Es ist in der Tat ein beträchtliches Verdienst der EU-Kommission, dass sie bei Umsetzung ihrer neuen Strategie für den digitalen Binnenmarkt den Vorschlag einer Richtlinie für die Bereitstellung digitaler Inhalte im Vertragsrecht (COM 2015/634) unterbreitet und dabei eine wegweisende Neuerung für den Verbraucherschutz ins Visier genommen hat: Die Hergabe und die Verarbeitung personenbezogener Daten für die Nutzung überlassener digitaler Inhalte - also etwa von Computerspielen oder Apps - sollen gleichermaßen wie die Zahlung eines vereinbarten Preises in Euro als „Entgelt“ qualifiziert werden.

Für den Verbraucher ist damit klargestellt - und darin liegt eine nicht zu unterschätzende psychologische Wirkung dieses legislatorischen Gedankens -, dass es nicht gleichgültig ist, wenn er ein Audio- oder Videospiel auf seinen PC „gratis“ herunterlädt und dem Anbieter als Gegenleistung gestattet, seine personenbezogenen Daten - also alle Informationen, welche, sich auf ihn als identifizierbare Person beziehen - weiterzuverarbeiten, so dass am Ende deren Kommerzialisierung steht. Für Big Data sind diese Daten seit langem das „Gold“ des Internetkapitalismus.

Big Data und Big Money

Das Silicon Valley (Big Data und Big Money) ist ja auf dem besten Weg, durch die Herrschaft über unsere Daten einen „technologischen Totalitarismus“ zu etablieren. So hat es Martin Schulz, der Präsident des Europäischen Parlaments, genannt. Und es sind nicht wenige, die mit guten Gründen befürchten, dass wir auf dem besten Wege sind, unsere Freiheit als Bürger an die personalisierten Algorithmen zu verlieren.

Überdeutlich wird diese für den Bürger negative Entwicklung schon jetzt im Scheitern des „Informationsmodells“, das bislang den Verbraucherschutz in Europa geprägt hat. Es beruht auf dem sozioökonomisch grundierten Gedanken, dass der Verbraucher von seiner rechtsgeschäftlichen Vertragsfreiheit effektiv Gebrauch machen kann, wenn er alle für den Vertragsabschluss notwendigen Informationen vor Abschluss des Vertrages verfügbar hat. Dann kann (und soll) er sie prüfen, um auch im Ergebnis einen Marktvergleich anzustellen - mit der erwarteten Folge, dass er dann genau das Produkt oder die Dienstleistung kontrahiert, die für seine praktischen Bedürfnisse passt. Indes haben viele Kundige gut begründete Zweifel daran, ob denn der durchschnittliche Verbraucher überhaupt noch in der Lage ist, diese höchst komplexen vorvertraglichen Informationen der Produktbeschreibung (etwa neueste Generation eines Smartphones) oder von neuer PC-Software (Update) technisch zu verstehen, um dann eine markt- und bedürfnisgerechte Entscheidung zu treffen. Zudem hat das Informationsmodell zu einem wahrhaft voluminösen Überangebot an Informationen geführt. Es wird schlicht nicht mehr gelesen, sondern es wird als lästig empfunden, der Push-Button sagt: „zur Kenntnis genommen“.

Eine „ausgeprägte Asymmetrie“

Die ungeheuren Informationsasymmetrien zwischen Big Data und dem Verbraucher können nur durch ein weithin zwingendes Recht ausbalanciert werden. Das kann hier nicht im Einzelnen aufgezeigt werden. Als rechtspolitisches Argument muss es daher ausreichen, den ehemaligen Verfassungsrichter Udo Di Fabio zu zitieren: Es bestehe auf Seiten der Anbieter eine „Monopolisierungstendenz“, die mit ihrer „ausgeprägten Asymmetrie der Informations- und Wissensverteilung mit dem Institut der Privatautonomie ohne hoheitliche Eingriffe oder eine entsprechende Bereitschaft zur Selbstregulierung nicht auszugleichen“ ist. Es geht also um einen solchen hoheitlichen Eingriff, indem der europäische Gesetzgeber ein Daten-Vertragsrecht mit weithin zwingenden Bestimmungen schafft.

Zumindest in diese Richtung weist auch der Richtlinienvorschlag der EU-Kommission zu Verträgen über digitale Inhalte. Bei den Diskussionen in Rat und Parlament scheinen aber nunmehr wichtige Akteure in ein anderes Horn zu stoßen. Sie stehen dabei nicht allein, sondern erhalten gerade auf dem „Deutschen Juristentag“ in Essen noch von anderen Seiten Beifall. Das gesetzestechnische Codewort für diesen Ansatz ist: der Vorrang der Datenschutz-Grundverordnung gegenüber dem Vertragsrecht. Die neue Datenschutz-Grundverordnung, die erst im April erlassen wurde und der ihre Verdienste für den europäischen Datenschutz nicht abgesprochen werden sollen, weist aber im Zusammenspiel mit dem Vertragsrecht eine breite Lücke auf.

Üblicherweise gehen Politik und auch der juristische Laie davon aus, dass der Anbieter personenbezogene Daten des Verbrauchers, von speziellen Rechtfertigungsgründen abgesehen, nur im Rahmen einer vom Verbraucher freiwillig erteilten „Einwilligung“ verarbeiten darf. Das trifft im Prinzip auch zu. Doch unter den weiteren Rechtfertigungsgründen findet sich in Artikel 6, Absatz 1, Nummer b der Datenschutz-Grundverordnung - insoweit übrigens im Einklang mit dem bislang geltenden Recht - eine höchst bedeutsame Regelung, die für den Verbraucher weitreichende Konsequenzen hat: Ohne dass es auf eine datenschutzrechtliche „Einwilligung“ des Verbrauchers in die Verarbeitung der überlassenen personenbezogenen Daten überhaupt ankommt, darf der Anbieter personenbezogene Daten des Verbrauchers schon immer dann verarbeiten, wenn dies für die Erfüllung eines Vertrages mit dem Verbraucher erforderlich ist. Dies erscheint auf den ersten Blick unmittelbar einleuchtend: Wer einen Vertrag zu erfüllen hat, muss beispielsweise Namen und Adresse des Kunden kennen, um diesen ordnungsgemäß beliefern zu können.

Ungeahnte Möglichkeiten, Geld zu machen

Im Zusammenspiel mit den exponentiell wachsenden technischen Möglichkeiten und dem Informationsmodell eröffnet diese Regelung aber ungeahnte Möglichkeiten der kommerziellen Nutzung von Kundendaten jenseits von jeder echten Einwilligung des Kunden, weil der Anbieter sein eigenes Leistungsversprechen im Kleingedruckten beliebig weit formulieren kann. So kann sich etwa der Anbieter einer Internetplattform oder eines sozialen Netzwerks dazu „verpflichten“, dem Kunden Informationen über für ihn besonders relevante Produkte und Nachrichten (Werbung) zukommen zu lassen, wofür natürlich zunächst eine umfassende Analyse von dessen individuellen Präferenzen und seiner Persönlichkeitsstruktur einschließlich seines Freundeskreises erforderlich ist. Der Anbieter eines Smart TV oder Smartphone kann sich dazu „verpflichten“, eine Sprachsteuerungs-Funktion (Voice Control) vorzuhalten, wozu dann umfangreiche Gesprächsaufzeichnungen einschließlich deren Analyse durch Drittunternehmen erforderlich werden. Lässt sich das Gerät auch durch Gesten und anderes steuern (Gesture Control), muss der Kunde zur einwandfreien Erbringung dieser „Leistung“ natürlich laufend gefilmt und müssen Bewegungsprofile der einzelnen Nutzer erstellt und gespeichert werden. Den Rest kann man sich dazu denken - oder auch nicht: Vielleicht reicht unsere Phantasie gar nicht aus, die langfristigen Konsequenzen abzuschätzen.

Die Zustimmung des Verbrauchers zu all diesen „Verträgen“ und ihrer „Erfüllung“ ersetzt die eigenständige datenschutzrechtliche Einwilligung. Doch im Ergebnis ist es allein der Monopolist oder Oligopolist des Internetkapitalismus, der im Rahmen seines an den Verbraucher adressierten „Angebots“ autonom und in Ausnutzung der von Di Fabio angesprochenen „Asymmetrie der Informations- und Wissensverteilung“ entscheidet, welche Daten für die „Erfüllung eines Vertrages“ erforderlich sind.

Daten müssen rechtmäßig verarbeitet werden

Der datenschutzrechtlich zugunsten des Verbrauchers verankerte Grundsatz der Datenminimierung ist also in Kongruenz zum Leistungsversprechen des Anbieters zu messen: Je breiter der „Zweck“ des betreffenden Rechtsgeschäfts beschrieben wird, desto mehr Daten sind „rechtmäßig“ zu verarbeiten. Artikel 6, Absatz 4 der Datenschutz-Grundverordnung erlaubt es dem Anbieter sogar, einmal rechtmäßig erhobene Daten auch für andere Zwecke weiterzuverarbeiten, sofern diese Zwecke mit dem Zweck, zu dem die Daten ursprünglich erhoben wurden, vereinbar sind. Und auch wenn Personen, die am Verhandlungsprozess der Datenschutz-Grundverordnung beteiligt waren, ein anderes Verhandlungsergebnis in Erinnerung haben, steht doch in Erwägungsgrund Nummer 50 schwarz auf weiß zu lesen, bei einer solchen Zweckänderung sei dann „keine andere gesonderte Rechtsgrundlage erforderlich“.

Fazit: Die im europäischen Datenschutzrecht verankerte einwilligungslose, aber stets „in Erfüllung eines Vertrages“ rechtmäßige Verarbeitung personenbezogener Daten zementiert auf Dauer die Wehrlosigkeit des Verbrauchers gegenüber Big Data. Um eine Aushöhlung des Datenschutzes zu verhindern, gibt es gewichtige Stimmen, die in Fortführung des Vorschlags der EU-Kommission meinen, der Schutz des Verbrauchers gegenüber der sich ausbreitenden Fremdbestimmung durch die Anbieter in der digitalen Welt müsse sich auch auf das Vertragsrecht auswirken; von einem zu schaffenden eigenständigen Daten-Vertragsrecht ist deshalb die Rede. Im Ergebnis soll ein zweiter Schutzwall neben dem kürzlich verabschiedeten, neuen europäischen Datenschutzrecht errichtet werden. Wie wichtig diese Aufgabe ist, hat wiederum Udo Di Fabio treffend ausgeführt: Die durch das Internet ins Leben gerufene „Schauseite einer kostenlosen Dienstleistungsgesellschaft unterläuft die Form und Idee des Vertrages“.

Der Auftrag für den Deutschen Juristentag in Essen müsste also lauten: Wie lässt sich ein zweiter, spezifisch vertragsrechtlicher Schutzwall zugunsten des Verbrauchers errichten, so dass einerseits eine Aushöhlung des Daten- und Grundrechtsschutzes vermieden, andererseits aber der Vorrang der Datenschutz-Grundverordnung gewahrt bleibt? Verschiedene Maßnahmen drängen sich hier auf, von denen sich einige bereits im ursprünglichen Richtlinienvorschlag zu Verträgen über digitale Inhalte der EU-Kommission finden: Werden personenbezogene Daten des Verbrauchers letztlich zu kommerziellen Zwecken verarbeitet, sind sie als „Entgelt“ zu qualifizieren und müssten den gleichen vertragsrechtlichen Regeln unterfallen wie eine in Geld zu entrichtende Gegenleistung: Auf sie müsste deutlich hingewiesen werden; und an das Einverständnis des Verbrauchers müssten die gleichen, kürzlich durch die Verbraucherrechterichtlinie 2011/83/EU massiv verschärften Anforderungen gestellt werden. Das ist im Interesse eines zeitgerechten Verbraucherschutzes geboten.

Wie funktioniert eine Rückabwicklung?

Eine Rückabwicklung des Vertrages müsste zur Vergütung der erfolgten Datennutzung führen. Die uneingeschränkte Anwendbarkeit der sogenannten AGB-Kontrolle, also der Prüfung von „Kleingedrucktem“ auf seine inhaltliche und sonstige Rechtmäßigkeit, müsste betreffend Leistungsbeschreibungen und Datenschutzerklärungen klargestellt werden. Dabei müssten Klauseln, mit denen sich Anbieter durch aufgedrängte Zusatzfunktionen oder Voreinstellungen von Produkten unangemessene Befugnisse sichern, ohne weiteres unwirksam sein, zumal mit ihnen gegen die in Artikel 25 der Datenschutz-Grundverordnung erwähnten Grundsätze der Datenminimierung durch „Privacy by Design“ und „Privacy by Default“ verstoßen wird.

In diesen Ansätzen läge auch der erste wichtige Baustein für ein noch zu schaffendes, auf weithin zwingendem Recht beruhendes europäisches Daten-Vertragsrecht zugunsten des Verbrauchers, dessen Rolle vor allem die des Bürgers bleiben muss.