Festschrift für Jürgen Taeger

Die Konsequenzen der Nichtbereitstellung personenbezogener Daten ergeben sich daher nicht aus den §§ 280ff. BGB.60 Hiervon abweichende AGB, die eine solche Schadensersatzhaftung vorsehen, verstoßen gegen die Grundgedanken der gesetzlichen Regelung in der DSGVO und sind daher gem. § 307 Abs. 1, Abs. 2 Nr. 1 BGB unwirksam.61 Anders liegt es nur bei der Bereitstellung falscher Daten, die – solange die Verpflichtung zu deren Übermittlung wirksam vereinbart wurde – auch schadensrechtlich sanktioniert werden kann.

Wenn aus dem schuldrechtlichen Vertrag weder ein Anspruch noch eine Leistungspflicht auf Erteilung der Einwilligung abzuleiten ist, kommt ihm doch jedenfalls die Funktion eines bereicherungsrechtlichen Rechtsgrundes für das Behaltendürfen der aufgrund der Einwilligung in die Datenverarbeitung erhaltenen Datennutzungsmöglichkeit zu.62 Relevant ist das im Regelfall, bei dem Vertragsschluss und Einwilligung zeitlich zusammenfallen: Dort ist die Einwilligung immer dann freiwillig erteilt, wenn auch der Vertrag, in welchem sie vorgesehen ist, seinerseits freiwillig abgeschlossen wurde, sodass sich aus datenschutzrechtlicher Sicht keine Bedenken hinsichtlich ihrer Wirksamkeit ergeben. Im praktischen Ergebnis handelt es sich dann um einen Realvertrag – vergleichbar mit der Handschenkung –, bei welchem zu keinem Zeitpunkt ein durchsetzbarer Anspruch auf die Einwilligung besteht.

Jenseits schuldrechtlicher Erwägungen wird in den meisten Fällen allerdings die Erteilung einer Einwilligung vor oder bei Vertragsschluss aus Sicht des Anbieters Voraussetzung für den Vertragsschluss sein, weil er ohne diese sein Geschäftsmodell nicht realisieren kann. Eine solche Voraussetzung kann mittels einer rechtlichen Bedingung (§§ 158ff. BGB) abgesichert werden, sodass die vertragliche Willenserklärung des Anbieters nur wirksam wird, wenn der Betroffene eine wirksame datenschutzrechtliche Einwilligung erteilt.

Die Wirksamkeit einer unter dieser Bedingung erteilten Einwilligung sollte nicht am „Koppelungsverbot“ des Art. 7 Abs. 4 DSGVO scheitern, weil gerade nicht die Erfüllung des Vertrages von der Einwilligung abhängig gemacht wird, sondern der Vertragsschluss selbst (anders insoweit noch das frühere strenge Koppelungsverbot in § 28 Abs. 3b BDSG a.F., wonach der „ Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen ... abhängig“ gemacht werden durfte).63 Zu diesem Zeitpunkt besteht noch kein Anspruch des Betroffenen auf die vertragliche Leistung des Datengläubigers, in deren Hinblick die Drohung mit ihrer Nichterfüllung ein unangemessenes Druckmittel zur Erzielung der Einwilligung sein könnte. Umgekehrt muss dem Anbieter freigestellt bleiben, zu welchen Bedingungen er zu einem Vertragsschluss bereit ist; eine andere Deutung liefe letztlich auf einen Kontrahierungszwang zu seinen Lasten hinaus, obwohl der Kunde nicht bereit ist, die Voraussetzungen des Anbieters für den Vertragsschluss zu erfüllen. Der Verbraucher kann dann immer noch frei wählen, ob er den Vertrag zu den vom Anbieter gesetzten Bedingungen (einschließlich der datenschutzrechtlichen Einwilligung) abschließt oder nicht – er kann den Anbieter nur nicht zu einem Vertragsschluss ohne Einwilligung zwingen, weil er auf einen solchen gerade keinen Anspruch hat, solange nicht der Ausnahmefall eines Kontrahierungszwanges vorliegt.64 Wiederum ist es vorrangig eine Frage des Wettbewerbsrechts unter dem Gesichtspunkt des Missbrauchs einer marktbeherrschenden Stellung, ob die Bedingungen des Anbieters angemessen sind oder nicht;65 an der Freiwilligkeit i.S.v. Art. 4 Nr. 11 DSGVO kann allerdings kein Zweifel bestehen, solange der Betroffene jederzeit auch die Möglichkeit hat, den Vertrag nicht zu schließen.66

In der Summe lässt sich festhalten, dass kein durchsetzbarer schuldrechtlicher Anspruch auf Erteilung einer datenschutzrechtlichen Einwilligung bestehen kann. Noch nicht einmal eine Leistungspflicht, die Maßstab für die Bestimmung einer Pflichtverletzung bzw. einer Nichterfüllung wäre, kann wirksam begründet werden. Wird in einem Vertrag die Einwilligung nicht zugleich mit dem Vertragsschluss erteilt, so hat der Gläubiger daher keinerlei Druckmittel, um vom Betroffenen die Einwilligung nachträglich gegen dessen Willen noch einzuholen. Die primäre dogmatische Funktion, die einer schuldvertraglichen Vereinbarung über die Erteilung einer datenschutzrechtlichen Einwilligung zukommt, ist mithin, den bereicherungsrechtlichen Rechtsgrund für die Einwilligung und die aufgrund dieser erfolgende Überlassung von Daten zur Verarbeitung zu bilden, wenn die Einwilligung unmittelbar bei Vertragsschluss freiwillig erteilt wird. Alternativ kann das Erfordernis der Einwilligung auch im Vorfeld des Vertrages als aufschiebende Bedingung anzusehen sein; auch dann handelt es sich um eine Obliegenheit des Betroffenen. Welcher von diesen Fällen vorliegt, ist im Wege der Auslegung im Einzelfall zu ermitteln.

Ausgehend von den vorstehenden Ausführungen zur Rechtsnatur einer „Vertragspflicht“ zur Einwilligung ist nun weiter zu untersuchen, wie sich der Widerruf einer Einwilligung – oder deren anfängliche Nichterteilung – auf die vertraglich vereinbarte „Gegenleistung“ auswirken.

Denkbar ist zunächst, datenschutzrechtliche Einwilligung und „Gegenleistung“ als Teile eines Synallagmas i.S.d. §§ 320ff. BGB anzusehen.67 Das würde bedeuten, dass der Gläubiger seine eigene Leistung nach § 320 BGB zurückhalten könnte, solange eine geschuldete Einwilligung noch nicht erteilt ist. Dagegen bestehen allerdings gravierende Bedenken, weil § 320 BGB dogmatisch das Bestehen zweier synallagmatischer Ansprüche voraussetzt und wirtschaftlich ein Zwangsmittel zur Durchsetzung eines Anspruchs darstellt.68 Dieses verstieße wiederum gegen das Gebot der Freiwilligkeit der datenschutzrechtlichen Einwilligung, insbesondere im Hinblick auf das Koppelungsverbot des Art. 7 Abs. 4 DSGVO, weil der Gläubiger durch die Geltendmachung der Einrede des § 320 BGB tatsächlich die Erfüllung des bereits geschlossenen Vertrags von der Erteilung der Einwilligung abhängig machen würde.69

Vertreten wird zudem, dass ein Gläubiger, der bereits vorgeleistet hat, gemäß § 323 BGB vom Vertrag zurücktreten und seine bereits erbrachte Gegenleistung zurückfordern könne, wenn die vertraglich versprochene Einwilligung ausbleibt.70 Sofern die Gegenleistung – wie in den meisten Fällen – in einer bloßen Dienstleistung bestand, müsste der Betroffene hierfür dann nach § 346 Abs. 2 Satz 1 Nr. 1 BGB Wertersatz leisten, sogar wenn er selbst ursprünglich keine monetäre Leistung (sondern nur die Einwilligung in die Datenverarbeitung) erbringen wollte. Hierin läge nach dem oben Ausgeführten ein Nachteil für den Betroffenen, der mit dem Widerruf der Einwilligung verbunden wäre und der Einwilligung gem. Erwägungsgrund 42 Satz 4 DSGVO ihre Freiwilligkeit nähme.71 Hinzu käme als weiteres Problem, dass auch der Datengläubiger nach einem Rücktritt die erhaltene Leistung – also die Nutzungsbefugnis bezüglich der personenbezogenen Daten des Kunden aufgrund von dessen Einwilligung – zurückgewähren müsste. Das widerspräche zum einen der fehlenden Rückwirkungswirkung der Einwilligung (Art. 7 Abs. 3 Satz 2 DSGVO) und würde zum anderen zu dem praktischen Problem führen, dass die Daten nicht in Natur zurückgegeben werden können, sodass (auch) hierfür Wertersatz zu leisten wäre (§ 346 Abs. 2 Satz 1 Nr. 1 BGB). Dieses Ergebnis – wechselseitige Geldzahlungspflichten – würde den Interessen beider Parteien zuwiderlaufen.