Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 73

Selbst wenn aus den vorstehenden Gründen kein durchsetzbarer vertraglicher Anspruch auf Erteilung einer datenschutzrechtlichen Einwilligung in Betracht kommt, könnte die Nicht-Einwilligung nach wie vor eine Pflichtverletzung i.S.v. § 280 Abs. 1 BGB darstellen und eine Schadensersatzhaftung auslösen;49 gleiches könnte für den (vertragswidrigen) Widerruf der Einwilligung gelten.50 Denkbar wäre etwa ein Schadensersatzanspruch auf den wirtschaftlichen Wert, den die Daten für den Anbieter repräsentiert hätten – oder auch ein Rücktrittsrecht nach § 323 BGB.51

Allerdings würde die Möglichkeit derartiger Sanktionen für die Nichterteilung bzw. den Widerruf der Einwilligung dieser die Freiwilligkeit nehmen: Wer die Einwilligung nur erteilt, um Schadensersatzansprüche wegen Pflichtverletzung zu vermeiden oder aus demselben Grund von einem Widerruf der Einwilligung absieht, trifft eben gerade keine freie Entscheidung mehr über die Preisgabe seiner personenbezogenen Daten. Gerade solche Fälle hat Erwägungsgrund 42 Satz 4 a.E. DSGVO im Blick, wonach nur dann von der Freiwilligkeit der Einwilligung auszugehen ist, wenn der Betroffene „in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“.

In einem vertragsrechtlichen Kontext kann mit „Nachteil“ zwar nicht gemeint sein, dass die verweigerte Einwilligung des Kunden bzw. deren Widerruf ohne jegliche Konsequenzen bleiben muss. Vielmehr ist bei der Auslegung dieses Begriffs zu berücksichtigen, dass die DSGVO nicht primär auf die Datenverarbeitung in vertraglichen Zusammenhängen – und erst recht nicht auf Geschäftsmodelle „Daten gegen Leistung“ – ausgerichtet ist, sondern vorrangig auf die Datenverarbeitung außerhalb vertraglicher Kontexte, insbesondere durch Behörden. In diesem Zusammenhang leuchtet ein, dass jede Einbuße des Betroffenen infolge der Verweigerung bzw. des Widerrufs einen Nachteil darstellt, der der Einwilligung ihre Freiwilligkeit nehmen würde. Anders liegt es dagegen in vertragsrechtlichen Zusammenhängen, wenn der Kunde gerade aufgrund der Datenverarbeitung durch seinen Vertragspartner besondere Vorteile als „Gegenleistung“ genießt: Nicht jeder Wegfall eines solchen Vorteils wird aus seiner Sicht einen „Gesamt-Nachteil“ des Geschäfts darstellen. Vielmehr muss der Kunde naheliegender Weise selbst von einem Gegenseitigkeitsverhältnis zwischen Einwilligung und vertraglicher „Gegenleistung“ ausgehen, sodass er weiß, dass er die korrespondierende „Gegenleistung“ nur um den Preis der Einwilligung erhalten kann; einen Anspruch auf die „Gegenleistung“ ohne Einwilligung – also quasi als „Schenkung“ – kann und wird er nicht erwarten.

Daher ist von einem „Nachteil“ im genannten Sinne nur auszugehen, wenn der Kunde infolge des Widerrufs eine zu diesem Zeitpunkt bereits erworbene Rechtsposition verliert, nicht aber dann, wenn er zukünftige Vorteile verliert, die ihm nur im Gegenzug für die fortdauernde Einwilligung versprochen waren. Danach ist zunächst jede Verschlechterung gegenüber dem Status quo ante ein Nachteil in diesem Sinne, darüber hinaus aber auch jeder Verlust von Vorteilen, die aufgrund der wirtschaftlichen Logik des Vertrags schon „erworben“ waren, für die also die „Gegenleistung“ im Sinne der datenschutzrechtlichen Einwilligung (und etwaiger monetärer Leistungen) bereits erbracht ist. Denn der Widerruf der Einwilligung wirkt nach Art. 7 Abs. 3 Satz 2 DSGVO nur ex nunc, sodass der Anbieter alle ihm bis zu diesem Zeitpunkt infolge der Einwilligung zugeflossenen Vorteile behalten kann; jedoch muss dann dem Kunden auch die korrespondierende „Gegenleistung“ zustehen.

Unter Anwendung dieses Maßstabs stellt ein Schadensersatzanspruch wegen Pflichtverletzung stets einen Nachteil in diesem Sinne dar, weil er den Kunden sogar schlechter als vor dem Vertragsschluss stellt: Dieser müsste nunmehr Geld aufwenden, wo nach dem Vertrag lediglich eine datenschutzrechtliche Einwilligung geschuldet war. Gleiches gilt für den Rücktritt gem. § 323 BGB, soweit er den Kunden zur Rückgewähr bereits erhaltener Leistungen verpflichtet, obwohl er die ihm obliegende Gegenleistung (Einwilligung) jedenfalls für den Zeitraum bis zum Widerruf schon (unumkehrbar) erbracht hat.

Derartige Sanktionen für die Ausübung des Widerrufsrechts sind daher mit der DSGVO nicht vereinbar, weil sie der Einwilligungserklärung ihre Freiwilligkeit nehmen würden.52 Das gilt nach hier vertretener Auffassung auch dann, wenn der Widerruf der Einwilligung „zur Unzeit“ erfolgt, weil diese eben nach Art. 7 Abs. 3 DSGVO jederzeit widerruflich sein soll.53 Nach hier vertretener Auffassung liegt im Widerrufsrecht daher nicht nur ein Rechtfertigungsgrund für eine im Widerruf liegende objektive Pflichtverletzung;54 vielmehr kann schon gar keine Pflicht zur Erteilung der Einwilligung wirksam vertraglich begründet werden. Dogmatisch handelt es sich vielmehr (allenfalls) um eine Naturalobligation, eine Obliegenheit oder eine bloße Rechtsgrundabrede.55

Allenfalls beim arglistigen Vorspiegeln der Bereitschaft zur (dauerhaften) Einwilligung ist eine Schadensersatzhaftung aus § 280 Abs. 1 BGB denkbar.56 Die Pflichtverletzung liegt dann aber nicht in der Verweigerung der Einwilligung (bzw. deren Widerruf), sondern in der arglistigen vorvertraglichen Täuschung, die im deutschen Recht zu einer Anfechtung des Vertrages durch den Anbieter nach § 123 Abs. 1 Alt. 2 BGB und einem Schadensersatzersatzanspruch aus culpa in contrahendo (§§ 280 Abs. 1, 241 Abs. 2, 311 Abs. 2 BGB) führen kann.

Ausgeschlossen sind nach dem Vorstehenden auch Sanktionen wegen „Nichterfüllung“, etwa wenn der Betroffene sich weigert, überhaupt Daten zu generieren, oder die Datengenerierung durch den Gläubiger vereitelt (zum Beispiel durch einen anonymen Modus seines Browsers). Auch hierin darf keine Pflichtverletzung im Sinne von § 280 Abs. 1 BGB liegen, weil daraus ansonsten ein mittelbarer Zwang zum Liefern personenbezogener Daten folgen würde, der sich mit dem auf Freiwilligkeit beruhenden Grundkonzept der DSGVO und dem dahinter stehenden Grundrecht auf informationelle Selbstbestimmung (Art. 8 EU-GRCh) nicht vertragen würde.57

Anders kann es schließlich beim (schuldhaften) Liefern falscher Daten liegen, wo vertraglich die Lieferung korrekter Daten wirksam versprochen worden war.58 Wie beim arglistigen Vorspiegeln der Bereitschaft zur Erklärung der Einwilligung liegt auch hier die eigentliche Pflichtverletzung nicht darin, die Einwilligung nicht zu erteilen, sondern in einer darüber hinausgehenden Täuschung des Vertragspartners. In aller Regel können die durch den Freiwilligkeitsgrundsatz der Einwilligung geschützten Interessen durch die schlichte Nichtlieferung von Daten oder den Widerruf der Einwilligung gewahrt sein; ein Recht zur Lieferung falscher Daten ist im Allgemeinen nicht notwendig. Anders liegt es nur dann, wenn – wie etwa in den unter dem Schlagwort „Recht zur Lüge“ im Arbeitsrecht59 bekannten Konstellationen – bereits das Abfragen der Daten eine Persönlichkeitsrechtsverletzung darstellt und das bloße Schweigen auf die Frage kein taugliches Mittel zu deren Abwehr darstellt.

Die Konsequenzen der Nichtbereitstellung personenbezogener Daten ergeben sich daher nicht aus den §§ 280ff. BGB.60 Hiervon abweichende AGB, die eine solche Schadensersatzhaftung vorsehen, verstoßen gegen die Grundgedanken der gesetzlichen Regelung in der DSGVO und sind daher gem. § 307 Abs. 1, Abs. 2 Nr. 1 BGB unwirksam.61 Anders liegt es nur bei der Bereitstellung falscher Daten, die – solange die Verpflichtung zu deren Übermittlung wirksam vereinbart wurde – auch schadensrechtlich sanktioniert werden kann.