CHRISTIANE W ENDEHORST




                                C.     Einzelprobleme


                          I.    Fernzugriff auf IoT-Produkte

Ein weiteres spezielles Problem im Internet der Dinge, das Eigentum und Besitz des Ver-
brauchers tendenziell infrage zu stellen vermag, ist die Möglichkeit des Fernzugriffs von Un-
ternehmen auf die im Eigentum und/oder Besitz des Verbrauchers stehenden Sachen (oben
S. 30 f.). Dabei ist zunächst die absolut eigenmächtige Einwirkung auf die Sache durch Än-
derung eingebetteter Software oder den Entzug betriebsnotwendiger Komponenten sowohl
nach §§ 823 ff BGB als auch nach §§ 303 ff StGB an sich hinreichend sanktioniert. Aus
kollisionsrechtlicher Sicht gilt nach Art. 4 der Rom II-VO das Recht des Ortes, an dem der
Schaden primär eingetreten ist, also das Recht des Staates, in dem der Verbraucher die Sa-
che nutzt. Schwierigkeiten resultieren allerdings

   -   aus einer mangelnden Klärung, in welchen Fällen die Einwirkung durch entsprechen-
       de Lizenz- und sonstige Vertragsbedingungen gerechtfertigt sein kann; und

   -   aus faktischen Problemen des Rechtsschutzes, insbesondere wenn der Fernzu-
       griff durch einen außerhalb des EWR-Gebiets ansässigen Unternehmer erfolgt und
       Ansprüche gegen den Verkäufer versagen.


1. Maßnahmen zur Beschränkung elektronischer Selbsthilfe

Zur Lösung der Fernzugriffsproblematik bieten zunächst die gleichen Maßnahmen an, wie
sie bereits weiter oben zur Lösung anderer Probleme vorgeschlagen wurden, namentlich Er-
gänzung der „schwarzen und grauen Liste“ in §§ 308, 309 um spezifische Klauselver-
bote, die sich der Fernzugriffsproblematik annehmen.

In gewisser Weise ist bereits das vorgeschlagene Klauselverbot mit Wertungsmöglichkeit in
einem neuen § 308 Nr. 3a (oben S. 66) geeignet, auch die Fernzugriffsproblematik abzumil-
dern. Darüber hinaus wäre etwa an folgendes Klauselverbot zu denken:

                           § 309 Klauselverbote ohne Wertungsmöglichkeit

       Auch soweit eine Abweichung von den gesetzlichen Vorschriften zulässig ist, ist in Allgemei-
       nen Geschäftsbedingungen unwirksam
       1. …
       6a. (Beschränkungen des Eigentums)
       eine Bestimmung, durch die derjenige, der das Eigentum und den Besitz an einer Sa-
       che erworben hat,
       a) ….




                                                                                                80

BESITZ UND EIGENTUM IM INTERNET DER DINGE




       b) zu dulden hat, dass die Sache oder ihr im Eigentum derselben Person stehendes Zu-
       behör unter bestimmten Umständen ohne gesetzliche Gestattung oder behördliche o-
       der gerichtliche Genehmigung ergriffen, außer Betrieb gesetzt oder in ihrer Funktions-
       fähigkeit beeinträchtigt wird;
       Die Buchstaben a und b gelten nicht, für Einschränkungen, die der Sicherung oder Gel-
       tendmachung eines zwischen Verwender und Erwerber vereinbarten Eigentumsvorbe-
       halts (§ 449 Absatz 1 und 2) dienen.

Das vorgeschlagene Klauselverbot unter Nr. 6a b) soll Möglichkeiten einer „elektronischen
Selbsthilfe“ begrenzen. Per Fernzugriff auf die Sache, der sich sowohl in einer Entziehung
notwendiger digitaler Infrastrukturen (z.B. Online-Module) durch Sperrung von Nutzerkonten
u.a. als auch in der unmittelbaren Einwirkung auf in die Sache eingebettete oder aus ihr aus-
gelagerte Software äußern kann, lassen sich beliebige Anliegen faktisch durchsetzen, etwa
die Begleichung bestrittener Forderungen. Das Klauselverbot unter Nr. 6a b) soll daher klar-
stellen, dass durch formularmäßige Einwilligungen des Vertragspartners des Verwenders ein
solches Verhalten nicht gerechtfertigt werden kann, d.h. es sich – in Ermangelung sonstiger
Rechtfertigungsgründe – um einen rechtswidrigen Eingriff in das Eigentum handelt, der Kon-
sequenzen nach §§ 823 ff BGB und §§ 303 ff StGB nach sich ziehen kann.

Unberührt bleiben Befugnisse des Verwenders, die sich bereits unmittelbar aus dem Gesetz
ergeben. Ist beispielsweise die Nutzung der Sache von einem kostenpflichtigen Internet-
Dienst abhängig und gerät der andere Vertragsteil mit seiner Zahlung in Verzug, kann der
Verwender sowohl die Einrede des nicht erfüllten Vertrags geltend machen als auch letztlich
den Vertrag kündigen. Auch zur Geltendmachung eines (einfachen) Eigentumsvorbehalts
nach Rücktritt des Verkäufers vom Vertrag darf die Fernsperrung verwendet werden.

Auch die oben vorgeschlagenen Ergänzungen von §§ 434 und 475 (S. 74), die Einführung
einer gesetzlichen Händlergarantie (S. 76) und die Direkthaftung des Herstellers (S. 78)
dienen indirekt auch zur Lösung der Fernzugriffsproblematik, insoweit als der Fernzugriff
durch Verweigerung von Leistungen bewerkstelligt wird.


2. Maßnahmen gegen Zwangsupdates

Ein Sonderproblem im Zusammenhang des Fernzugriffs stellen Zwangsupdates dar, d.h. der
Verbraucher erklärt entweder schon bei Vertragsschluss antizipiert seine Einwilligung in alle
ihm vom Unternehmer per Fernzugriff aufgespielte Aktualisierungen, oder der Verbraucher
wird faktisch (z.B. durch Destabilisierung des Systems oder den Betrieb störende Nachfra-
gen) zum Akzeptieren von Aktualisierungen gezwungen, oder der Verbraucher hat keine
Möglichkeit, eine Aktualisierung mit unerwünschten Nebenwirkungen durch ein sog. roll-back
rückgängig zu machen (oben S. 22).

Diesbezüglich schlägt die Verfasserin zunächst eine Ergänzung von § 308 um ein weiteres
Klauselverbot mit Wertungsmöglichkeit vor:

                           § 308 Klauselverbote mit Wertungsmöglichkeit
       In Allgemeinen Geschäftsbedingungen ist insbesondere unwirksam
                                                                                          81

CHRISTIANE W ENDEHORST




       1…
       4a. (Änderung bereits erbrachter Leistungen)
       eine Bestimmung, wonach der Verwender nach seinem Ermessen eine bereits erbrach-
       te Leistung, die in das Eigentum des anderen Vertragsteils übergegangen ist oder an
       der ihm ein zeitlich unbefristetes Nutzungsrecht zusteht, nachträglich ändern kann, es
       sei denn, dass der andere Vertragsteil
       a) vor der Vornahme jeder Änderung in zweckmäßiger, zutreffender und transparenter
       Weise über Art, Umfang und Auswirkungen der Änderung informiert wird und die Ände-
       rung ablehnen kann;
       b) Änderungen, die in der Behebung von Sicherheitsrisiken und anderen schwerwie-
       genden Mängeln bestehen, gesondert von anderen Änderungen annehmen kann, und
       c) die Möglichkeit erhält, Änderungen, die nicht in der Behebung von Sicherheitsrisiken
       und anderen schwerwiegenden Mängeln bestehen, rückgängig zu machen.

Das vorgeschlagene Klauselverbot in Nr. 4a zielt vor allem auf die einem Kunden formular-
mäßig abverlangte Einwilligung ab, alle vom Anbieter nach dessen Ermessen angebotenen
Aktualisierungen von Software und anderen digitalen Inhalten zu installieren bzw. die auto-
matische Installation der Aktualisierungen zu gestatten. Während Aktualisierungen norma-
lerweise im Interesse des Kunden erfolgen, können sie für diesen auch unerwünschte Wir-
kungen haben, insbesondere das Verbrauchen von Speicherplatz und der dadurch induzierte
Bedarf nach neuer Hardware, neue und ungewohnte Benutzeroberflächen, aus Daten-
schutzgründen unerwünschte Zusatzfunktionalitäten, usw.

Nr. 4a lässt solche antizipierten Einwilligungen nur noch unter eng definierten Vorausset-
zungen zu. So muss der Kunde über die Wirkungsweise einer Änderung in zweckmäßiger,
zutreffender und transparenter Weise informiert werden, was beispielsweise durch einen
Link zu einer Internetseite geschehen kann, auf der die Wirkungsweise eines Updates detail-
liert beschrieben wird. Ferner muss der Kunde die Änderung ablehnen können, und zwar
sowohl insgesamt als auch nur bezogen auf solche Änderungen, die nicht der Behebung von
Sicherheitsrisiken oder anderen schwerwiegenden Mängeln dienen. Soweit der Kunde eine
Aktualisierung durchgeführt hat, soll er die technische Möglichkeit erhalten, die Aktualisie-
rung, soweit sie nicht der Behebung von Sicherheitsrisiken oder anderen schwerwiegenden
Mängeln dient, rückgängig zu machen.

Ergänzend wären diese Anforderungen allerdings in einem Spezialgesetz zu verankern, und
die Einhaltung der Regelungen müsste aufsichtsrechtlich sichergestellt werden. Insbeson-
dere die Frage, was als „Sicherheitsrisiko“ zu qualifizieren ist und was als „anderer schwer-
wiegender Mangel“, dürfte dabei nicht ohne delegierte und implementierende Rechtsakte zu
beantworten sein.




                                                                                           82

BESITZ UND EIGENTUM IM INTERNET DER DINGE




           II.   IoT-Produkte und Verarbeitung von Nutzerdaten

Mit dem Internet der Dinge verbundene Probleme des Datenschutzes, der Rechte an Daten,
des Datenschuldrechts usw. stehen nicht primär im Fokus des Gutachtensauftrags und wür-
den ein gesondertes Gutachten rechtfertigen. Die Verfasserin möchte dennoch – ohne jeden
Anspruch auf Vollständigkeit – einige Maßnahmen anregen:


1. Verbindliche Klassifizierung von IoT-Produkten

Empfohlen wird in erster Linie eine (allerdings nur auf EU-Ebene durchführbare) verbindli-
che Klassifizierung von IoT-Produkten nach einem transparenten Schema, das – ähnlich
der Einordnung in Energieeffizienzklassen – mit Buchstaben (z.B. A bis E) und Farben (grün
bis rot) gekennzeichnet wird und die Menge und Sensitivität von verarbeiteten Nutzerdaten
signalisieren.

Was die Klassifizierung anbelangt, müsste auf mehrere Gesichtspunkte abgestellt werden,
insbesondere auf: Art und Sensitivität der erhobenen Daten, Umfang der erhobenen Daten,
Wahrscheinlichkeit ihrer Verbindung mit einer individuellen Person, Art der Nutzung durch
den Verantwortlichen, Sicherung vor dem Zugriff unbefugter Dritter, usw.

Die Festlegung der Kriterien für die Kennzeichnungspflicht wäre sicher komplexer als die
Festlegung der Kriterien für die Energieeffizienz von Elektrogeräten. Sie dürfte auch nicht nur
pauschal für ein bestimmtes Produkt gelten – vielmehr hätte ein bestimmtes Produkt, etwa
ein Smartphone, vielleicht die Klassen „B bis F“, und bezogen auf jede Konfiguration des
Smartphones müsste die aktuell eingestellte Klasse auf dem Display angezeigt werden. Es
käme also insoweit beispielsweise bei einem Gerät konkret darauf an, ob die Sprachsteue-
rung deaktiviert ist oder nicht. Ob eine intelligentes Thermostat generell besser abschnitte
als ein anderes hinge zB davon ab, ob sich ein Gerät an den äußeren Temperaturen orien-
tiert (eher unproblematisch), ob es über Bewegungsmelder die Anwesenheit von Personen
im Raum registriert und sich darauf einstellt (deutlich problematischer) oder ob es alle Innen-
raumgespräche über internetgestützte Dienste auf Schlüsselwörter hin analysiert (potenziell
sehr problematisch).


2. Klauselkontrolle für Datenschutzerklärungen

Die Klauselkataloge der §§ 308, 309 wären dringend um datenspezifische Klauseln zu er-
gänzen, d.h. die datenschutzrechtliche Ebene ist durch die vertragsrechtliche Ebene zu er-
gänzen.


     a) Datenverarbeitung zum Schaden des Nutzers

Mit Wertungsmöglichkeit grundsätzlich unwirksam (§ 308) sollte danach etwa die formular-
mäßige Einwilligung in die Verwendung von Nutzerdaten zu Zwecken sein, die dem Ver-


                                                                                            83

CHRISTIANE W ENDEHORST




braucher rechtlichen Schaden zufügen können (z.B. indem sie ihn eines rechtswidrigen Ver-
haltens überführen):

                           § 308 Klauselverbote mit Wertungsmöglichkeit
       In Allgemeinen Geschäftsbedingungen ist insbesondere unwirksam
       1…
       9. (Datenverwendung)
       eine Bestimmung in einem Vertrag über den Erwerb einer Sache oder die Erbringung
       einer Dienstleistung, wonach der Vertragspartner des Verwenders gemäß Art. 6 Abs. 1
       lit. a der Datenschutzgrundverordnung darin einwilligt, dass die durch seine Nutzung
       der Sache oder der Dienstleistung erzeugten personenbezogenen Daten,
       a) zur Geltendmachung von Schadensersatz- und ähnlichen Ansprüchen gegen ihn o-
       der in einem gegen ihn gerichteten behördlichen oder gerichtlichen Verfahren; oder
       b) sonst zu Zwecken, die sich schädlich auf sein Fortkommen oder seine schwerwie-
       genden persönlichkeits- und vermögensrechtlichen Belange auswirken können,
       verwendet werden dürfen, sofern nicht die Verwendung mit der Art der Sache oder der
       erbrachten Dienstleistung in unmittelbarem sachlichem Zusammenhang steht und un-
       ter Berücksichtigung der berechtigten Interessen des Verwenders und der Interessen
       oder Grundrechte und Grundfreiheiten des Vertragspartners gerechtfertigt erscheint.
       Eine nicht auf der Einwilligung des Datensubjekts beruhende Rechtfertigung der Verar-
       beitung personenbezogener Daten bleibt unberührt.

Das vorgeschlagene Klauselverbot in Nr. 9 betrifft datenschutzrechtliche Einwilligungen in
die Verarbeitung personenbezogener Daten zu bestimmten Zwecken. Durch das Internet der
Dinge ist es technisch möglich geworden, dass Alltagsgegenstände in breitem Umfang zur
Überwachung ihrer Eigentümer verwendet werden. Das Gleiche gilt für sonstige Leistungen
in der digitalen Welt, etwa soziale Netzwerke oder Email-Hosting. Durch Daten über die Art
und Weise, wie Sachen und Dienste genutzt werden, können Hinweise auf rechtswidrige
Handlungen (z.B. Urheberrechtsverletzungen, Fahrfehler) oder Obliegenheitsverletzungen
(z.B. Bedienungsfehler im Zusammenhang mit der Widerlegung der Vermutung in § 476) of-
fenbar werden, die dann gegen den jeweiligen Eigentümer bzw. Nutzer verwendet werden
können. Zudem können sie sich auch sonst schädlich auf das Fortkommen auswirken, etwa
indem Einzelheiten aus dem Privatleben künftigen potenziellen Arbeitgebern bekannt ge-
macht werden.

Eine formularmäßige Einwilligung in eine solche Datennutzung soll dann unwirksam sein,
wenn es sich personenbezogene Daten handelt, die durch die Nutzung einer erworbenen
Sache oder eines in Anspruch genommenen Dienstes generiert werden. Erfasst ist die Ver-
wendung der Daten zur Geltendmachung von Schadensersatzansprüchen oder zur Anstren-
gung behördlicher oder gerichtlicher Verfahren, gleich ob der Verwender selbst oder ein Drit-
ter Partei dieser Verfahren ist oder diese anstrengt. Erfasst sind aber auch sonstige Zwecke,
die dem Vertragspartner des Verwenders empfindlich schaden können, wie etwa das Weiter-
leiten von Daten an Versicherungsunternehmen oder Arbeitgeber. Vom Klauselverbot nicht



                                                                                          84

BESITZ UND EIGENTUM IM INTERNET DER DINGE




unmittelbar berührt wäre allerdings ein separater Vertrag, den der Vertragspartner des Ver-
wenders mit einem Versicherer abschließt und in dem er sich beispielsweise für einen dy-
namischen Versicherungstarif („Pay as you drive“) entscheidet.

Das Klauselverbot betrifft nur die Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO und gilt un-
beschadet des Rechtfertigungsgrundes der berechtigten Interessen nach Art. 6 Abs. 1 lit. f
DSGVO und erst recht von weiteren Rechtfertigungsgründen öffentlich-rechtlicher Art, insbe-
sondere zur Aufrechterhaltung der öffentlichen Sicherheit und Ordnung. Jede andere Rege-
lung wäre europarechtlich nicht möglich, weil sie eine Korrektur der DS-GVO darstellen wür-
de.

Das Klauselverbot ist ein solches mit Wertungsmöglichkeit und sollte selbst für den Vertrag
über den Erwerb der Sache oder die Erbringung der Dienstleistung dann nicht eingreifen,
wenn die Verwendung der Daten zu einem der genannten Zwecke mit der Art der Leistung in
unmittelbarem Zusammenhang steht, wobei in diesen Fällen meist ohnehin von einer sepa-
raten Rechtfertigung nach Art. 6 Abs. 1 lit. f DSGVO auszugehen ist. So erscheint es etwa
gerechtfertigt, wenn eine Autovermietung Daten über das Fahrverhalten ihrer Mieter erfasst
und auch zu dem Zweck verwendet, Ansprüche gegen die Mieter wegen Beschädigung des
Fahrzeugs geltend zu machen.


     b) Umgehungen datenschutzrechtlicher Rechtspositionen

Zu erwägen wäre auch die Einführung eines – weitgehend klarstellenden – Klauselverbots,
das eine Umgehung wichtiger datenschutzrechtlicher Rechtspositionen schon im Ansatz
verhindert:

                           § 309 Klauselverbote ohne Wertungsmöglichkeit
       Auch soweit eine Abweichung von den gesetzlichen Vorschriften zulässig ist, ist in Allgemei-
       nen Geschäftsbedingungen unwirksam
       1. …
       3a. (Datenschutz)
       eine Bestimmung, durch die Rechte, die dem Vertragspartner des Verwenders nach der
       Datenschutzgrundverordnung oder im Einklang mit dieser erlassenen Rechtsakten zu-
       stehen, eingeschränkt werden, einschließlich Bestimmungen in Leistungsbeschreibun-
       gen, durch die das Erfordernis einer Einwilligung des Vertragspartners des Verwenders
       gemäß Artikel 6 Absatz 1 Buchstabe a und Artikel 7 und 8 der Datenschutzgrundver-
       ordnung umgangen oder gegen die Vorgaben in Artikel 25 der Datenschutzgrundver-
       ordnung verstoßen wird.

Die vorgeschlagene Nr. 3a soll der wachsenden wirtschaftlichen Bedeutung personenbezo-
gener Daten Rechnung tragen, die bei Transaktionen in der digitalen Welt nicht selten als
alternatives Zahlungsmittel anstelle von Geld, oder zusätzlich zu einer Geldzahlung, fungie-
ren. Dass die dem Vertragspartner nach der DS-GVO zustehenden Rechte – etwa das Recht
zum Widerruf einer erteilten Einwilligung gemäß Art. 7 Abs. 3 DS-GVO oder das Recht, ge-
mäß Art. 17 DS-GVO die Löschung von Daten oder gemäß Art. 20 DS-GVO die Datenüber-

                                                                                                85

CHRISTIANE W ENDEHORST




tragung zu verlangen – als solche zwingend sind und weder formularmäßig noch durch indi-
viduelle Vereinbarungen abbedungen werden können, folgt richtigerweise aus dem Wesen
der DS-GVO selbst, ohne dort allerdings explizit formuliert worden zu sein. Die neu eingefüg-
te Nr. 3a dient daher teilweise nur der Klarstellung und soll jedenfalls keinen Gegenschluss
bezüglich individualvertraglicher Vereinbarungen erlauben. Sie beseitigt jedoch mögliche
Zweifel darüber, ob über das nach der DS-GVO vorgesehene Einschreiten der Datenschutz-
behörden und den individuellen Schadensersatzanspruch hinaus auch eine Unterlassungs-
klage nach dem UKlaG oder eine Konkurrentenklage nach dem UWG möglich sind (zum
insofern nicht abschließenden Charakter der DS-GVO siehe deren Art. 77 Abs. 1). Ferner
ermöglicht sie es den Zivilgerichten, unabhängig von einer entsprechenden Auslegung der
DS-GVO durch die zuständigen Behörden und letztlich den EuGH solche Vertragsbestim-
mungen als unwirksam zu qualifizieren, die - insbesondere durch die Auferlegung signifikan-
ter Zahlungspflichten – geeignet sind, den Vertragspartner des Verwenders von der Gel-
tendmachung datenschutzrechtlicher Rechtspositionen abzuhalten.

Seine größte praktische Bedeutung erhält Nr. 3a allerdings dadurch, dass die Regelung auch
Bestimmungen in Leistungsbeschreibungen erfasst, mit denen das Erfordernis einer Ein-
willigung nach Art. 6 Abs. 1 lit. a DS-GVO umgangen oder gegen die in Art. 25 DS-GVO nie-
dergelegten Prinzipien von privacy by design und privacy by default verstoßen wird. Damit
wird eine Lücke im Datenschutz geschlossen, die insbesondere durch die Verweisung von
Art. 6 Abs. 1 lit. b DS-GVO auf einen Vertrag zwischen dem Datensubjekt und dem Verant-
wortlichen entstehen kann. Ist die Verarbeitung personenbezogener Daten für die Erfüllung
eines Vertrags mit dem Datensubjekt erforderlich, bedarf die Verarbeitung keiner weiteren
Rechtfertigung, insbesondere keiner Einwilligung des Datensubjekts nach Art. 6 Abs. 1 lit. a
DS-GVO, und ist die Verarbeitungsbefugnis des Verantwortlichen auch potenziell „immun“
gegen auf die Einwilligung bezogene Schutzvorschriften einschließlich der einschlägigen
Vorschriften der DS-GVO betreffend die Information des Datensubjekts und die Form seiner
Zustimmung (Art. 7 Abs. 2), des Rechts auf jederzeitigen Widerruf (Art. 7 Abs. 3) mit der da-
ran geknüpften Rechtsfolge der Löschungspflicht nach Art. 17 sowie des Koppelungsverbots
(Art. 7 Abs. 4). Es besteht daher ein hoher Anreiz, Produkte so zu gestalten, dass durch ent-
sprechende Ausgestaltung der Leistungsbeschreibung die Verarbeitung möglichst vieler per-
sonenbezogener Daten gerechtfertigt wird. Insbesondere individualisierte Eingabehilfen,
Sprach- und Gebärdensteuerung, Gesichtserkennung, standortbezogene Optimierung der
Leistung usw. können zu ihrem einwandfreien Funktionieren die Verarbeitung extrem großer
und extrem sensibler Datenmengen erfordern, einschließlich der Analyse und Profilbildung
durch Drittunternehmen. Selbst die Zusendung individualisierter Werbung kann theoretisch
vom Anbieter als „Leistung“ deklariert werden („Wir versorgen Sie mit Informationen über für
Sie besonders relevante Nachrichten und Produkte“). Hier erscheint es angezeigt, solchen
offenkundigen Umgehungen des Einwilligungserfordernisses nach Art. 6 Abs. 1 lit. a im
Wege einer absichtlich extensiv formulierten Leistungsbeschreibung – insbesondere der vor-
eingestellten Default-Konfiguration – auch auf vertragsrechtlicher Ebene entgegen zu wirken
und einer derart konstruierten „Rechtfertigung“ nach Art. 6 Abs. 1 lit. b DS-GVO von Vorne-
herein die Grundlage zu entziehen.




                                                                                          86

BESITZ UND EIGENTUM IM INTERNET DER DINGE




Zudem gibt es eine Reihe vertraglicher Gestaltungen, die zwar zumindest nicht eindeutig ge-
gen die DS-GVO selbst verstoßen, aber dennoch den Verbraucher entgegen Treu und Glau-
ben unangemessen benachteiligen, indem sie die Geltendmachung datenschutzrechtlicher
Rechtspositionen erschweren. So könnte sich z.B. der Anbieter, der einen Dienst alternativ
gegen die Zahlung von Geld oder die Einwilligung in die Verarbeitung personenbezogener
Daten anbietet, bei Widerruf der Einwilligung die Zahlung des Geldbetrags ausbedingen.


3. Privacy by design und privacy by default als Qualitätsmerkmal

Empfohlen wird weiterhin, datenschutzrechtliche Gesichtspunkte, insbesondere die von Art.
25 der DS-GVO formulierten Anforderungen privacy by design und privacy by default, aus-
drücklich in der Definition der Vertragsmäßigkeit von Waren zu verankern.

Das Prinzip der Datenminimierung bzw. Datensparsamkeit ist eines der Grundprinzipien des
europäischen Datenschutzrechts. Bislang existiert keine hinreichende Schaltstelle zwischen
Datenschutzrecht und Gewährleistungsrecht. Insbesondere erlaubt der auf Funktionalität fo-
kussierte Sachmangelbegriff in § 434 es im Normalfall (d.h. ohne entsprechende Vereinba-
rung usw.) kaum, privacy by design und privacy by default als Kriterien der Vertrags-
konformität zu definieren, mit der Konsequenz, dass der Verbraucher ggf. etwa Nachbesse-
rung fordern kann, wenn das IoT-Produkt den datenschutzrechtlichen Anforderungen nicht
genügt.

                                         § 434 Sachmangel
       (1) Die Sache ist frei von Sachmängeln, wenn sie bei Gefahrübergang die vereinbarte Be-
       schaffenheit hat und sich für die nach dem Vertrag vorausgesetzte Verwendung eignet.
       Die Sache ist ferner nur dann frei von Sachmängeln, wenn sie
       1. … 2. …
       3. alle einschlägigen gesetzlichen Vorschriften einschließlich der in Artikel 25 der Da-
       tenschutzgrundverordnung genannten Voraussetzungen erfüllt.
       Eine Vereinbarung über die Eignung oder Beschaffenheit, die zulasten des Käufers von
       den Anforderungen nach Satz 2 abweicht, ist nur wirksam, wenn der Käufer die Sache
       als vertragsgemäß anerkannt hat, obgleich er die Abweichung kannte oder über sie
       nicht in Unkenntnis sein konnte.
       (3) …




                      III.   IoT und Verbraucherautonomie

1. Reparatur- und Ersatzteilproblematik

Bezüglich der Reparatur- und Ersatzteilproblematik, konkret der durch den urheberrechtli-
chen Schutz verstärkten „lock-in“-Effekte, handelt es sich nur um die Verschärfung einer
Problematik, die dem Grunde nach auch ohne Internet der Dinge besteht und der derzeit im

                                                                                            87

CHRISTIANE W ENDEHORST




Wesentlichen mit wettbewerbsrechtlichen Instrumenten begegnet wird. Auch kann die Bin-
dung von Verbrauchern an Originalersatzteile usw. nicht als uneingeschränkt negativ bewer-
tet werden, weil sie teilweise zur Aufrechterhaltung von Produktsicherheit erforderlich ist. Die
Verfasserin empfiehlt diesbezüglich keine spezifischen gesetzgeberischen Schritte.


2. „Enteignung durch Komplexität“

Juristisch schwieriger zu bewerten ist das Phänomen der „Enteignung“ durch Komplexität
bzw. Intransparenz. Gerade durch die Kombination zahlreicher Endnutzervereinbarungen mit
multiplen Benutzerkonten, Passwörtern udgl., sowie deren für den Nutzer schwer durch-
schaubaren Verknüpfung, wird für den digital durchschnittlich erfahrenen (und erst recht für
den besonders verletzlichen) Verbraucher ein Maß an Intransparenz geschaffen, das es
dem Eigentümer eines Gerätes schwer macht, die Kontrolle über die Funktionen des
Geräts zu behalten. Dass Geräte kompliziert und schwer zu bedienen sind, gab es zwar
schon vor IoT, so dass der Unterschied eher gradueller Natur ist – eine Besonderheit besteht
aber darin, dass IoT in einem nie dagewesenen Maße die dauerhafte Fremdsteuerung und
Manipulation des Verbrauchers mit Hilfe von Komplexität ermöglicht.

Durch die gängige Praxis, dass die betreffenden Vertragsbedingungen nur während des Ak-
tivierungsvorgangs eingesehen werden können und der Verbraucher in dieser Situation typi-
scherweise unter Druck steht, wird eine Lektüre im Prinzip unmöglich gemacht. Eine Mög-
lichkeit, später das einzusehen, was man per Knopfdruck akzeptiert hat, gibt es kaum. Zu-
mindest überwiegend scheinen Endnutzervereinbarungen von den betreffenden Unterneh-
men nicht als Verbraucherverträge iSd VerbraucherrechteRL gesehen zu werden, d.h. Zu-
sendung auf einem dauerhaften Datenträger findet nicht statt, oder die Zusendung erfolgt auf
ein speziell zu diesem Zweck geschaffenes Benutzerkonto, das vom Verbraucher nicht übli-
cherweise eingesehen wird.

Die reine „Enteignung durch Intransparenz“ dürfte regulatorisch nur schwer in den Griff zu
bekommen sein. Die Verfasserin empfiehlt, diesbezüglich zunächst auf „weiche Maßnah-
men“ (Gütesiegel für Benutzerfreundlichkeit u.a.) zu bauen.




                                                                                             88

BESITZ UND EIGENTUM IM INTERNET DER DINGE




     Teil 4: Entwurf eines Gesetzes zu Besitz- und
      Eigentumsverhältnissen und zur Stärkung von
         Verbraucherrechten im Internet der Dinge

Die in Teil 3 dargelegten Maßnahmen seien im Folgenden insoweit noch einmal zusammen-
fassend dargestellt, als rein nationale Maßnahmen betroffen sind. Weitere zentrale Empfeh-
lungen der Verfasserin – etwa eine Änderung des europäischen Urheberrechts (oben S. 65 f)
und eine verbindliche Klassifizierung von IoT-Produkten (oben S. 83 f.) – lassen sich auf na-
tionaler Ebene nicht durchführen.




  A.     Empfehlung: Anpassungen im Schuldrecht des BGB
Die Verfasserin empfiehlt Anpassungen im Schuldrecht des BGB, namentlich im Recht der
Allgemeinen Geschäftsbedingungen und im Kaufrecht.



                            I. Änderungen im Recht der
                           Allgemeinen Geschäftsbedingungen
[§§ 305 bis 306a nicht wiedergegeben]


§ 307 Inhaltskontrolle
(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertrags-
partner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteili-
gen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung
nicht klar und verständlich ist.
(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung
1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu
vereinbaren ist oder
2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt,
dass die Erreichung des Vertragszwecks gefährdet ist.
(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nicht für den Hauptgegenstand des Vertra-
ges. Ihn betreffende Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1
unwirksam sein.


Die Änderung des Wortlauts von § 307 Abs. 3 soll die lange überfällige Konformität mit Art. 4 Abs. 2
der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucher-
verträgen herstellen. Anders als die bisherige Fassung von § 307 Abs. 3 BGB erlaubt die Richtlinie
eine Ausnahme von der Inhaltskontrolle nämlich nur insoweit, als der „Hauptgegenstand des Vertra-
ges“ oder – was wohl Teil des Hauptgegenstands darstellt – die Angemessenheit von Leistung und
Gegenleistung betroffen sind. Die bisherige Formulierung von § 307 Abs. 3 war damit weder in der
                                                                                                     89