Im BDSG wird die Zweckbindung der Datenerhebung, -nutzung und –verarbeitung zwar an
vielen Stellen erwähnt, bleibt allerdings ohne praktische Bedeutung.69 So führt z.B. die
Festlegung eines Zwecks durch den Datenverarbeiter lediglich zu einer Selbstbindung nach
Treu und Glauben; auch die Verpflichtung zur Information über den Verarbeitungszweck
gem. § 4a I 2 BDSG führt nur zur Selbstbindung.70

 III.  Zulässigkeit der Datenerhebung: Einwilligung und gesetzliche Erlaubnis
Für die Zulässigkeit von Datenerhebungen und – verarbeitungen im IoT kommt es nach dem
BDSG grundsätzlich darauf an, ob entweder die Einwilligung des Betroffenen (§ 4 BDSG)
odereine gesetzliche Erlaubnis vorliegt (in Frage kommen im IoT insbesondere die
Verwertung für geschäftsmäßige Zwecke, §§ 28, 29 BDSG). Die entsprechenden
Vorschriften in der DSGVO sind Art. 6 I lit. a zur Einwilligung und lit. b zur Erfüllung von
Geschäftszwecken.

    1. Anforderungen an die datenschutzrechtliche Einwilligung: § 4a BDSG
Gem. § 4 I BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
nur aufgrund gesetzlicher Erlaubnis oder Einwilligung des Betroffenen zulässig. Die
Anforderungen an die Einwilligung werden in §§ 4a BDSG, 13 TMG konkretisiert. In Art. 7
DSGVO sind ebenfalls Bedingungen für die Einwilligung festgeschrieben. Die Normen
reflektieren das OECD Collection Limitation Principle.

     a. Aufklärung

Rechtsgrundlage
Für die Wirksamkeit einer Einwilligung ist erforderlich, dass der Betroffene über die
Datenerhebung selbst sowie den Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf
die Folgen der Verweigerung der Einwilligung hingewiesen wird, § 4 a I S. 1 BDSG, § 13 I
TMG. Dieser Norm kommt grundlegende Bedeutung zu, da ohne die entsprechende
Information des Betroffenen dieser gar nicht weiß ob überhaupt Daten erhoben werden und
ob er dem zustimmen möchte oder nicht. Die Bedeutung wurde auch in dem Samsung-Fall
deutlich, in welchem das LG Frankfurt entschied, dass ein Unterlassungsanspruch gegen
den Verkäufer des Samsung Smart-T V aufgrund einer Irreführung i.S.d. § 5a II, 8 UWG
i.V.m. § 13 I TMG bestehe, da die Käufer der Samsung Smart-TV Geräte nicht darüber
hingewiesen wurden, dass schon bei bloßem Anschluss des Geräts an das Internet die
Gefahr besteht, dass personenbezogene Daten erhoben und verwendet werden.71 Die
Verpflichtung zur Unterlassung traf den Verkäufer im Rahmen der Störerhaftung. Damit
betont das LG Frankfurt die grundlegende Wichtigkeit der Informationspflicht als Ausfluss
des Rechts auf informationelle Selbstbestimmung.72




69
   Das gleiche gilt für Art. 6 lit. b) S. 1 EU-DSRL; dazu Härting, „Zweckbindung und Zweckänderung im
Datenschutzrecht“, (2015), Neue Juristische Wochenschrift, Heft, 45, S. 3265-3328, S. 3284.
70
   Gammann, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 39 zu § 14 BDSG.
71
   LG Frankfurt am Main, Urteil vom 10.06.2016, 2-03 O 364/15, Entscheidungsgrund 6.
72
   Ibid.

                                                 20

Die Einwilligung muss außerdem nach § 4a Abs. 1 Satz 2 BDSG bestimmbar sein.
Bestimmbar ist die Einwilligung, wenn der Betroffene die Tragweite seines Einverständnisses
erkennen kann, was wiederum dann der Fall ist, wenn dieser weiß unter welchen
Bedingungen welche Daten genutzt werden.73 Die Reichweite der Einwilligung geht also so
weit, wie der Betroffenen durch Aufklärung in die Lage versetzt wird, Art, Bedeutung und
Tragweite der Preisgabe seiner personenbezogenen Daten abzuschätzen.74

§§ 4 a I S. 2 BDSG, 13 I TMG legen fest, dass der Betroffene über den „Zweck“ von
Erhebung, Verarbeitung oder Nutzung aufgeklärt werden muss. Fraglich ist jedoch, ob
weitergehende Informationen, wie z.B. mögliche Drittempfänger von Daten, auch von § 4a I
S. 2 BDSG erfasst sind. Entgegen dem Wortlaut des § 4a I S. 2 BDSG, aber aufgrund einer
Analogie zu § 13 I TMG wird eine breitere Auslegung erwogen, so dass der Betroffenen über
Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung zu unterrichten ist, um
eine bewusste Einwilligungserklärung abgeben zu können.75 Anderenfalls sei es für den
Betroffenen nicht möglich, zu beurteilen ob die mit der Datenerhebung verfolgten Zwecke
auch mit geringerer Erhebungsdichte erreicht werden könnten.76 Die Analogie zu § 13 I TMG
wird auch über eine richtlinienkonforme Auslegung gestützt: Art. 10 der EU-DSRL verpflichtet
die Mitgliedstaaten, dafür Sorge zu tragen, dass der Betroffene Informationen über denfür
die Verarbeitung Verantwortlichen, die Zweckbestimmungen der Verarbeitung, sowie weitere
Informationen, beispielsweise betreffend Datenempfänger, Freiwilligkeit der Beantwortung
von Fragen, sowie das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich ihn
betreffender Daten erhält, sofern dies notwendig ist, um eine Verarbeitung nach Treu und
Glauben zu gewährleisten.

Probleme
Im Hinblick auf die grundlegende Bedeutung der Aufklärung über Zweck und Umfang der
Datenerhebungen mithilfe von IoT-Geräten, sind die unlängst veröffentlichten Ergebnisse
eines „Privacy Sweeps“ des Global Privacy Enforcement Network (GPEN)77 beunruhigend:

        „A global investigation into the privacy conditions of more than 300 ‘Internet of
       Things’ smart devices has found alarming shortfalls in the management of personal
       data by developers and suppliers.
       The study – involving twenty-five data protection authorities – looked at the ways in
       which companies communicated with their customers regarding the security of their


73
   Vgl. OLG Köln, Urteil vom. 17.6.2011 – 6 U 8/11, CR 2012, 130ff. = ITRB 2012, 10 (Kartheuser) Rz.
17
74
   Helfrich, Handbuch Multimedia-Recht Rechtsfragen des elektronischen Geschäftsverkehrs,
Hoeren/Sieber/Holznagel (Hrsg.), (C.H. Beck Verlag, 2015), Rn 46 in 42. Ergänzungslieferung, Teil
16.1 Einführung und Grundbegriffe des Datenschutzes.
75
   So ibid., Rn 48 in 42. Ergänzungslieferung, Teil 16.1 Einführung und Grundbegriffe des
Datenschutzes.
76
   So ibid., Rn 49-50 in 42. Ergänzungslieferung, Teil 16.1 Einführung und Grundbegriffe des
Datenschutzes.
77
   Informationen von der Website des irischen Datenschutzbeauftragten:
<https://www.dataprotection.ie/docs/23-9-2016-International-Privacy-Sweep-2016/i/1597.htm> (zuletzt
abgerufen am 30.11.2016). In Deutschland haben sich der Landesbeauftrage für den Datenschutz
Baden-Württemberg und das Bayrische Landesamt für Datenschutzaufsicht beteiligt.

                                                 21

personal data. In Ireland, the Office of the Data Protection Commissioner (DPC)
        investigated nine devices, ranging from smart electricity meters to fitness trackers,
        and its national findings were broadly in line with global trends (See Note for Editors
        below).
        The international report into company communications with customers about data
        privacy rights showed that:
               • 72% failed to explain how customers could delete their information.
               • 68% failed to properly explain how information was stored.
               • 60% failed to adequately explain to customers how their personal
                   information would be collected and processed.
               • 38% failed to include easily identifiable contact details if customers had
                   privacy concerns.

        The regulatory authorities involved are now considering what action is to be taken
        against those who are found to be in breach of legislation.
        John Rogers, Senior Investigations Officer, who coordinated the Irish sweep said:
        “There can be no doubt as to the benefits of modern technology in our everyday lives,
        but the introduction of this technology must be done in a clear and transparent
        manner and not adversely impact on privacy rights. The findings of our sweep show
        that much more needs to be done to meet data protection standards.
        “Companies making these devices must make it clear to consumers about how their
        personal information is being collected and used and how consumers may delete
        their information if they wish.
        “The Office of the Data Protection Commissioner is planning to scale up investigative
        and audit work in this area in 2017 and we have already begun to schedule audits of
        devices in the technology sector. The purpose of these audits will be to gauge
        compliance with the Data Protection Acts and to work with companies to ensure that
        their products are meeting the required standards.”
        The sweep was coordinated by the Global Privacy Enforcement Network (GPEN).
        GPEN is an informal network of data protection agencies from around the globe. Its
        aim is to foster cross-border cooperation among privacy regulators in an increasingly
        global market.”

     b. Freiwilligkeit
Gemäß § 4 a Abs. 1 Satz 1 und 2 BDSG wird die Einwilligung nur wirksam, wenn sie auf der
freien Entscheidung des Betroffenen beruht, wobei der Betroffene auf den vorgesehenen
Zweck der Datenverarbeitung hinzuweisen ist.              Gem. Artikel 2 lit h) der           EU-
                                               78
Datenschutzrichtlinie 95/46/EG (EU-DSRL), in deren Licht das BDSG interpretiert werden
muss, ist die Freiwilligkeit sogar integraler Bestandteil der Definition von „Einwilligung“. Art 2
lit h) EU-DSRL legt fest, dass eine Einwilligung „ohne Zwang, für den konkreten Fall und in
Kenntnis der Sachlage“ abgegeben sein muss.

78
  Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr, ABl. L-281/ 31, 23.11.1995 S. 0031 – 0050.

                                               22

Artikel 7 IV der DSGVO legt für die Bewertung der Freiwilligkeit außerdem die Einschätzung
zugrunde, ob die Daten für die Erfüllung des Vertrages erforderlich sind. In dieser Hinsicht
verschwimmen die Grenzen zwischen Datenerhebungen, die aufgrund von Einwilligung
zulässig sind, und solchen, die in der Erreichung des Geschäftszwecks ihre gesetzliche
Grundlage haben (§ 28 BDSG, dazu unten).

Bestimmtheit
Die Einwilligung muss daher „bestimmt“ sein, d.h. es muss deutlich sein, unter welchen
Bedingungen welche Daten genutzt werden dürfen, damit der Betroffene die Tragweite
seines Einverständnisses überhaupt erkennen kann.79 Hier spielt eine Rolle, dass
Datenschutzerklärungen für Verbraucher oft gar nicht nachvollziehbar sind, da sie entweder
den Umfang der Datenerhebung und –verarbeitung nur unpräzise erklären, und oft keine
Klarheit über die Löschbarkeit der Daten sowie deren Weitergabe an Dritte hergestellt wird.80
Um das Erfordernis der Bestimmtheit zu erfüllen, müssen die Daten übersichtlich aufgelistet
sein und es muss für den „verständigen Leser“ unzweifelhaft zu erkennen sein, auf welche
Daten sich die Einwilligung erstreckt. Selbst die Bezeichnung „vergleichbare Daten“ wurde
als konkret genug bezeichnet; dies gilt allerdings nicht für sensitive Daten i.S.d. § 3 IX
BDSG.81 Es geht dabei nicht darum, wie weitreichend die Datenerhebung, in die
eingewilligt wird, ist, sondern nur darum, dass dem Leser klar sein muss, in was er
einwilligt.82 Dies bedeutet, dass die Voraussetzungen an die Gewährung der Einwilligung
nur die Erkenntnis des Betroffenen schützen, nicht aber die Daten selbst. Die genaue
Tragweite der Einwilligung wird damit vom Prinzip der Privatautonomie umfasst und
unterliegt nur im Rahmen einer AGB-Kontrolle bestimmten Beschränkungen (dazu unten).

Hervorhebung
§ 4 a I S. 4 BDSG ist außerdem zu entnehmen, dass die Einwilligung, wenn sie zusammen
mit anderen Erklärungen erteilt wird, besonders hervorgehoben werden muss. Durch
dieses Erfordernis soll verhindert werden, dass die Einwilligung bei Formularverträgen im
so genannten Kleingedruckten versteckt wird und der Betroffene sie durch seine
Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstands bewusst zu sein, weil er
sie übersieht.83 Mit der DSGVO wird die Idee der „differenzierten Einwilligung“ eingeführt,
wonach in verschiedene Datenverarbeitungsvorgänge getrennt eingewilligt werden muss
(Erwägungsgrund 32). Damit soll komplexen Globaleinwilligungen, durch die der Betroffene




79
  Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8.Auflage 2014, Nomos Verlag,
Rn. 77 zu § 4a BDSG.
80
   Dies hat die Stiftung Warentest herausgefunden, s. Test 3/2016, S. 57 – 61.
81
   OLG Köln Urteil vom 17.06.2011, Az. 6 U 8/11 , Rz 31.
82
   Ibid., Rz 33 mit Verweis auf BGH, Urteil vom 11. 11. 2009 - VIII ZR 12/08 (OLG Köln) (Happy
Digits).
83
   So in Anlehnung an BGH, Urteil vom 16.7.2008 – VIII ZR 348/06 (Payback) – dieses Verfahren
betraf allerdings nicht die datenschutzrechtliche Konformität oder Anforderungen an die Einwilligung,
sondern Werbung unter Verwendung elektronischer Post und § 7 II, III UWG; BGH, Urteil vom
11.11.2009 – VIII ZR 12/08,(OLG Köln) (HappyDigits).

                                                 23

Datenerhebungen und –verarbeitungen nur in ihrer Gesamtheit akzeptieren oder ablehnen
kann, entgegengewirkt werden.84

Die Hervorhebung der Einwilligung bedeutet auch, dass für den Betroffenen erkennbar sein
muss, welche Daten aufgrund einer Einwilligung und welche Daten aufgrund des
Erlaubnistatbestands des §§ 29, 29 BDSG erhoben und verarbeitet werden. Dies bedeutet,
dass ein Verkäufer oder Anbieter nicht die Einwilligung des Betroffenen einholen kann, um
die Zweifel an der Zulässigkeit der Datenverarbeitung auszuschließen, obwohl diese auf
Basis von § 28 BDSG erlaubt ist.85 So ist es auch zu verstehen, dass § 28 BDSG nicht
einschlägig ist, wenn der Umfang der Datenverarbeitung selbst im Schuldverhältnis
ausdrücklich geregelt ist; dann ist der Erlaubnistatbestand der Einwilligung gem. § 4
einschlägig.86

Ungleichgewichte
An der Freiwilligkeit kann es fehlen, wenn ein klares Ungleichgewicht zwischen dem
Betroffenen und dem Verantwortlichen besteht.87 Im Falle einer strukturellen Unterlegenheit,
derzufolge der Verbraucher keine Verhandlungsmacht gegenüber dem Verwender einer
Datenschutzerklärung bzw. dem Anbieter eines Produkts oder Dienstleistung hat und
faktisch keine Abweichung von Datenschutzerklärungen verhandeln werden kann, könnte
allerdings davon ausgegangen werden, dass bereits eine etwaige Einwilligung nicht „ohne
Zwang“ erfolgt. An der Möglichkeit einer freien Entscheidung kann es fehlen, wenn die
Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung
erteilt wird oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger
Natur zur Preisgabe seiner Daten verleitet wird.88

Anders ist der Fall gelagert, wenn sich zwei Privatrechtssubjekte nicht auf Augenhöhe
gegenüber stehen und deren Handeln dementsprechend nicht mehr autonom erfolgen kann:
In diesem Fall ist bei der Ausgestaltung und Anwendung der zivilrechtlichen Normen
besonders auf die Grundrechtsinteressen der einzelnen Parteien Rücksicht zu nehmen. Dies
bedeutet, dass den Grundrechten im Privatrechtsbereich nur Rechnung getragen werden
kann, wenn einfachgesetzliche Normen bestehen. Repressiv schützt das Zivilrecht somit
Persönlichkeitsrechte/Grundrechte, indem es insbesondere Schadensersatz- und
Entschädigungsansprüche bei Verletzung zubilligt. Für Verträge jeder Art bedeutet dies
wiederum, dass diese sich grundsätzlich an den einfachgesetzlichen Bestimmungen zu
orientieren haben und diesen nicht zuwiderlaufen dürfen. Es liegt allerdings auch an den
staatlichen Stellen, zu verhindern, dass sich für einen Vertragsteil die Selbstbestimmung in

84
   Schantz, „Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im
Datenschutzrecht“, (2016), Neue Juristische Wochenschrift, Heft 26, S. 1841-1847, S.1845.
85
   Dazu s. auch Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Rn. 14a zu § 28 BDSG.
86
  Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition, C.H. Beck
Verlag 2016, Rn. 26 zu § 28 BDSG.
87
   BGH, Urteil vom 16.07.2008 - VIII ZR 348/06; s.a. Schantz, „Die Datenschutz-Grundverordnung –
Beginn einer neuen Zeitrechnung im Datenschutzrecht“, (2016), Neue Juristische Wochenschrift, Heft
26, S. 1841-1847, S.1845.
88
   Z. B. BGH, Urteil vom 16.07.2008 – VIII ZR 348/06.

                                                24

eine       Fremdbestimmung         umkehrt.89      Die     rechtliche Reglementierung   der
Privatrechtsverhältnisse hat dafür zu sorgen, dass nicht unbegrenzt das Recht des Stärkeren
gilt.90 Dies wird auch teilweise in der Literatur diskutiert.91

Ob eine strukturelle Ungleichheit tatsächlich auch in der Rechtsanwendung eine Rolle für
das Vorliegen der Freiwilligkeit spielen wird, ist jedoch fraglich. Dies belegen die
Verhandlungen über den entsprechenden Artikel 7 der DSGVO. Auch wenn Artikel 7 der
DSGVO ausdrücklich normiert, dass der Verantwortliche nachweisen können muss, dass die
Datenverarbeitung auf einer Einwilligung beruht, wurde kritisiert, dass Artikel 7 die
Freiwilligkeit in Situationen klaren Ungleichgewichts zwischen Verantwortlichem und
Betroffenen nicht grundsätzlich ausschließt. zahlreiche Regelungsvorschläge, die die
Voraussetzung der Freiwilligkeit der Einwilligung hätten stärken können, keinen Eingang in
die Endfassung der DSGVO gefunden haben.92 Der ursprüngliche Kommissionsentwurf93
hatte in Erwägungsgrund 43 Satz 1 nicht nur auf die besondere Sachlage im
Obrigkeitsverhältnis von Bürgern zu Behörden sondern auch explizit auf Ungleichgewichte
im Arbeitsverhältnis hingewiesen. Allerdings findet sich diese Einschränkung der Möglichkeit,
Einwilligung zur Legitimation von Datenverarbeitungen im Beschäftigtenverhältnis zu
erteilen, nicht im verabschiedeten Text der DSGVO wieder.94 Damit bleibt es bei der
Trennung der Anforderungen zwischen der Datenerhebung und –verarbeitung durch
staatliche Behörden auf der einen Seite und der Datenerhebung und –verarbeitung durch
private Unternehmen auf der anderen.

Dieses Ergebnis ist aus der hier eingenommenen Perspektive des Privatsphärenschutzes
bedenklich, da im IoT Verträge meist massenhaft und ohne qualifiziertes
Erklärungsbewusstsein des Nutzers geschlossen werden: Der Kauf eines SmartTV oder
einer SmartWaschmaschine impliziert nicht nur einen Kaufvertrag über das Gerät mit dem
Händler, sondern gleichzeitig eine Vielzahl von vertraglichen Dauerschuldverhältnisses mit




89
  BVerfG, Beschluss des Ersten Senats vom 19.10.1993 - 1 BvR 567, 1044/89 --, BVerfGE 89, 214
(232).
90
  BVerfG, Beschluss des Ersten Senats vom 19.10.1993 - 1 BvR 567, 1044/89 --, BVerfGE 89, 214
(232); Jarass, Kommentar zum Grundgesetz, Jarass/Pieroth (Hrsg.), 13. Auflage 2014, C.H. Beck
Verlag, Rn. 16 zu Art. 16 GG sowie Rn. 115 zu Art. 20 GG.
91
   Z.B. Weichert, „Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung“, (2001),
Neue Juristische Wochenschrift, Heft 20, S. 1463-1469, S. 1463.
92
   Z.B.: Kühling/Martini, „Die Datenschutz-Grundverordnung: Revolution oder Evolution im
europäischen und deutschen Datenschutzrecht?“, (2016), Europäische Zeitschrift für Wirtschaftsrecht,
Heft 12, S. 448-454, S. 451.
93
   Europäische Kommission, Vorschlag für Verordnung des europäischen Parlaments und des Rates
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (Datenschutz-Grundverordnung), Brüssel, den 25.1.2012, KOM(2012) 11 endgültig,
2012/0011 (COD).
94
   Kühling/Martini, „Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen
und deutschen Datenschutzrecht?“, (2016), Europäische Zeitschrift für Wirtschaftsrecht, Heft 12, S.
448-454, S. 451.

                                                 25

dem Produzenten des Geräts, dem Produzenten der eingebauten Software und nachträglich
installierter Applikationen, dem Erbringer von Cloud-Diensten etc.95

Striktes Kopplungsverbot der DSGVO
Artikel 7 IV und Erwägungsgrund 43 DSGVO machen die Freiwilligkeit davon abhängig, ob
die Einwilligung in Datenverarbeitungsprozesse als zwingende Bedingung für die
Durchführung eines Vertrages formuliert ist, obwohl der Verarbeiter die Daten dafür
eigentlich nicht benötigt. Das strikte Koppelungsverbot des Art 7 IV DSGVO geht auf das
Europäische Parlament zurück (Art. 7 IV 2 EP-E). Es bedeutet, dass die Freiwilligkeit und
mithin die Wirksamkeit der Einwilligung fortan entfallen soll, wenn an ihre Erteilung das „Ob“
der Durchführung eines Kausalgeschäfts gekoppelt wird, das mit der konkreten
Datennutzung oder dem Umfang der erhobenen Daten in keinem sachlichen
Zusammenhang steht.96

Dies bedeutet, dass bisher erteilte Einwilligungen nicht ohne Weiteres wirksam bleiben,
wenn sie gegen Art. 7 IV DSGVO verstoßen. Dies hat der Düsseldorfer Kreis beschlossen.97
Ausscheiden werden künftig auch Opt-out-Lösungen, bei denen die Einwilligung dadurch
erfolgen soll, dass der Betroffene von einer vorkonfigurierten Abwahlmöglichkeit (etwa per
Häkchen in einem Kästchen) keinen Gebrauch macht. Der BGH hatte bereits Klauseln, die
durch Opt-Out unanwendbar wurden, für unwirksam erklärt.98 Die expliziten Erfordernisse
der Unmissverständlichkeit und Eindeutigkeit der Einwilligungserklärung            wie in
Erwägungsgrund 32 S. 1, 2 DSGVO verlangen grundsätzlich Opt-in-Lösungen.

Artikel 7 IV DSGVO geht über die bisherige deutsche Lösung in § 28 IIIb BDSG hinaus,99
welche sich nur auf die Kopplung der Einwilligung zu Adresshandel und Werbung mit
Abschluss eines Vertrages bezieht. Auf die entsprechende Regelung des § 28 III 1 BDSG
wird unten noch einzugehen sein.

Das strikte Kopplungsverbot wird in der Literatur jedoch teilweise kritisch gesehen.100
Zunächst verhindere es das im Internet gängige Modell der „Bezahlung mit den eigenen
Daten“. Dagegen kann jedoch auch eingewandt werden, dass solchen Fälle, in denen Daten
gegen Leistungen „eingetauscht“ werden, ohnehin eine Umgehung des Verbotsprinzips




95
   Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016) S. 50-
51.
96
   Kaiser, <https://www.projekt29.de/datenschutzblog29/anforderungen-an-die-einwilligung-gemaess-
der-eu-dsgvo> (zuletzt abgerufen am 30.11.2016).
97
   Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer
Kreis am 13./14.09.2016), <https://www.lda.bayern.de/media/dk_einwilligung.pdf> (zuletzt abgerufen
am 2.11.2016).
98
   BGH, Urteil vom 16.7.2008 – VIII ZR 348/06 (Payback).
99
  Kühling/Martini, „Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und
deutschen Datenschutzrecht?“, (2016), Europäische Zeitschrift für Wirtschaftsrecht, Heft 12, S. 448-
454, S. 451.
100
    Z.B.: Schantz, „Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im
Datenschutzrecht?“, (2016) Neue Juristische Wochenschrift, Heft 26, S. 1841-1847, S.1845.

                                                26

darstellen, weil die Freiwilligkeit der Einwilligung fehlt.101 Dazu wird im Verlauf dieses Papiers
noch einmal kritisch eingegangen. Eine weitere Kritik gegen das strikte Kopplungsverbot des
Art. 7 IV DSGVO besteht in der systemfremden Auslagerung des Kopplungsverbots aus
dem Bereich der Datenerhebung zu eigenen Geschäftszwecken in das Einwilligungsmodel.
Es wird argumentiert, dass das Kopplungsverbot des § 28 BDSG bereits die Zwangslagen
erfasst, in denen der Betroffene nicht auf alternative Anbieter ausweichen kann. So kann
eine Koppelung von Hard- und Software zu prohibitiv hohen Wechselkosten führen. Bei
sozialen Netzwerken dürfte es viele Nutzer abschrecken, dass sie die meisten ihrer Kontakte
verlieren, wenn sie zu einem anderen Anbieter wechseln. Damit schieße es über das Ziel der
Gewährleistung der informationellen Selbstbestimmung hinaus.

Allerdings ist auch gegen diese Kritik zu argumentieren, dass das Kopplungsverbot
tatsächlich Zwängen der Verbraucher beim Abschluss von Verträgen Rechnung trägt. Es ist
inzwischen allgemein anerkannt, dass Verbraucher oft keine andere Wahl haben, als die
AGB eines Unternehmens zu akzeptieren, wenn sie das zugrundliegende Produkt oder die
Dienstleistung erwerben wollen.102 Dies könne sogar völlig rational sein, da es zu dem
Zeitpunkt, in dem der Verbraucher die AGB liest, schon zu einem signifikanten Aufwand
(Aussuchen des Produkts bzw. der Dienstleistung, Preises und Anbieters) gekommen ist, zu
dem das Lesen der oftmals langen und komplexen AGB nur beitragen würde, ohne dass der
Verbraucher davon tatsächlich einen Nutzen hätte. Am Ende habe der Verbraucher doch
keine Möglichkeit, auf den Inhalt der AGB Einfluss zu nehmen.

Fraglich ist, ob eine Kopplungspraxis, die nach dem Datenschutzrecht unzulässig wäre, auch
eine unlautere Geschäftspraxis i.S.d. UWG darstellt.103 Im Lauterkeitsrecht sind
Kopplungspraktiken nicht grundsätzlich ausgeschlossen, da die Anlockungswirkung eines
guten Angebots auch eine erwünschte Folge des Leistungswettbewerbs sein kann.104 In
diesem Sinne hat der EuGH unlängst gegen die Unlauterkeit einer Vorinstallation von
Software auf einem Computer entschieden.105 Allerdings ist fraglich, ob dieses Urteil
verallgemeinert werden kann, da es sich lediglich auf die vom französischen
Kassationsgerichtshof vorgelegte Frage bezog, ob fehlenden Preisangaben für einzelne
Programme eine irreführende Geschäftspraxis i.S.d. Art. 5 Abs. 4 Buchst. a und Art. 7 der
Lauterkeitsrichtlinie 2005/29 darstellen. Der EuGH kam zu dem Ergebnis, dass sich allein
aus den fehlenden Preisangaben keine Irreführung ergebe, da das Fehlen einer Preisangabe
für die einzelnen Programme weder geeignet sei, den Verbraucher daran zu hindern, eine
informierte geschäftliche Entscheidung zu treffen, noch dazu, ihn zu einer geschäftlichen
Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Daher sei Preis der

101
    Conrad/Hausen, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), 2. Auflage,
C.H. Beck Verlag 2016, Rn.150-152 zu § 36 Datenschutz der Telemedien.
102
    S. z.B. Elshout et al. Study on consumers‘ attitudes towards Terms and Conditions (T&Cs), (2016),
European Commission, Directorate-General for Justice and Consumers, S. 16-17, 20ff.
103
    Dazu auch Schmechel, Verbraucherdatenschutz nach der EU-Datenschutzgrundverordnung,
(SVRV Working Paper Series Nr. 4/2016, Sachverständigenrat für Verbraucherfragen 2016), S.16-17.
104
    Dazu: Ohly, „Das neue UWG – Mehr Freiheit für den Wettbewerb?“, (2004), Gewerblicher
Rechtsschutz und Urheberrecht, Heft 11, S.889-900, S. 897, m.w.N.
105
    Dazu auch Case C-310/15, Vincent Deroo-Blanquart v. Sony Europe Limited, Rechtsnachfolgerin
der Sony France SA, EU:C:2016:633.

                                                 27

einzelnen Programme keine wesentliche Information im Sinne von Art. 7 Abs. 4 der Richtlinie
2005/29.

Die Diskrepanz zwischen dem strikten datenschutzrechtlichen Kopplungsverbot und den
weniger strengen Maßstäben für eine Irreführung im Lauterkeitsrecht kann auf die
unterschiedliche Schutzzwecke und Regelungsansätze zurückgeführt werden.               Das
Datenschutzrecht schützt das allgemeine Persönlichkeitsrecht durch ein generelles Verbot
mit Erlaubnisvorbehalt. Dagegen kennt das UWG kein solches generelles Verbot von
unlauteren geschäftlichen Handlungen, sondern sieht diese nur dann als unzulässig wenn,
wenn sie geeignet sind, die Interessen von Marktteilnehmern spürbar zu beeinträchtigen, § 3
I UWG. Die unterschiedlichen Regelungsansätze reflektieren die unterschiedliche Bedeutung
von Schutzgütern: Das Datenschutzrecht bezieht sich auf personenbezogene Daten, die
unmittelbar die Privatsphäre berühren, während das Lauterkeitsrecht Handlungsfreiheit im
geschäftlichen Verkehr schützt. Die Privatsphäre der Handelnden ist nicht per se Schutzgut
im geschäftlichen Verkehr. Wenn allerdings die Privatsphäre durch geschäftliches Handeln
und die Betroffenheit von personenbezogenen Daten berührt ist, ist das Datenschutzrecht
mit seinem höheren Schutzniveau für Kopplungspraktiken einschlägig.

    c. Formerfordernisse
Die Zulässigkeit der Einwilligung nach §4a BDSG ist außerdem an Formerfordernisse
gebunden. Um sicher zu stellen, dass die Einwilligung einen bewussten und autonomen
Willensakt darstellt, muss sie wirksam hervorgehoben werden.106 Hier wird auf den
durchschnittlich informierten und verständigen Verbraucher abgestellt, der einer
vorformulierten Einwilligungserklärung die der Situation angemessene Aufmerksamkeit
entgegenbringt; der oberflächliche Verbraucher wird hier nicht geschützt. Generell kann die
Einwilligung gem. §§ 13 TMG, 94 TKG eine Einwilligung auch elektronisch erfolgen.

    2. Erforderlichkeit für Vertragszweck
Für Vertragsbeziehungen im IoT kommt für die Zulässigkeit von Datenerhebung-,
verarbeitung und –nutzung neben der Einwilligung insbesondere die gesetzliche
Erlaubnisnorm des § 28 BDSG, Art. 6 I lit.b) DSGVO in Betracht, welcher die Erhebung,
Veränderung oder Übermittlung personenbezogener Daten für die Erfüllung eigener
Geschäftszwecke erlaubt. Der Begriff der Geschäftszwecke erfasst alle Prozesse, die als
Mittel zum Zweck zur Erfüllung von Abwicklung von Verträgen dienen.107

    a. Zweckbindung für Geschäftszwecke
Gem. § 28 I Nr. 1 BDSG ist eine Datenerhebung und –speicherung zulässig, wenn diese
beispielsweise   für die   Begründung,    Durchführung    oder  Beendigung     eines
Schuldverhältnisses mit dem Betroffenen erforderlich ist. Hier geht es um eine
Zweckbindung von Datenerhebungen und –verarbeitungen. Die Zweckbestimmung leitet sich


106
  BGH, Urteil vom 16.07.2008 - VIII ZR 348/06 (OLG München) (Payback) Para 24.
107
  Bundesregierung, BT-Drucksache 07/1027 Gesetzentwurf der Bundesregierung Entwurf eines
Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (Bundes-
Datenschutzgesetz — BDSG), (Drucksache 07/1027 21.09.1973), Amtliche Begründung zum
Regierungsentwurf S. 27.

                                             28

unmittelbar aus den dem Rechtsgeschäft zugrunde liegenden Willenserklärungen ab; es
geht also nicht um einseitige Vorstellungen des Verkäufers oder Dienstleisters oder des
betroffenen Verbrauchers.108 Zwischen dem Rechtsgeschäft und der Datenspeicherung
muss ein unmittelbarer sachlicher Zusammenhang bestehen. 109 Für die Erforderlichkeit
kommt es ebenfalls nicht auf einseitige Vorstellungen, sondern auf eine objektiv feststellbare
Erforderlichkeit an, unter Berücksichtigung der datenschutzrechtlichen Grundsätze der
Datenvermeidung und Datensparsamkeit.110 Erforderlichkeit bedeutet, dass sich der
Geschäftszweck oder das angestrebte Ziel ohne diese Daten nicht erreichen ließe. Solche
berechtigten Interessen können bestehen im Falle der Kundenwerbung, der Abwehr von
Vermögensschäden im wirtschaftlichen Bereich durch Speicherung von Daten über
kriminelles    wirtschaftsschädigendes     Verhalten     (Beispiel   Schufa),     oder      im
Versicherungsbereich der Speicherung von Daten über Angehörige und bei
Schlechtrisikenkarteien.111

Die Rechtsfolgen einer mangelnden Zweckbindung sind jedoch unklar. Obwohl der Wortlaut
der §§ 28, 29 BDSG („... zulässig, wenn…“) nahe legt, dass eine Datenerhebung unzulässig
ist, wenn sie nicht vom Geschäftszweck umfasst ist, legt Härting dar, dass sich den §§ 4, 28,
29 BDSG kein allgemeiner Grundsatz der Zweckbindung entnehmen lässt:112 allzu leicht
lasse sich eine Zweckänderung bewirken, für welche gem. §28 II BDSG bereits die Wahrung
berechtigter Interesse ausreicht, wenn kein Grund zur Annahme besteht, dass
schutzwürdige Interessen des Betroffenen überwiegen.

Ob Art. 5 I lit. b DSGVO, welcher den Zweckbindungsgrundsatz für die Erhebung und
Weiterverarbeitung von personenbezogenen Daten festschreibt, eine echte Neuerung
darstellt, bleibt abzuwarten. Denn auch hier bleiben die Rechtsfolgen einer mangelnden
Zweckbindung unklar. Die Erfüllung der Zweckbindung ist keine Zulässigkeitsvoraussetzung
für Datenverarbeitungen gem. Art. 6 DSGVO. Art. 6 DSGVO macht die Zulässigkeit der
Verarbeitung in lit. a und b wiederum entweder von einer Einwilligung oder der
Erforderlichkeit für den Vertragszweck abhängig. Unzulässigkeit folgt also nicht schon allein
aus der mangelnden Zweckbindung der Datenerhebung und –verarbeitung.

    b. Wahrung berechtigter Interessen
Gem. § 28 I Nr. 2 BDSG sind Datenerhebung und –verarbeitung auch zulässig, soweit sie
zur Wahrung berechtigter Interessen erforderlich sind und keine schutzwürdigen Interessen
des Betroffenen entgegenstehen. Unter solche zulässigen Interessen fallen alle

108
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage, Bund Verlag 2016, Rn. 16 zu § 28 BDSG; auch
konkludent möglich: Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17.
Edition, C.H. Beck Verlag 2016, Rn. 14-18 zu § 28 BDSG.
109
    Ambs, Erbs/Kohlhaas Strafrechtliche Nebengesetze, Häberle (Hrsg.), Band 17 2016, C.H. Beck
Verlag, Rn. 4 zu § 28 BDSG.
110
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 17 zu § 28 BDSG.
111
    Ambs, Erbs/Kohlhaas Strafrechtliche Nebengesetze, Häberle (Hrsg.), Band 17 2016, C.H. Beck
Verlag, Rn. 8 zu § 28 BDSG.
112
    Härting, „Zweckbindung und Zweckänderung im Datenschutzrecht“ (2015), Neue Juristische
Wochenschrift, Heft 45, S. 3284-3288, S.3288.

                                                29