Der Bundesrat hat in seiner 932. Sitzung am 27. März 2015 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen:
1. Zum Gesetzentwurf allgemein
- a) Der Bundesrat begrüßt grundsätzlich das Ziel des vorliegenden Gesetzentwurfes, den Schutz von Verbrauchern gegen die unzulässige Erhebung, Verbreitung und Nutzung ihrer Daten zu kommerziellen Zwecken zu verbessern, insbesondere bei Geschäftsabschlüssen über das Internet.
- b) Der Bundesrat betont, dass mit dem Gesetzentwurf bei der Umsetzung dieses Zieles Neuland betreten wird und sich die dazu gewählten Mittel, insbesondere die Abmahnungs- und Unterlassungsklagemöglichkeiten, in der Wirtschaftspraxis erst werden bewähren müssen.
- c) Der Bundesrat ist der Auffassung, dass die Überwachung der Einhaltung des Datenschutzes weiterhin in erster Linie den unabhängigen Datenschutzaufsichtsbehörden und Datenschutzbeauftragten vorbehalten bleiben soll.
- d) Der Bundesrat weist auf die Stellungnahme des Nationalen Normenkontrollrates bezüglich des Erfüllungsaufwandes für die Wirtschaft hin. Der Bundesrat bittet in diesem Zusammenhang die Bundesregierung insbesondere um Prüfung, inwieweit mit den Regelungen des Gesetzentwurfes besondere Belastungen für KMU verbunden sein können und wie der Erfüllungsaufwand insbesondere für diese so klein wie möglich gehalten werden kann.
2. Zu Artikel 3 Nummer 1 Buchstabe c Doppelbuchstabe cc (§ 2 Absatz 2 Satz 1 Nummer 11 UKlaG), Doppelbuchstabe dd (§ 2 Absatz 2 Satz 2 UKlaG)
In Artikel 3 Nummer 1 ist Buchstabe c wie folgt zu ändern:
a) In Doppelbuchstabe cc ist Nummer 11 wie folgt zu fassen:
"11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten."
b) Doppelbuchstabe dd ist zu streichen.
Begründung:
Die hier empfohlenen Änderungen entsprechen dem Wortlaut des Referentenentwurfs.
Zur Stärkung der zivilrechtlichen Durchsetzbarkeit von verbraucherschützenden Vorschriften des Datenschutzrechts ist es erforderlich, dass auch solche Vorschriften als Verbraucherschutzgesetze im Sinne des § 2 Absatz 2 des Unterlassungsklagengesetzes (UKlaG) gelten, die die Pflichten der datenverarbeitenden Stellen bzw. Unternehmen beim Umgang mit den bei Verbrauchern erhobenen Daten sowie die Rechte der Betroffenen regeln. Insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) sollten von klagebefugten Einrichtungen ebenfalls nach dem UKlaG verfolgt werden können. Diese Verstöße werden durch die im Gesetzentwurf vorgenommene Begrenzung auf Vorschriften, die die "Zulässigkeit" der Erhebung, Verarbeitung und Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer betreffen, aber nicht erfasst. Verstöße von Unternehmen gegen solche Vorschriften können in ihrem Gewicht und ihrer Bedeutung gleichermaßen über den Einzelfall hinausgehen und so kollektive Verbraucherinteressen berühren.
Auch die Beschränkung des Anwendungsbereichs der neuen Nummer 11 des § 2 Absatz 2 Satz 1 UKlaG-E auf Fälle, in denen die Erhebung, Verarbeitung oder Nutzung von verbraucherbezogenen Daten zu einzelnen kommerziellen oder vergleichbaren Zwecken erfolgt, erscheint aus Verbraucherschutzsicht nicht sachgerecht. Insbesondere ist nicht ersichtlich, weshalb Verstöße gegen Datenschutzvorschriften im Rahmen der Erfüllung gesetzlicher Pflichten oder der Durchführung, Begründung oder Beendigung eines Rechtsgeschäfts mit einem Verbraucher nicht von der Vorschrift erfasst und damit auch nicht von klagebefugten Einrichtungen nach dem UKlaG verfolgt werden sollen. Das Vorliegen eines kommerziellen Zwecks, in Verbindung mit dem Verstoß gegen Datenschutzvorschriften, darf allenfalls ein Anhaltspunkt dafür sein, dass eine generelle Klärung notwendig und kollektive Verbraucherinteressen berührt sein könnten. Keinesfalls darf ein solcher Zweck als gesetzliche Voraussetzung für die Anwendung des § 2 Absatz 2 Satz 1 Nummer 11 UKlaG-E auf Datenschutzvorschriften gelten.
In diesem Zusammenhang ist auch zu berücksichtigen, dass nach dem Gesetzentwurf jeweils im konkreten Fall dargelegt und bewiesen werden müsste, dass die Daten zu den genannten Zwecken erhoben, verarbeitet oder genutzt werden. Diese Voraussetzung ist ein ungerechtfertigtes Klagehemmnis, da die Zweckbestimmung für klagebefugte Einrichtungen im Zweifel weder erkennbar noch nachvollziehbar ist. Ein objektiver Verstoß gegen Datenschutzvorschriften sollte daher als Anspruchsvoraussetzung ausreichen.
3. Zu Artikel 3 Nummer 1 Buchstabe c Doppelbuchstabe cc (§ 2 Absatz 2 Satz 1 Nummer 12 - neu - UKlaG)
In Artikel 3 Nummer 1 Buchstabe c ist Doppelbuchstabe cc wie folgt zu fassen:
'cc) Folgende Nummern 11 und 12 werden angefügt:
- "11. ... < wie Vorlage* ... (mit der Maßgabe, dass der Punkt am Ende durch das Wort "und" zu ersetzen ist) >
- 12. die Vorschriften der Finanzanlagenvermittlungsverordnung, die das Verhältnis zwischen Verbrauchern und Finanzanlagenvermittlern sowie Honorar-Finanzanlagenberatern regeln."'
Folgeänderung:
In Artikel 3 Nummer 1 Buchstabe c ist Doppelbuchstabe bb wie folgt zu fassen:
"bb) In Nummer 10 wird der Punkt am Ende durch ein Komma ersetzt."
Begründung:
Mit der Aufnahme der verbraucherbezogenen Vorschriften der Finanzanlagenvermittlungsverordnung (z.B. § 12a FinVermV) wird klargestellt, dass die Verbraucherverbände ihre Marktwächterfunktion bei Finanzdienstleistungen auf Grundlage des Unterlassungsklagengesetzes nicht nur in Bezug auf Wertpapierdienstleistungsunternehmen (§ 2 Absatz 2 Nummer 7 UKlaG) und einzelne Pflichten im Zusammenhang mit dem Vertrieb von Fondsanteilen (§ 2 Absatz 2 Nummer 6 UKlaG), sondern umfassend ausüben können. Gerade bei Finanzdienstleistern, die keine Wertpapierdienstleistungsunternehmen sind und damit nicht der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstehen, wird der Bedarf gesehen, gegen wiederholte und systematische Defizite bei der Erfüllung kundenbezogener Pflichten (z.B. zur Erstellung eines Beratungsprotokolls oder Offenlegung von Provisionen) vorzugehen.
4. Zu Artikel 3 Nummer 7 (§ 12a UKlaG)
Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob in der Regelung zur gerichtlichen Anhörung der inländischen Datenschutzbehörden (§ 12a UKlaG-E) die jeweils zuständige Datenschutzbehörde näher konkretisiert werden sollte.
Begründung:
Die örtliche Zuständigkeit der Datenschutzbehörden richtet sich grundsätzlich nach § 3 VwVfG bzw. der jeweils entsprechenden landesrechtlichen Regelung. In der Praxis kommt es immer wieder zu Fällen, in denen nicht nur eine, sondern mehrere Datenschutzbehörden zuständig sind. Die Regelung der Anhörungspflicht im gerichtlichen Verfahren sollte daher möglichst klar ausgestaltet werden, um etwaige Verzögerungen zu vermeiden und möglichen Verfahrensfehlern (Anhörung der nicht zuständigen Datenschutzbehörde) vorzubeugen. Eine Möglichkeit wäre beispielsweise die Bestimmung derjenigen Datenschutzbehörde, in deren örtlicher Zuständigkeit das befasste Gericht liegt.
5. Zu Artikel 3 Nummer 7 (§ 12a UKlaG)
Der Bundesrat ist der Auffassung, dass der Gesetzentwurf dem Risiko paralleler Rechtsstreitigkeiten durch Verbraucherschutzverbände und Datenschutzaufsichtsbehörden nicht hinreichend vorbeugt. Der Bundesrat bittet daher im weiteren Gesetzgebungsverfahren, die Pflicht des Gerichts zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen zu ergänzen, die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung über ihr beabsichtigtes Vorgehen zu unterrichten und diese zu hören.
Begründung:
Mit der Einführung eines umfassenden Unterlassungsanspruchs bei Verstößen von Unternehmen gegen datenschutzrechtliche Vorschriften vergrößert sich der Bereich, in dem Datenschutzaufsichtsbehörden und anspruchsberechtigte Stellen nach § 3 UKlaG nebeneinander tätig werden können.
Für die Beratungsaufgaben der Datenschutzaufsichtsbehörden nach § 38 Absatz 1 Satz 2 BDSG und zur Vermeidung divergierender Entscheidungen ist es für die Datenschutzaufsichtsbehörde wichtig, Kenntnis von möglichen Datenschutzverstößen bei gleichgelagerten Sachverhalten sowie entsprechenden Maßnahmen von anspruchsberechtigten Stellen nach § 3 UKlaG zu haben.
Der gesetzliche Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren oder daraus resultierenden gerichtlichen Entscheidungen hätten. Umgekehrt sollten bereits vorliegende aufsichtsbehördliche Entscheidungen, Beratungs- oder Kontrollergebnisse auch bereits bei der Prüfung der Einleitung eines Verfahrens durch anspruchsberechtigte Stellen Berücksichtigung finden können.
Zugleich kann es unter dem Gesichtspunkt der Einheit der Rechtsordnung sinnvoll sein, wenn die Möglichkeit besteht, die Erkenntnisse und Rechtsauffassungen der Datenschutzaufsichtsbehörden für das zivilrechtliche Verfahren nutzbar zu machen.
6. Zu Artikel 4a - neu - (§ 28 Absatz 3b BDSG)
Nach Artikel 4 ist folgender Artikel 4a einzufügen:
§ 28 Absatz 3b des Bundesdatenschutzgesetzes in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch ... geändert worden ist, wird wie folgt gefasst:
(3b) Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen. Eine solche Einwilligung ist unwirksam." '
Begründung:
Mit der Einführung eines allgemeinen Koppelungsverbots soll eine der Hauptursachen für die im Gesetzentwurf beschriebene besondere Gefahr erheblicher Verletzungen des Persönlichkeitsrechts unterbunden werden, indem Unternehmen wirksam untersagt wird, Angebote von dem Einverständnis der Kunden in die Datennutzung abhängig zu machen oder auf einen anderen Erlaubnistatbestand zurückzugreifen. Dies gilt umso mehr, als dem Kunden oftmals nicht klar sein wird, welche der Angaben zu seiner Person und zu seinen persönlichen Verhältnissen zu Werbe-, Marketing-, Score- oder anderen erlaubten Zwecken verwendet wird. Wichtig ist, dass der Einwilligende in Kenntnis aller Umstände frei bestimmt, wenn er sich mit der Erhebung und Verwertung seiner persönlichen Daten einverstanden erklärt, also er selbstbestimmt entscheidet, ob er für das Angebot mit Daten oder Euro bezahlen will. Insoweit wird es für erforderlich gehalten, dass die Einwilligung in Datennutzungsrechte nicht mit Vorteilen, die Dritte einräumen, gekoppelt werden darf.
Nach § 28 Absatz 3b BDSG in seiner aktuell geltenden Fassung ist es zwar grundsätzlich untersagt, den Abschluss eines Vertrages von der Einwilligung zur Datennutzung abhängig zu machen.
Zu diesem Koppelungsverbot gibt es allerdings eine sehr weitreichende Ausnahme, denn es soll nach derzeitiger Rechtslage nur gelten, wenn "dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist". Damit ist es Unternehmen in der Regel immer noch erlaubt, eigene Angebote von dem "freiwilligen" Einverständnis der Kunden in die Datennutzung abhängig zu machen. Solange es aber erlaubt ist, sich große Datenmengen "legal" von Verbrauchern zu beschaffen, und auch an Dritte weiterzugeben, dürfte ein wirksames Unterbinden späterer Verstöße gegen Datenschutzvorschriften nicht nur unerheblich erschwert werden. Die mit der Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit erscheint gerechtfertigt vor dem Hintergrund der hier zu schützenden Persönlichkeitsrechte, die - wie im Gesetzentwurf ausführlich dargestellt - einer zunehmenden Bedrohung ausgesetzt sind. Auf lange
Sicht dürften damit nur noch solche Geschäftsmodelle der Internetwirtschaft am Markt Erfolg haben, die sich auch als datenschutzkonform erweisen.
7. Zum Gesetzentwurf allgemein
Der Bundesrat weist darauf hin, dass es zur wirksamen Begrenzung der in der Begründung des Gesetzentwurfs beschriebenen Gefahren für die Persönlichkeitsrechte von Verbraucherinnen und Verbrauchern der Einschränkung des Umfangs der unternehmerischen Datennutzung bedarf. Ungeachtet der nun in Rede stehenden nationalen Regelungen wird der Bereich des Datenschutzes zukünftig maßgeblich durch die Europäische Datenschutzgrundverordnung bestimmt werden.
Der Bundesrat bittet daher die Bundesregierung, sich dafür einzusetzen, dass in Artikel 7 der Europäischen Datenschutzgrundverordnung ein allgemeines Koppelungsverbot geregelt wird. Unternehmen sollten die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung grundsätzlich nicht von der Einwilligung der Verbraucherinnen und Verbraucher in eine Verarbeitung ihrer Daten abhängig machen dürfen, es sei denn, diese Datennutzung ist für die Erfüllung des Vertrages oder die Erbringung der Dienstleistung erforderlich.
Gerade für unentgeltlich angebotene Leistungen im Internet, wie z.B. die Nutzung von sozialen Netzwerken, bezahlen Verbraucherinnen und Verbraucher faktisch mit ihren Daten, die von den Anbietern dann für andere Geschäftszwecke verwendet werden. Hier kann eine Verbesserung der Rechtsstellung von Verbraucherinnen und Verbrauchern aber nur erreicht werden, wenn man Unternehmen wirksam untersagt, ihre Angebote von dem Einverständnis der Verbraucherinnen und Verbraucher in die Datennutzung abhängig zu machen. Denn wenn Verbraucherinnen und Verbrauchern eine Dienstleistung nur unter der Bedingung angeboten wird, dass vorher die Zustimmung zu einer weitergehenden kommerziellen Nutzung persönlicher Daten erfolgt, kann von einer freiwillig abgegebenen Einwilligung in die Datennutzung realistischerweise nicht ausgegangen werden. Bereits mit Beschluss vom 13. Februar 2009, BR-Drucksache 4/09(B), Ziffer 15, hat sich der Bundesrat daher für die Aufnahme eines allgemeinen Koppelungsverbotes im Bundesdatenschutzgesetz ausgesprochen. Dieses allgemeine Koppelungsverbot sollte auch seinen Niederschlag in der Europäischen Datenschutzgrundverordnung finden.
8. Zum Gesetzentwurf allgemein
Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs vom 1. Juli 2014 (VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann.
Begründung:
Der Bundesgerichtshof hat am 1. Juli 2014 entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Absatz 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (vgl. BGH, Urteil vom 1. Juli 2014 - VI ZR 345/13; BGHZ 201, 380 - 386).
Der Entscheidung zugrunde lag ein Fall, in dem ein Arzt in einem Online-Bewertungsportal über Ärzte negative und unwahre Einträge über sich entdeckt hat. Da der Betreiber des Online-Portals dem Arzt die Nutzerdaten des Persönlichkeitsrechtsverletzers nicht freiwillig mitteilen wollte, verklagte dieser das Bewertungsportal und begehrte Auskunft über Namen und Anschrift desjenigen, der für die unwahren Einträge verantwortlich war.
Der Bundesgerichtshof hat die Auskunftsklage abgewiesen und hierzu ausgeführt, dass bei in einem Onlineportal begangenen Persönlichkeitsrechtsverletzungen kein Anspruch auf Auskunft über personenbezogene Daten bestehe, weil es an einer dafür erforderlichen datenschutzrechtlichen Ermächtigungsgrundlage im Sinne von § 12 Absatz 2 Telemediengesetz (TMG) fehle. Der Portalbetreiber als Dienstanbieter sei daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Der Bundesgerichtshof hat in seiner Entscheidung ferner ausdrücklich klargestellt, dass § 14 Absatz 2 TMG in der derzeit geltenden Fassung keine hinreichende Ermächtigungsgrundlage zur Auskunftserteilung zu Zwecken des Schutzes von Persönlichkeitsrechten darstelle. Eine analoge Anwendung der Vorschrift sei nicht möglich, da es an einer planwidrigen Regelungslücke fehle.
Dass ein solcher Auskunftsanspruch bei einer Persönlichkeitsrechtsverletzung durch einen unwahren oder ehrverletzenden Eintrag in einem Internetprotal nicht gegeben sein sollte, ist bedenklich und stellt eine Regelungslücke dar. Auch der Bundesgerichtshof kritisiert diese Lücke in der in Bezug genommenen Entscheidung als wenig nachvollziehbar, führt aber auch weiter aus, dass der Gesetzgeber eine Regelung treffen müsse. Das vorliegende Gesetzgebungsverfahren sollte für die Prüfung genutzt werden, ob diese Lücke geschlossen werden kann.
* siehe hierzu auch Ziffer 2