Das Bundeskabinett hat heute ein weiteres Artikelgesetz aus dem Hause von Bundesjustizminister Heiko Maas verabschieden, das sicherlich gut gemeint, aber leider eben wieder einmal nicht ganz so gut gemacht ist: Mit der Änderung des UKlaG sollen Verbraucherschützer künftig Datenmissbrauch abmahnen und vor Zivilgerichten “kollektive Verbraucherdatenschutzrechte” einklagen können. So sympathisch diese Idee scheint, so sehr gefährdet sie jedoch die Tätigkeit der unabhängigen Datenschutzbehörden. Sie sollen bei Entscheidungen nur angehört werden, ihre Rechtsmeinung kann von den Landgerichten auch negiert werden – was in der Praxis heute schon eher die Regel, als Ausnahme ist. Damit aber fällt für Datenverarbeiter der Anreiz weg, sich pro-aktiv um Einhaltung behördlicher Empfehlungen zu bemühen. Daher droht durch die privaten “Hilfssheriffs” nicht nur eine uneinheitliche Rechtsprechung, sondern eine Schwächung des Datenschutzes insgesamt. Der Bundestag ist aufgerufen, diesen gefährlichen Murks im weiteren Gesetzgebungsverfahren zu beseitigen.
Das Bundeskabinett hat heute ein weiteres Artikelgesetz aus dem Hause von Bundesjustizminister Heiko Maas verabschiedet, dass sicherlich gut gemeint, aber leider eben wieder einmal nicht ganz so gut gemacht ist: Bereits nach dem mir vorliegenden Stand von Ende Januar, der heute auch so verabschiedet wurde, sind die eher unproblematischen und begrüßenswerten Teile dieses Vorhabens Änderungen wie § 309 Nummer 13 BGB, der „so geändert werden [soll], dass durch Bestimmungen in Allgemeinen Geschäftsbedingungen künftig keine strengere Form als die Textform für Erklärungen und Anzeigen, die gegenüber dem Verwender der Allgemeinen Geschäftsbedingungen oder einem Dritten abzugeben sind, vereinbart werden kann. Damit wird sichergestellt, dass insbesondere auch die Beendigung von Verträgen für Verbraucher nicht unnötig erschwert wird und sie immer einfach feststellen können, wie die vereinbarte Form zu erfüllen ist“. Sprich: Wer im Internet per E‑Mail einen Vertrag abschließen kann, soll ihn auch auf dem selben Wege kündigen können.
Das schon seit längerem diskutierte und besonders von den staatlichen Datenschutzbehörden in Land und Bund kritisierte „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ will jedoch vor allem die Regelungen des Unterlassungsklagengesetzes (UKlaG) erweitern und so besonders den Verbänden des Verbraucherschutzes ein erweitertes Betätigungsfeld (und vielleicht auch neue Einnahmequelle?) verschaffen, indem „durch die Ergänzung des § 2 Absatz 2 UKlaG‑E […] ausdrücklich geregelt werden [soll], dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze im Sinne des § 2 Absatz 1 UKlaG sind“. Nicht erfasst werden sollen nur „personenbezogene Daten eines Verbrauchers [die] von einem Unternehmer ausschließlich für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Verbraucher erhoben, verarbeitet oder genutzt werden“.
Weite Teile der (nicht-staatlichen) Verarbeitung von personenbeziehbaren Daten sollen durch das UKlaG künftig also zum Gegenstand datenschutzrechtlicher Abmahnungen und Klagen von Verbraucherverbänden und anderen „berechtigten Stellen“ und zum Gegenstand von Verhandlungen vor Zivilgerichten gemacht werden. Missbräuchlichen Abmahnungen, denen es nur um Gebühren und nicht um die Sache selbst geht, will man dabei mit entsprechenden gesetzlichen Klauseln begegnen. Ungelöst aber bleibt so der eigentliche problematische Kern dieser Regelung, der bereits im Stadium des Referentenentwurfs Gegenstand ungewohnt deutlicher Kritik der Datenschützer war, die normalerweise selbst unsinnige Vorschläge im Namen des Datenschutzes aus grundsätzlichen Überlegungen heraus öffentlich begrüßen, um ihrem Anliegen bloß nicht zu schaden.
Die Rechtsprechung hat bisher in durchaus nachvollziehbarer Weise weite Teile des Datenschutzrechts vor allem als staatliche Ordnungsvorschriften angesehen, deren Überwachung den Datenschutzbeauftragten des Bundes und der Länder zwar in unabhängiger, aber eben doch als hoheitlich-behördliche Aufgabe zugewiesen ist. Betroffene (Verbraucher) haben abstrakte Rechte über diese Behörden zu suchen, Konflikte der Behörde mit Verpflichteten sind vor den Verwaltungsgerichten zu lösen. Ein „privatrechtlicher“ Streit, was ganz allgemein „richtiger“ oder „genügender“ Datenschutz beispielsweise bei der SCHUFA ist, oder eben nicht, sollte ausgeschlossen werden und – wichtig für die Praxis – die Behörde so mit den datenverarbeitenden Stellen konkrete Vereinbarungen darüber treffen können, die auch dann „halten“, wenn Dritte diese vielleicht für unzureichend, aber eben oft auch für zu weitgehend halten. Soweit Dritte rechtlich nicht konkret (genug) betroffen sind, fehlte ihnen ein Recht zu einer verwaltungsgerichtlichen Klage und konnten so informelle Institutionen wie der „Düsseldorfer Kreis“ Festlegungen treffen, die vielleicht umstritten, jedoch für die betroffenen Unternehmen zumindest einigermaßen verlässliche Grundlagen und damit weitgehende Akzeptanz für viele Vorgaben der Datenschützer geschaffen haben.
Die Begründung des Gesetzes, warum neben den Datenschützern nur aber auch die Verbraucherschutzvereine für weite Teile des Datenschutzrechts zu privatrechtlichen „Hilfssheriffs“ ernannt werden sollen, erscheint durchaus sympathisch und nachvollziehbar: „In einer Zeit, in der Unternehmer aufgrund der Fortschritte in der Informationstechnik immer mehr Daten von Verbrauchern für diese Zwecke erheben, verarbeiten und nutzen um die Daten für sich kommerzialisieren zu können, wird wirksamer Verbraucherdatenschutz immer wichtiger“, heißt es in der Begründung. Die Datenschutzaufsichtsbehörden würden oft „erst tätig, wenn ihnen Verstöße gegen Datenschutzgesetze mitgeteilt“ würden und die Betroffenen hätten zwar individuelle Rechte, aber „Verbraucher scheuen […] häufig die Kosten und Mühen, die notwendig sind, um diese Ansprüche durchzusetzen“. Die Verbraucherschutzverbände sollten daher jedenfalls bei “ Zuwiderhandlung, die die Kollektivinteressen von Verbrauchern berühren“ und bei denen die „Bedeutung über den Einzelfall hinausreicht und eine generelle Klärung geboten erscheinen lässt“, gegen Unternehmen vorgehen können – ganz unabhängig von der Rechtsansicht der zuständigen Behörde.
Klar formuliert, wenn auch nicht explizit ausgesprochen, wird damit m.E. aber eine sehr harte und eindeutige Kritik an den staatlichen Datenschutzbehörden, die zur politischen Grundlage dieses Gesetzes erhoben wird: Die unabhängigen Datenschutzbehörden bekommen nach Ansicht des BMJV den Vollzug des Datenschutzrechts in der Praxis nicht in genügender Weise hin, sie brauchen daher Hilfe von nicht-staatlichen Akteuren! So sehr ich als anwaltlicher Praktiker für eine solche Sichtweise grundsätzlich ja zu haben bin, so gefährlich aber erscheint mir, dass man nicht über die Ursachen und mögliche Optionen zur Beseitigung dieses Vollzugsdefizites nachdenken will, statt dessen aber ausgerechnet des „Aushandlungsmechanismus“, der für das dennoch vergleichsweise hohe Datenschutzniveau in Deutschland in erheblichem Maße verantwortlich sein dürfte, durch das Gesetz gefährdet, ohne qualitative Verbesserungen aufzuzeigen. Vorgesehen ist nämlich lediglich, dass „das Gericht […] vor einer Entscheidung in einem Verfahren über einen Anspruch nach § 2, das eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz nach § 2 Absatz 2 Satz 1 Nummer 11 zum Gegenstand hat, die zuständige inländische Datenschutzbehörde zu hören [hat]. Satz 1 ist nicht anzuwenden, wenn über einen Antrag auf Erlass einer einstweiligen Verfügung ohne mündliche Verhandlung entschieden wird.“ Sprich: Gerade wenn in Folge einer Abmahnung eine einstweilige Verfügung beantragt und erlassen wird, wird die zuständige Behörde (mindestens zunächst) gar nicht, danach aber vom Gericht auch nur angehört.
Soweit eine Datenschutzbehörde in einem konkreten Fall bereits eine Entscheidung getroffen oder ganz bewusst nicht getroffen hat, bindet der Grundsatz der „Einheit der Rechtsordnung“ nach Art. 20 Abs. 3 GG jedoch auch die Rechtsprechung der Zivilgerichte: Eine Handlung, die eine Behörde im Rahmen ihrer Zuständigkeit gestattet hat, kann ein Zivilgericht also nicht mit der Begründung verbieten, es beurteile die aufgeworfenen Rechtsfragen anders als die Verwaltungsbehörde (vgl. etwa BGH GRUR 2005, 778, 779 – Atemtest oder BGH GRUR 2002 269, 270 ‑Sportwetten-Genehmigung). Wer die Maßnahmen der Datenschutzbehörde also gegenüber SCHUFA, oder auch Google, Facebook & Co. vielleicht für zu „lasch“ hält, wird also auch nicht mit den Mitteln des UKlaG zu einem anderen Ergebnis kommen können. Anders nur in solchen Fällen, in denen ein Unternehmen bislang (noch) gar nicht als Problem für „kollektive Verbraucherinteressen“ behördlich in Erscheinung getreten ist: Hier wird das Zivilgericht auf Antrag der Verbraucherverbände uneingeschränkt eigenes Recht sprechen können, denn es ist als ordentliche Gerichtsbarkeit weder an die in der Anhörung vorgetragenen Rechtsansichten einer Behörde, noch Urteile der Verwaltungsgerichte gebunden und zudem wegen des fehlenden Amtsermittlungsgrundsatz im Zivilrecht auch nicht zu eigenen Nachforschungen verpflichtet.
Aufgrund meiner eigenen Erfahrungen beim Datenschutz vor Zivilgerichten muss daraus aber nicht etwa mehr oder gar eine restriktivere Interpretation des Datenschutz folgen, wie sich das Heiko Maas und sein Ministerium offensichtlich politisch wünschen. Im Gegenteil weisen Zivilrichter regelmäßig selbst solche Ansprüche zurück, die unter den zuständigen Behörden und der einschlägigen Literatur absolut herrschende Meinung sind. Und gegen problematische Datenerhebung und Verarbeitung im Ausland, im Internet regelmäßig die kritischen Fälle, wird auch ein Landgericht kein Mittel finden, weil es ihm an Zuständigkeit fehlt. Wahrscheinlicher ist daher ein Auseinanderfallen von zivilrechtlichen und behördlichen Entscheidungen in durchaus wichtigen Einzelfragen, wobei Widersprüche anschließend nicht aufgelöst werden können, weil es keine gemeinsame Instanz von Zivil- und Verwaltungsgerichtsbarkeit gibt, ihr Wirken vielmehr streng getrennt ist. Die Behörde wird aber nicht umhin kommen, ihrer Ansicht widersprechende Urteile der Zivilgerichte pflichtgemäß zu berücksichtigen.
Sehr wahrscheinlich ist zudem folgendes: Da es für ein (junges) Internet-Unternehmen in Deutschland überhaupt keinen Vorteil bietet, sich pro-aktiv an alle Empfehlungen des Düsseldorfer Kreises zu halten, wird es für Berater, die wie ich ein hohes Datenschutzniveau und angemessene, effektive Regelungen persönlich nicht nur für richtig, sondern auch wichtig halten, nur noch schwerer werden, seinem Mandanten klar zu machen, warum er diesen Aufwand überhaupt betreiben soll, da es ihn nur im seltenen Falle einer vorangegangenen konkreten behördlichen Entscheidung vor „wildgewordenen Verbraucherschützern“ und zivilrechtlichen Streitigkeiten bewahren könnte. Die meisten Unternehmen werden erst einmal abwarten und problematisches Verhalten erst ändern, wenn eine konkrete Abmahnung auf dem Tisch liegt. Die Verbraucherschutzvereine sind – auch wenn sie es nicht hören wollen – jedoch nach meiner Erfahrung gegenüber einer Behörde keine schlagkräftigere oder effizientere Organisation, die das auffangen könnten, was dem staatlichen Datenschutz an Willen und Ressourcen fehlt.
Soweit im Rahmen der Beratungen des Bundestages an dieser Stelle nicht noch erhebliche systematische Verbesserungen gelingen, befürchte ich daher, dass auch dieses Gesetz aus dem Hause Maas im besten Falle nur symbolisch wirkt – in der Praxis jedoch keinen positiven Beitrag zum erklärten Ziel leisten wird. Den Schutz von Verbrauchern in Bezug auf ihre Daten könnten die neu ernannten privaten Hilfssheriffs nicht wie öffentlich gewünscht „ergänzen“, die Arbeit der unabhängigen staatlichen Datenschutzbehörden aber ansonsten im Gegenteil sehr erschweren.
[…] für Justiz und Verbraucherschutz sagen zu müssen: Das Haus von Heiko Maas hat es erneut nicht geschafft in einem schwierigen Feld „digitalen Lebens“ ein inhaltlich und handwerklich […]