Das Bun­des­ka­bi­nett hat heu­te ein wei­te­res Arti­kel­ge­setz aus dem Hau­se von Bun­des­jus­tiz­mi­nis­ter Hei­ko Maas ver­ab­schie­den, das sicher­lich gut gemeint, aber lei­der eben wie­der ein­mal nicht ganz so gut gemacht ist: Mit der Ände­rung des UKlaG sol­len Ver­brau­cher­schüt­zer künf­tig Daten­miss­brauch abmah­nen und vor Zivil­ge­rich­ten “kol­lek­ti­ve Ver­brau­cher­da­ten­schutz­rech­te” ein­kla­gen kön­nen. So sym­pa­thisch die­se Idee scheint, so sehr gefähr­det sie jedoch die Tätig­keit der unab­hän­gi­gen Daten­schutz­be­hör­den. Sie sol­len bei Ent­schei­dun­gen nur ange­hört wer­den, ihre Rechts­mei­nung kann von den Land­ge­rich­ten auch negiert wer­den – was in der Pra­xis heu­te schon eher die Regel, als Aus­nah­me ist. Damit aber fällt für Daten­ver­ar­bei­ter der Anreiz weg, sich pro-aktiv um Ein­hal­tung behörd­li­cher Emp­feh­lun­gen zu bemü­hen. Daher droht durch die pri­va­ten “Hilfs­she­riffs” nicht nur eine unein­heit­li­che Recht­spre­chung, son­dern eine Schwä­chung des Daten­schut­zes ins­ge­samt. Der Bun­des­tag ist auf­ge­ru­fen, die­sen gefähr­li­chen Murks im wei­te­ren Gesetz­ge­bungs­ver­fah­ren zu beseitigen.

Das Bun­des­ka­bi­nett hat heu­te ein wei­te­res Arti­kel­ge­setz aus dem Hau­se von Bun­des­jus­tiz­mi­nis­ter Hei­ko Maas ver­ab­schie­det, dass sicher­lich gut gemeint, aber lei­der eben wie­der ein­mal nicht ganz so gut gemacht ist: Bereits nach dem mir vor­lie­gen­den Stand von Ende Janu­ar, der heu­te auch so ver­ab­schie­det wur­de, sind die eher unpro­ble­ma­ti­schen und begrü­ßens­wer­ten Tei­le die­ses Vor­ha­bens Ände­run­gen wie § 309 Num­mer 13 BGB, der „so geän­dert wer­den [soll], dass durch Bestim­mun­gen in All­ge­mei­nen Geschäfts­be­din­gun­gen künf­tig kei­ne stren­ge­re Form als die Text­form für Erklä­run­gen und Anzei­gen, die gegen­über dem Ver­wen­der der All­ge­mei­nen Geschäfts­be­din­gun­gen oder einem Drit­ten abzu­ge­ben sind, ver­ein­bart wer­den kann. Damit wird sicher­ge­stellt, dass ins­be­son­de­re auch die Been­di­gung von Ver­trä­gen für Ver­brau­cher nicht unnö­tig erschwert wird und sie immer ein­fach fest­stel­len kön­nen, wie die ver­ein­bar­te Form zu erfül­len ist“. Sprich: Wer im Inter­net per E‑Mail einen Ver­trag abschlie­ßen kann, soll ihn auch auf dem sel­ben Wege kün­di­gen können.

Das schon seit län­ge­rem dis­ku­tier­te und beson­ders von den staat­li­chen Daten­schutz­be­hör­den in Land und Bund kri­ti­sier­te „Gesetz zur Ver­bes­se­rung der zivil­recht­li­chen Durch­set­zung von ver­brau­cher­schüt­zen­den Vor­schrif­ten des Daten­schutz­rechts“ will jedoch vor allem die Rege­lun­gen des Unter­las­sungs­kla­gen­ge­set­zes (UKlaG) erwei­tern und so beson­ders den Ver­bän­den des Ver­brau­cher­schut­zes ein erwei­ter­tes Betä­ti­gungs­feld (und viel­leicht auch neue Ein­nah­me­quel­le?) ver­schaf­fen, indem „durch die Ergän­zung des § 2 Absatz 2 UKlaG‑E […] aus­drück­lich gere­gelt wer­den [soll], dass daten­schutz­recht­li­che Vor­schrif­ten, wel­che die Zuläs­sig­keit der Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten eines Ver­brau­chers durch einen Unter­neh­mer zu Zwe­cken der Wer­bung, der Markt- und Mei­nungs­for­schung, des Betrei­bens von Aus­kunftei­en, des Erstel­lens von Per­sön­lich­keits- und Nut­zungs­pro­fi­len, des Adress­han­dels, des sons­ti­gen Daten­han­dels oder zu ver­gleich­ba­ren kom­mer­zi­el­len Zwe­cken regeln, Ver­brau­cher­schutz­ge­set­ze im Sin­ne des § 2 Absatz 1 UKlaG sind“. Nicht erfasst wer­den sol­len nur „per­so­nen­be­zo­ge­ne Daten eines Ver­brau­chers [die] von einem Unter­neh­mer aus­schließ­lich für die Begrün­dung, Durch­füh­rung oder Been­di­gung eines rechts­ge­schäft­li­chen oder rechts­ge­schäfts­ähn­li­chen Schuld­ver­hält­nis­ses mit dem Ver­brau­cher erho­ben, ver­ar­bei­tet oder genutzt werden“.

Wei­te Tei­le der (nicht-staat­li­chen) Ver­ar­bei­tung von per­so­nen­be­zieh­ba­ren Daten sol­len durch das UKlaG künf­tig also zum Gegen­stand daten­schutz­recht­li­cher Abmah­nun­gen und Kla­gen von Ver­brau­cher­ver­bän­den und ande­ren „berech­tig­ten Stel­len“ und zum Gegen­stand von Ver­hand­lun­gen vor Zivil­ge­rich­ten gemacht wer­den. Miss­bräuch­li­chen Abmah­nun­gen, denen es nur um Gebüh­ren und nicht um die Sache selbst geht, will man dabei mit ent­spre­chen­den gesetz­li­chen Klau­seln begeg­nen. Unge­löst aber bleibt so der eigent­li­che pro­ble­ma­ti­sche Kern die­ser Rege­lung, der bereits im Sta­di­um des Refe­ren­ten­ent­wurfs Gegen­stand unge­wohnt deut­li­cher Kri­tik der Daten­schüt­zer war, die nor­ma­ler­wei­se selbst unsin­ni­ge Vor­schlä­ge im Namen des Daten­schut­zes aus grund­sätz­li­chen Über­le­gun­gen her­aus öffent­lich begrü­ßen, um ihrem Anlie­gen bloß nicht zu schaden.

Die Recht­spre­chung hat bis­her in durch­aus nach­voll­zieh­ba­rer Wei­se wei­te Tei­le des Daten­schutz­rechts vor allem als staat­li­che Ord­nungs­vor­schrif­ten ange­se­hen, deren Über­wa­chung den Daten­schutz­be­auf­trag­ten des Bun­des und der Län­der zwar in unab­hän­gi­ger, aber eben doch als hoheit­lich-behörd­li­che Auf­ga­be zuge­wie­sen ist. Betrof­fe­ne (Ver­brau­cher) haben abs­trak­te Rech­te über die­se Behör­den zu suchen, Kon­flik­te der Behör­de mit Ver­pflich­te­ten sind vor den Ver­wal­tungs­ge­rich­ten zu lösen. Ein „pri­vat­recht­li­cher“ Streit, was ganz all­ge­mein „rich­ti­ger“ oder „genü­gen­der“ Daten­schutz bei­spiels­wei­se bei der SCHUFA ist, oder eben nicht, soll­te aus­ge­schlos­sen wer­den und – wich­tig für die Pra­xis – die Behör­de so mit den daten­ver­ar­bei­ten­den Stel­len kon­kre­te Ver­ein­ba­run­gen dar­über tref­fen kön­nen, die auch dann „hal­ten“, wenn Drit­te die­se viel­leicht für unzu­rei­chend, aber eben oft auch für zu weit­ge­hend hal­ten. Soweit Drit­te recht­lich nicht kon­kret (genug) betrof­fen sind, fehl­te ihnen ein Recht zu einer ver­wal­tungs­ge­richt­li­chen Kla­ge und konn­ten so infor­mel­le Insti­tu­tio­nen wie der „Düs­sel­dor­fer Kreis“ Fest­le­gun­gen tref­fen, die viel­leicht umstrit­ten, jedoch für die betrof­fe­nen Unter­neh­men zumin­dest eini­ger­ma­ßen ver­läss­li­che Grund­la­gen und damit weit­ge­hen­de Akzep­tanz für vie­le Vor­ga­ben der Daten­schüt­zer geschaf­fen haben.

Die Begrün­dung des Geset­zes, war­um neben den Daten­schüt­zern nur aber auch die Ver­brau­cher­schutz­ver­ei­ne für wei­te Tei­le des Daten­schutz­rechts zu pri­vat­recht­li­chen „Hilfs­she­riffs“ ernannt wer­den sol­len, erscheint durch­aus sym­pa­thisch und nach­voll­zieh­bar: „In einer Zeit, in der Unter­neh­mer auf­grund der Fort­schrit­te in der Infor­ma­ti­ons­tech­nik immer mehr Daten von Ver­brau­chern für die­se Zwe­cke erhe­ben, ver­ar­bei­ten und nut­zen um die Daten für sich kom­mer­zia­li­sie­ren zu kön­nen, wird wirk­sa­mer Ver­brau­cher­da­ten­schutz immer wich­ti­ger“, heißt es in der Begrün­dung. Die Daten­schutz­auf­sichts­be­hör­den wür­den oft „erst tätig, wenn ihnen Ver­stö­ße gegen Daten­schutz­ge­set­ze mit­ge­teilt“ wür­den und die Betrof­fe­nen hät­ten zwar indi­vi­du­el­le Rech­te, aber „Ver­brau­cher scheu­en […] häu­fig die Kos­ten und Mühen, die not­wen­dig sind, um die­se Ansprü­che durch­zu­set­zen“. Die Ver­brau­cher­schutz­ver­bän­de soll­ten daher jeden­falls bei “ Zuwi­der­hand­lung, die die Kol­lek­ti­v­in­ter­es­sen von Ver­brau­chern berüh­ren“ und bei denen die „Bedeu­tung über den Ein­zel­fall hin­aus­reicht und eine gene­rel­le Klä­rung gebo­ten erschei­nen lässt“, gegen Unter­neh­men vor­ge­hen kön­nen – ganz unab­hän­gig von der Rechts­an­sicht der zustän­di­gen Behörde.

Klar for­mu­liert, wenn auch nicht expli­zit aus­ge­spro­chen, wird damit m.E. aber eine sehr har­te und ein­deu­ti­ge Kri­tik an den staat­li­chen Daten­schutz­be­hör­den, die zur poli­ti­schen Grund­la­ge die­ses Geset­zes erho­ben wird: Die unab­hän­gi­gen Daten­schutz­be­hör­den bekom­men nach Ansicht des BMJV den Voll­zug des Daten­schutz­rechts in der Pra­xis nicht in genü­gen­der Wei­se hin, sie brau­chen daher Hil­fe von nicht-staat­li­chen Akteu­ren! So sehr ich als anwalt­li­cher Prak­ti­ker für eine sol­che Sicht­wei­se grund­sätz­lich ja zu haben bin, so gefähr­lich aber erscheint mir, dass man nicht über die Ursa­chen und mög­li­che Optio­nen zur Besei­ti­gung die­ses Voll­zugs­de­fi­zi­tes nach­den­ken will, statt des­sen aber aus­ge­rech­net des „Aus­hand­lungs­me­cha­nis­mus“, der für das den­noch ver­gleichs­wei­se hohe Daten­schutz­ni­veau in Deutsch­land in erheb­li­chem Maße ver­ant­wort­lich sein dürf­te, durch das Gesetz gefähr­det, ohne qua­li­ta­ti­ve Ver­bes­se­run­gen auf­zu­zei­gen. Vor­ge­se­hen ist näm­lich ledig­lich, dass „das Gericht […] vor einer Ent­schei­dung in einem Ver­fah­ren über einen Anspruch nach § 2, das eine Zuwi­der­hand­lung gegen ein Ver­brau­cher­schutz­ge­setz nach § 2 Absatz 2 Satz 1 Num­mer 11 zum Gegen­stand hat, die zustän­di­ge inlän­di­sche Daten­schutz­be­hör­de zu hören [hat]. Satz 1 ist nicht anzu­wen­den, wenn über einen Antrag auf Erlass einer einst­wei­li­gen Ver­fü­gung ohne münd­li­che Ver­hand­lung ent­schie­den wird.“ Sprich: Gera­de wenn in Fol­ge einer Abmah­nung eine einst­wei­li­ge Ver­fü­gung bean­tragt und erlas­sen wird, wird die zustän­di­ge Behör­de (min­des­tens zunächst) gar nicht, danach aber vom Gericht auch nur angehört.

Soweit eine Daten­schutz­be­hör­de in einem kon­kre­ten Fall bereits eine Ent­schei­dung getrof­fen oder ganz bewusst nicht getrof­fen hat, bin­det der Grund­satz der „Ein­heit der Rechts­ord­nung“ nach Art. 20 Abs. 3 GG jedoch auch die Recht­spre­chung der Zivil­ge­rich­te: Eine Hand­lung, die eine Behör­de im Rah­men ihrer Zustän­dig­keit gestat­tet hat, kann ein Zivil­ge­richt also nicht mit der Begrün­dung ver­bie­ten, es beur­tei­le die auf­ge­wor­fe­nen Rechts­fra­gen anders als die Ver­wal­tungs­be­hör­de (vgl. etwa BGH GRUR 2005, 778, 779 – Atem­test oder BGH GRUR 2002 269, 270 ‑Sport­wet­ten-Geneh­mi­gung). Wer die Maß­nah­men der Daten­schutz­be­hör­de also gegen­über SCHUFA, oder auch Goog­le, Face­book & Co. viel­leicht für zu „lasch“ hält, wird also auch nicht mit den Mit­teln des UKlaG zu einem ande­ren Ergeb­nis kom­men kön­nen. Anders nur in sol­chen Fäl­len, in denen ein Unter­neh­men bis­lang (noch) gar nicht als Pro­blem für „kol­lek­ti­ve Ver­brau­cher­inter­es­sen“ behörd­lich in Erschei­nung getre­ten ist: Hier wird das Zivil­ge­richt auf Antrag der Ver­brau­cher­ver­bän­de unein­ge­schränkt eige­nes Recht spre­chen kön­nen, denn es ist als ordent­li­che Gerichts­bar­keit weder an die in der Anhö­rung vor­ge­tra­ge­nen Rechts­an­sich­ten einer Behör­de, noch Urtei­le der Ver­wal­tungs­ge­rich­te gebun­den und zudem wegen des feh­len­den Amts­er­mitt­lungs­grund­satz im Zivil­recht auch nicht zu eige­nen Nach­for­schun­gen verpflichtet.

Auf­grund mei­ner eige­nen Erfah­run­gen beim Daten­schutz vor Zivil­ge­rich­ten muss dar­aus aber nicht etwa mehr oder gar eine restrik­ti­ve­re Inter­pre­ta­ti­on des Daten­schutz fol­gen, wie sich das Hei­ko Maas und sein Minis­te­ri­um offen­sicht­lich poli­tisch wün­schen. Im Gegen­teil wei­sen Zivil­rich­ter regel­mä­ßig selbst sol­che Ansprü­che zurück, die unter den zustän­di­gen Behör­den und der ein­schlä­gi­gen Lite­ra­tur abso­lut herr­schen­de Mei­nung sind. Und gegen pro­ble­ma­ti­sche Daten­er­he­bung und Ver­ar­bei­tung im Aus­land, im Inter­net regel­mä­ßig die kri­ti­schen Fäl­le, wird auch ein Land­ge­richt kein Mit­tel fin­den, weil es ihm an Zustän­dig­keit fehlt. Wahr­schein­li­cher ist daher ein Aus­ein­an­der­fal­len von zivil­recht­li­chen und behörd­li­chen Ent­schei­dun­gen in durch­aus wich­ti­gen Ein­zel­fra­gen, wobei Wider­sprü­che anschlie­ßend nicht auf­ge­löst wer­den kön­nen, weil es kei­ne gemein­sa­me Instanz von Zivil- und Ver­wal­tungs­ge­richts­bar­keit gibt, ihr Wir­ken viel­mehr streng getrennt ist. Die Behör­de wird aber nicht umhin kom­men, ihrer Ansicht wider­spre­chen­de Urtei­le der Zivil­ge­rich­te pflicht­ge­mäß zu berücksichtigen.

Sehr wahr­schein­lich ist zudem fol­gen­des: Da es für ein (jun­ges) Inter­net-Unter­neh­men in Deutsch­land über­haupt kei­nen Vor­teil bie­tet, sich pro-aktiv an alle Emp­feh­lun­gen des Düs­sel­dor­fer Krei­ses zu hal­ten, wird es für Bera­ter, die wie ich ein hohes Daten­schutz­ni­veau und ange­mes­se­ne, effek­ti­ve Rege­lun­gen per­sön­lich nicht nur für rich­tig, son­dern auch wich­tig hal­ten, nur noch schwe­rer wer­den, sei­nem Man­dan­ten klar zu machen, war­um er die­sen Auf­wand über­haupt betrei­ben soll, da es ihn nur im sel­te­nen Fal­le einer vor­an­ge­gan­ge­nen kon­kre­ten behörd­li­chen Ent­schei­dung vor „wild­ge­wor­de­nen Ver­brau­cher­schüt­zern“ und zivil­recht­li­chen Strei­tig­kei­ten bewah­ren könn­te. Die meis­ten Unter­neh­men wer­den erst ein­mal abwar­ten und pro­ble­ma­ti­sches Ver­hal­ten erst ändern, wenn eine kon­kre­te Abmah­nung auf dem Tisch liegt. Die Ver­brau­cher­schutz­ver­ei­ne sind – auch wenn sie es nicht hören wol­len – jedoch nach mei­ner Erfah­rung gegen­über einer Behör­de kei­ne schlag­kräf­ti­ge­re oder effi­zi­en­te­re Orga­ni­sa­ti­on, die das auf­fan­gen könn­ten, was dem staat­li­chen Daten­schutz an Wil­len und Res­sour­cen fehlt.

Soweit im Rah­men der Bera­tun­gen des Bun­des­ta­ges an die­ser Stel­le nicht noch erheb­li­che sys­te­ma­ti­sche Ver­bes­se­run­gen gelin­gen, befürch­te ich daher, dass auch die­ses Gesetz aus dem Hau­se Maas im bes­ten Fal­le nur sym­bo­lisch wirkt – in der Pra­xis jedoch kei­nen posi­ti­ven Bei­trag zum erklär­ten Ziel leis­ten wird. Den Schutz von Ver­brau­chern in Bezug auf ihre Daten könn­ten die neu ernann­ten pri­va­ten Hilfs­she­riffs nicht wie öffent­lich gewünscht „ergän­zen“, die Arbeit der unab­hän­gi­gen staat­li­chen Daten­schutz­be­hör­den aber ansons­ten im Gegen­teil sehr erschweren.