hervorhebung der Einwilligungsklauseln und eine gesonderte Zustimmung zu diesen (etwa mit Klickkasten). Der BGH hat dies früher noch anders gesehen – unter der DSGVO ist hier aber ohne gesonderte Zustimmung kaum an eine wirksame Einwilligung zu denken. Und in Sachen „Planet49“ hat jetzt auch der BGH auf die Notwendigkeit des aktiven „JA“ der Nutzer hingewiesen, um eine wirksame Einwilligung anzunehmen. Möglich ist es danach, hinter einem „Klickkasten“ eine kurze Zusammenfassung der abgefragten Einwilligung vorzusehen und die weiteren Erläuterungen i.S.d. Art. 7, 13 DSGVO dann (hervorgehoben) in den Nutzungsbedingungen zu integrieren (oder auch in einem gesonderten Dokument zu hinterlegen).
Datenschutzerklärung
Über die Art und Weise der Verarbeitung personenbezogener Daten muss der Anbieter seine Nutzer nach Maßgabe der Art. 13, 14 DSGVO informieren. Diese Informationspflicht besteht einseitig. Eine vertragliche Vereinbarung dazu ist nicht erforderlich. Die DSGVO verlangt lediglich, dass die Informationen den Betroffenen mitzuteilen und zur Verfügung zu stellen.
Viel spricht dafür, dies dann auch so zu handhaben und auf eine Einbeziehung der Datenschutzerklärung in der Vertrag zu verzichten.
Diese wäre überobligatorisch und bringt Nachteile mit sich: Wenn eine Datenschutzerklärung Vertragsbestandteil ist, kann diese selbst in kleinen Aspekten nicht mehr ohne Weiteres einseitig geändert werden – erforderlich wird dann oftmals ein „Pop-Up“, über das um Zustimmung zur geänderten Datenschutzerklärung gebeten wird, wird die Zustimmung verweigert, müssen Nutzer ggf. (sofern vertraglich zulässig) gekündigt werden oder Verarbeitungsvorgänge dürfen doch nicht geändert werden (man denke z.B. an einen neuen Auftragsverarbeiter, der dann nicht eingesetzt werden kann). Zudem bleiben ohne vertragliche Einbeziehung einige Argumente bestehen, auf eine AGB-Kontrolle zu verzichten (wobei dies, die Formulierung zeigt es schon, auf wackeligen Füßen steht).
Compliance-Klausel
Unabhängig von allem Vorstehenden kann stets eine allgemeine Compliance-Klausel aufgenommen werden, die die gesetzlich ohnehin bestehenden Pflichten nochmals wiederholt:
„Der Anbieter verarbeitet personenbezogene Daten, die im Rahmen der Nutzung des digitalen Produkts anfallen, ausschließlich unter strikter Einhaltung der einschlägigen datenschutzrechtlichen Vorgaben. Er unterhält geeignete und dem drohenden Risiko angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz der personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Kenntnisnahme durch Dritte. Weitere Informationen zur Verarbeitung der personenbezogenen Daten stellen wir in der Datenschutzerklärung (Link) bereit; diese wird nicht Vertragsbestandteil.“
Der Pflichtenkreis des Anbieters wird dadurch nicht erweitert; die formulierten Pflichten folgen bereits aus der DSGVO. Die explizite Aufnahme in den Vertrag verdeutlicht aber die Bedeutung des Datenschutzrechts für den Anbieter und schafft im Verhältnis zum Nutzer (und auch etwaig prüfenden Aufsichtsbehörden oder Verbraucherschutzverbänden) Vertrauen.