Artikel 7 IV der DSGVO legt für die Bewertung der Freiwilligkeit außerdem die Einschätzung
zugrunde, ob die Daten für die Erfüllung des Vertrages erforderlich sind. In dieser Hinsicht
verschwimmen die Grenzen zwischen Datenerhebungen, die aufgrund von Einwilligung
zulässig sind, und solchen, die in der Erreichung des Geschäftszwecks ihre gesetzliche
Grundlage haben (§ 28 BDSG, dazu unten).

Bestimmtheit
Die Einwilligung muss daher „bestimmt“ sein, d.h. es muss deutlich sein, unter welchen
Bedingungen welche Daten genutzt werden dürfen, damit der Betroffene die Tragweite
seines Einverständnisses überhaupt erkennen kann.79 Hier spielt eine Rolle, dass
Datenschutzerklärungen für Verbraucher oft gar nicht nachvollziehbar sind, da sie entweder
den Umfang der Datenerhebung und –verarbeitung nur unpräzise erklären, und oft keine
Klarheit über die Löschbarkeit der Daten sowie deren Weitergabe an Dritte hergestellt wird.80
Um das Erfordernis der Bestimmtheit zu erfüllen, müssen die Daten übersichtlich aufgelistet
sein und es muss für den „verständigen Leser“ unzweifelhaft zu erkennen sein, auf welche
Daten sich die Einwilligung erstreckt. Selbst die Bezeichnung „vergleichbare Daten“ wurde
als konkret genug bezeichnet; dies gilt allerdings nicht für sensitive Daten i.S.d. § 3 IX
BDSG.81 Es geht dabei nicht darum, wie weitreichend die Datenerhebung, in die
eingewilligt wird, ist, sondern nur darum, dass dem Leser klar sein muss, in was er
einwilligt.82 Dies bedeutet, dass die Voraussetzungen an die Gewährung der Einwilligung
nur die Erkenntnis des Betroffenen schützen, nicht aber die Daten selbst. Die genaue
Tragweite der Einwilligung wird damit vom Prinzip der Privatautonomie umfasst und
unterliegt nur im Rahmen einer AGB-Kontrolle bestimmten Beschränkungen (dazu unten).

Hervorhebung
§ 4 a I S. 4 BDSG ist außerdem zu entnehmen, dass die Einwilligung, wenn sie zusammen
mit anderen Erklärungen erteilt wird, besonders hervorgehoben werden muss. Durch
dieses Erfordernis soll verhindert werden, dass die Einwilligung bei Formularverträgen im
so genannten Kleingedruckten versteckt wird und der Betroffene sie durch seine
Unterschrift erteilt, ohne sich ihrer und ihres Bezugsgegenstands bewusst zu sein, weil er
sie übersieht.83 Mit der DSGVO wird die Idee der „differenzierten Einwilligung“ eingeführt,
wonach in verschiedene Datenverarbeitungsvorgänge getrennt eingewilligt werden muss
(Erwägungsgrund 32). Damit soll komplexen Globaleinwilligungen, durch die der Betroffene




79
  Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8.Auflage 2014, Nomos Verlag,
Rn. 77 zu § 4a BDSG.
80
   Dies hat die Stiftung Warentest herausgefunden, s. Test 3/2016, S. 57 – 61.
81
   OLG Köln Urteil vom 17.06.2011, Az. 6 U 8/11 , Rz 31.
82
   Ibid., Rz 33 mit Verweis auf BGH, Urteil vom 11. 11. 2009 - VIII ZR 12/08 (OLG Köln) (Happy
Digits).
83
   So in Anlehnung an BGH, Urteil vom 16.7.2008 – VIII ZR 348/06 (Payback) – dieses Verfahren
betraf allerdings nicht die datenschutzrechtliche Konformität oder Anforderungen an die Einwilligung,
sondern Werbung unter Verwendung elektronischer Post und § 7 II, III UWG; BGH, Urteil vom
11.11.2009 – VIII ZR 12/08,(OLG Köln) (HappyDigits).

                                                 23

Datenerhebungen und –verarbeitungen nur in ihrer Gesamtheit akzeptieren oder ablehnen
kann, entgegengewirkt werden.84

Die Hervorhebung der Einwilligung bedeutet auch, dass für den Betroffenen erkennbar sein
muss, welche Daten aufgrund einer Einwilligung und welche Daten aufgrund des
Erlaubnistatbestands des §§ 29, 29 BDSG erhoben und verarbeitet werden. Dies bedeutet,
dass ein Verkäufer oder Anbieter nicht die Einwilligung des Betroffenen einholen kann, um
die Zweifel an der Zulässigkeit der Datenverarbeitung auszuschließen, obwohl diese auf
Basis von § 28 BDSG erlaubt ist.85 So ist es auch zu verstehen, dass § 28 BDSG nicht
einschlägig ist, wenn der Umfang der Datenverarbeitung selbst im Schuldverhältnis
ausdrücklich geregelt ist; dann ist der Erlaubnistatbestand der Einwilligung gem. § 4
einschlägig.86

Ungleichgewichte
An der Freiwilligkeit kann es fehlen, wenn ein klares Ungleichgewicht zwischen dem
Betroffenen und dem Verantwortlichen besteht.87 Im Falle einer strukturellen Unterlegenheit,
derzufolge der Verbraucher keine Verhandlungsmacht gegenüber dem Verwender einer
Datenschutzerklärung bzw. dem Anbieter eines Produkts oder Dienstleistung hat und
faktisch keine Abweichung von Datenschutzerklärungen verhandeln werden kann, könnte
allerdings davon ausgegangen werden, dass bereits eine etwaige Einwilligung nicht „ohne
Zwang“ erfolgt. An der Möglichkeit einer freien Entscheidung kann es fehlen, wenn die
Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung
erteilt wird oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger
Natur zur Preisgabe seiner Daten verleitet wird.88

Anders ist der Fall gelagert, wenn sich zwei Privatrechtssubjekte nicht auf Augenhöhe
gegenüber stehen und deren Handeln dementsprechend nicht mehr autonom erfolgen kann:
In diesem Fall ist bei der Ausgestaltung und Anwendung der zivilrechtlichen Normen
besonders auf die Grundrechtsinteressen der einzelnen Parteien Rücksicht zu nehmen. Dies
bedeutet, dass den Grundrechten im Privatrechtsbereich nur Rechnung getragen werden
kann, wenn einfachgesetzliche Normen bestehen. Repressiv schützt das Zivilrecht somit
Persönlichkeitsrechte/Grundrechte, indem es insbesondere Schadensersatz- und
Entschädigungsansprüche bei Verletzung zubilligt. Für Verträge jeder Art bedeutet dies
wiederum, dass diese sich grundsätzlich an den einfachgesetzlichen Bestimmungen zu
orientieren haben und diesen nicht zuwiderlaufen dürfen. Es liegt allerdings auch an den
staatlichen Stellen, zu verhindern, dass sich für einen Vertragsteil die Selbstbestimmung in

84
   Schantz, „Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im
Datenschutzrecht“, (2016), Neue Juristische Wochenschrift, Heft 26, S. 1841-1847, S.1845.
85
   Dazu s. auch Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Rn. 14a zu § 28 BDSG.
86
  Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition, C.H. Beck
Verlag 2016, Rn. 26 zu § 28 BDSG.
87
   BGH, Urteil vom 16.07.2008 - VIII ZR 348/06; s.a. Schantz, „Die Datenschutz-Grundverordnung –
Beginn einer neuen Zeitrechnung im Datenschutzrecht“, (2016), Neue Juristische Wochenschrift, Heft
26, S. 1841-1847, S.1845.
88
   Z. B. BGH, Urteil vom 16.07.2008 – VIII ZR 348/06.

                                                24

eine       Fremdbestimmung         umkehrt.89      Die     rechtliche Reglementierung   der
Privatrechtsverhältnisse hat dafür zu sorgen, dass nicht unbegrenzt das Recht des Stärkeren
gilt.90 Dies wird auch teilweise in der Literatur diskutiert.91

Ob eine strukturelle Ungleichheit tatsächlich auch in der Rechtsanwendung eine Rolle für
das Vorliegen der Freiwilligkeit spielen wird, ist jedoch fraglich. Dies belegen die
Verhandlungen über den entsprechenden Artikel 7 der DSGVO. Auch wenn Artikel 7 der
DSGVO ausdrücklich normiert, dass der Verantwortliche nachweisen können muss, dass die
Datenverarbeitung auf einer Einwilligung beruht, wurde kritisiert, dass Artikel 7 die
Freiwilligkeit in Situationen klaren Ungleichgewichts zwischen Verantwortlichem und
Betroffenen nicht grundsätzlich ausschließt. zahlreiche Regelungsvorschläge, die die
Voraussetzung der Freiwilligkeit der Einwilligung hätten stärken können, keinen Eingang in
die Endfassung der DSGVO gefunden haben.92 Der ursprüngliche Kommissionsentwurf93
hatte in Erwägungsgrund 43 Satz 1 nicht nur auf die besondere Sachlage im
Obrigkeitsverhältnis von Bürgern zu Behörden sondern auch explizit auf Ungleichgewichte
im Arbeitsverhältnis hingewiesen. Allerdings findet sich diese Einschränkung der Möglichkeit,
Einwilligung zur Legitimation von Datenverarbeitungen im Beschäftigtenverhältnis zu
erteilen, nicht im verabschiedeten Text der DSGVO wieder.94 Damit bleibt es bei der
Trennung der Anforderungen zwischen der Datenerhebung und –verarbeitung durch
staatliche Behörden auf der einen Seite und der Datenerhebung und –verarbeitung durch
private Unternehmen auf der anderen.

Dieses Ergebnis ist aus der hier eingenommenen Perspektive des Privatsphärenschutzes
bedenklich, da im IoT Verträge meist massenhaft und ohne qualifiziertes
Erklärungsbewusstsein des Nutzers geschlossen werden: Der Kauf eines SmartTV oder
einer SmartWaschmaschine impliziert nicht nur einen Kaufvertrag über das Gerät mit dem
Händler, sondern gleichzeitig eine Vielzahl von vertraglichen Dauerschuldverhältnisses mit




89
  BVerfG, Beschluss des Ersten Senats vom 19.10.1993 - 1 BvR 567, 1044/89 --, BVerfGE 89, 214
(232).
90
  BVerfG, Beschluss des Ersten Senats vom 19.10.1993 - 1 BvR 567, 1044/89 --, BVerfGE 89, 214
(232); Jarass, Kommentar zum Grundgesetz, Jarass/Pieroth (Hrsg.), 13. Auflage 2014, C.H. Beck
Verlag, Rn. 16 zu Art. 16 GG sowie Rn. 115 zu Art. 20 GG.
91
   Z.B. Weichert, „Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung“, (2001),
Neue Juristische Wochenschrift, Heft 20, S. 1463-1469, S. 1463.
92
   Z.B.: Kühling/Martini, „Die Datenschutz-Grundverordnung: Revolution oder Evolution im
europäischen und deutschen Datenschutzrecht?“, (2016), Europäische Zeitschrift für Wirtschaftsrecht,
Heft 12, S. 448-454, S. 451.
93
   Europäische Kommission, Vorschlag für Verordnung des europäischen Parlaments und des Rates
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (Datenschutz-Grundverordnung), Brüssel, den 25.1.2012, KOM(2012) 11 endgültig,
2012/0011 (COD).
94
   Kühling/Martini, „Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen
und deutschen Datenschutzrecht?“, (2016), Europäische Zeitschrift für Wirtschaftsrecht, Heft 12, S.
448-454, S. 451.

                                                 25

dem Produzenten des Geräts, dem Produzenten der eingebauten Software und nachträglich
installierter Applikationen, dem Erbringer von Cloud-Diensten etc.95

Striktes Kopplungsverbot der DSGVO
Artikel 7 IV und Erwägungsgrund 43 DSGVO machen die Freiwilligkeit davon abhängig, ob
die Einwilligung in Datenverarbeitungsprozesse als zwingende Bedingung für die
Durchführung eines Vertrages formuliert ist, obwohl der Verarbeiter die Daten dafür
eigentlich nicht benötigt. Das strikte Koppelungsverbot des Art 7 IV DSGVO geht auf das
Europäische Parlament zurück (Art. 7 IV 2 EP-E). Es bedeutet, dass die Freiwilligkeit und
mithin die Wirksamkeit der Einwilligung fortan entfallen soll, wenn an ihre Erteilung das „Ob“
der Durchführung eines Kausalgeschäfts gekoppelt wird, das mit der konkreten
Datennutzung oder dem Umfang der erhobenen Daten in keinem sachlichen
Zusammenhang steht.96

Dies bedeutet, dass bisher erteilte Einwilligungen nicht ohne Weiteres wirksam bleiben,
wenn sie gegen Art. 7 IV DSGVO verstoßen. Dies hat der Düsseldorfer Kreis beschlossen.97
Ausscheiden werden künftig auch Opt-out-Lösungen, bei denen die Einwilligung dadurch
erfolgen soll, dass der Betroffene von einer vorkonfigurierten Abwahlmöglichkeit (etwa per
Häkchen in einem Kästchen) keinen Gebrauch macht. Der BGH hatte bereits Klauseln, die
durch Opt-Out unanwendbar wurden, für unwirksam erklärt.98 Die expliziten Erfordernisse
der Unmissverständlichkeit und Eindeutigkeit der Einwilligungserklärung            wie in
Erwägungsgrund 32 S. 1, 2 DSGVO verlangen grundsätzlich Opt-in-Lösungen.

Artikel 7 IV DSGVO geht über die bisherige deutsche Lösung in § 28 IIIb BDSG hinaus,99
welche sich nur auf die Kopplung der Einwilligung zu Adresshandel und Werbung mit
Abschluss eines Vertrages bezieht. Auf die entsprechende Regelung des § 28 III 1 BDSG
wird unten noch einzugehen sein.

Das strikte Kopplungsverbot wird in der Literatur jedoch teilweise kritisch gesehen.100
Zunächst verhindere es das im Internet gängige Modell der „Bezahlung mit den eigenen
Daten“. Dagegen kann jedoch auch eingewandt werden, dass solchen Fälle, in denen Daten
gegen Leistungen „eingetauscht“ werden, ohnehin eine Umgehung des Verbotsprinzips




95
   Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016) S. 50-
51.
96
   Kaiser, <https://www.projekt29.de/datenschutzblog29/anforderungen-an-die-einwilligung-gemaess-
der-eu-dsgvo> (zuletzt abgerufen am 30.11.2016).
97
   Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer
Kreis am 13./14.09.2016), <https://www.lda.bayern.de/media/dk_einwilligung.pdf> (zuletzt abgerufen
am 2.11.2016).
98
   BGH, Urteil vom 16.7.2008 – VIII ZR 348/06 (Payback).
99
  Kühling/Martini, „Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und
deutschen Datenschutzrecht?“, (2016), Europäische Zeitschrift für Wirtschaftsrecht, Heft 12, S. 448-
454, S. 451.
100
    Z.B.: Schantz, „Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im
Datenschutzrecht?“, (2016) Neue Juristische Wochenschrift, Heft 26, S. 1841-1847, S.1845.

                                                26

darstellen, weil die Freiwilligkeit der Einwilligung fehlt.101 Dazu wird im Verlauf dieses Papiers
noch einmal kritisch eingegangen. Eine weitere Kritik gegen das strikte Kopplungsverbot des
Art. 7 IV DSGVO besteht in der systemfremden Auslagerung des Kopplungsverbots aus
dem Bereich der Datenerhebung zu eigenen Geschäftszwecken in das Einwilligungsmodel.
Es wird argumentiert, dass das Kopplungsverbot des § 28 BDSG bereits die Zwangslagen
erfasst, in denen der Betroffene nicht auf alternative Anbieter ausweichen kann. So kann
eine Koppelung von Hard- und Software zu prohibitiv hohen Wechselkosten führen. Bei
sozialen Netzwerken dürfte es viele Nutzer abschrecken, dass sie die meisten ihrer Kontakte
verlieren, wenn sie zu einem anderen Anbieter wechseln. Damit schieße es über das Ziel der
Gewährleistung der informationellen Selbstbestimmung hinaus.

Allerdings ist auch gegen diese Kritik zu argumentieren, dass das Kopplungsverbot
tatsächlich Zwängen der Verbraucher beim Abschluss von Verträgen Rechnung trägt. Es ist
inzwischen allgemein anerkannt, dass Verbraucher oft keine andere Wahl haben, als die
AGB eines Unternehmens zu akzeptieren, wenn sie das zugrundliegende Produkt oder die
Dienstleistung erwerben wollen.102 Dies könne sogar völlig rational sein, da es zu dem
Zeitpunkt, in dem der Verbraucher die AGB liest, schon zu einem signifikanten Aufwand
(Aussuchen des Produkts bzw. der Dienstleistung, Preises und Anbieters) gekommen ist, zu
dem das Lesen der oftmals langen und komplexen AGB nur beitragen würde, ohne dass der
Verbraucher davon tatsächlich einen Nutzen hätte. Am Ende habe der Verbraucher doch
keine Möglichkeit, auf den Inhalt der AGB Einfluss zu nehmen.

Fraglich ist, ob eine Kopplungspraxis, die nach dem Datenschutzrecht unzulässig wäre, auch
eine unlautere Geschäftspraxis i.S.d. UWG darstellt.103 Im Lauterkeitsrecht sind
Kopplungspraktiken nicht grundsätzlich ausgeschlossen, da die Anlockungswirkung eines
guten Angebots auch eine erwünschte Folge des Leistungswettbewerbs sein kann.104 In
diesem Sinne hat der EuGH unlängst gegen die Unlauterkeit einer Vorinstallation von
Software auf einem Computer entschieden.105 Allerdings ist fraglich, ob dieses Urteil
verallgemeinert werden kann, da es sich lediglich auf die vom französischen
Kassationsgerichtshof vorgelegte Frage bezog, ob fehlenden Preisangaben für einzelne
Programme eine irreführende Geschäftspraxis i.S.d. Art. 5 Abs. 4 Buchst. a und Art. 7 der
Lauterkeitsrichtlinie 2005/29 darstellen. Der EuGH kam zu dem Ergebnis, dass sich allein
aus den fehlenden Preisangaben keine Irreführung ergebe, da das Fehlen einer Preisangabe
für die einzelnen Programme weder geeignet sei, den Verbraucher daran zu hindern, eine
informierte geschäftliche Entscheidung zu treffen, noch dazu, ihn zu einer geschäftlichen
Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte. Daher sei Preis der

101
    Conrad/Hausen, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), 2. Auflage,
C.H. Beck Verlag 2016, Rn.150-152 zu § 36 Datenschutz der Telemedien.
102
    S. z.B. Elshout et al. Study on consumers‘ attitudes towards Terms and Conditions (T&Cs), (2016),
European Commission, Directorate-General for Justice and Consumers, S. 16-17, 20ff.
103
    Dazu auch Schmechel, Verbraucherdatenschutz nach der EU-Datenschutzgrundverordnung,
(SVRV Working Paper Series Nr. 4/2016, Sachverständigenrat für Verbraucherfragen 2016), S.16-17.
104
    Dazu: Ohly, „Das neue UWG – Mehr Freiheit für den Wettbewerb?“, (2004), Gewerblicher
Rechtsschutz und Urheberrecht, Heft 11, S.889-900, S. 897, m.w.N.
105
    Dazu auch Case C-310/15, Vincent Deroo-Blanquart v. Sony Europe Limited, Rechtsnachfolgerin
der Sony France SA, EU:C:2016:633.

                                                 27

einzelnen Programme keine wesentliche Information im Sinne von Art. 7 Abs. 4 der Richtlinie
2005/29.

Die Diskrepanz zwischen dem strikten datenschutzrechtlichen Kopplungsverbot und den
weniger strengen Maßstäben für eine Irreführung im Lauterkeitsrecht kann auf die
unterschiedliche Schutzzwecke und Regelungsansätze zurückgeführt werden.               Das
Datenschutzrecht schützt das allgemeine Persönlichkeitsrecht durch ein generelles Verbot
mit Erlaubnisvorbehalt. Dagegen kennt das UWG kein solches generelles Verbot von
unlauteren geschäftlichen Handlungen, sondern sieht diese nur dann als unzulässig wenn,
wenn sie geeignet sind, die Interessen von Marktteilnehmern spürbar zu beeinträchtigen, § 3
I UWG. Die unterschiedlichen Regelungsansätze reflektieren die unterschiedliche Bedeutung
von Schutzgütern: Das Datenschutzrecht bezieht sich auf personenbezogene Daten, die
unmittelbar die Privatsphäre berühren, während das Lauterkeitsrecht Handlungsfreiheit im
geschäftlichen Verkehr schützt. Die Privatsphäre der Handelnden ist nicht per se Schutzgut
im geschäftlichen Verkehr. Wenn allerdings die Privatsphäre durch geschäftliches Handeln
und die Betroffenheit von personenbezogenen Daten berührt ist, ist das Datenschutzrecht
mit seinem höheren Schutzniveau für Kopplungspraktiken einschlägig.

    c. Formerfordernisse
Die Zulässigkeit der Einwilligung nach §4a BDSG ist außerdem an Formerfordernisse
gebunden. Um sicher zu stellen, dass die Einwilligung einen bewussten und autonomen
Willensakt darstellt, muss sie wirksam hervorgehoben werden.106 Hier wird auf den
durchschnittlich informierten und verständigen Verbraucher abgestellt, der einer
vorformulierten Einwilligungserklärung die der Situation angemessene Aufmerksamkeit
entgegenbringt; der oberflächliche Verbraucher wird hier nicht geschützt. Generell kann die
Einwilligung gem. §§ 13 TMG, 94 TKG eine Einwilligung auch elektronisch erfolgen.

    2. Erforderlichkeit für Vertragszweck
Für Vertragsbeziehungen im IoT kommt für die Zulässigkeit von Datenerhebung-,
verarbeitung und –nutzung neben der Einwilligung insbesondere die gesetzliche
Erlaubnisnorm des § 28 BDSG, Art. 6 I lit.b) DSGVO in Betracht, welcher die Erhebung,
Veränderung oder Übermittlung personenbezogener Daten für die Erfüllung eigener
Geschäftszwecke erlaubt. Der Begriff der Geschäftszwecke erfasst alle Prozesse, die als
Mittel zum Zweck zur Erfüllung von Abwicklung von Verträgen dienen.107

    a. Zweckbindung für Geschäftszwecke
Gem. § 28 I Nr. 1 BDSG ist eine Datenerhebung und –speicherung zulässig, wenn diese
beispielsweise   für die   Begründung,    Durchführung    oder  Beendigung     eines
Schuldverhältnisses mit dem Betroffenen erforderlich ist. Hier geht es um eine
Zweckbindung von Datenerhebungen und –verarbeitungen. Die Zweckbestimmung leitet sich


106
  BGH, Urteil vom 16.07.2008 - VIII ZR 348/06 (OLG München) (Payback) Para 24.
107
  Bundesregierung, BT-Drucksache 07/1027 Gesetzentwurf der Bundesregierung Entwurf eines
Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (Bundes-
Datenschutzgesetz — BDSG), (Drucksache 07/1027 21.09.1973), Amtliche Begründung zum
Regierungsentwurf S. 27.

                                             28

unmittelbar aus den dem Rechtsgeschäft zugrunde liegenden Willenserklärungen ab; es
geht also nicht um einseitige Vorstellungen des Verkäufers oder Dienstleisters oder des
betroffenen Verbrauchers.108 Zwischen dem Rechtsgeschäft und der Datenspeicherung
muss ein unmittelbarer sachlicher Zusammenhang bestehen. 109 Für die Erforderlichkeit
kommt es ebenfalls nicht auf einseitige Vorstellungen, sondern auf eine objektiv feststellbare
Erforderlichkeit an, unter Berücksichtigung der datenschutzrechtlichen Grundsätze der
Datenvermeidung und Datensparsamkeit.110 Erforderlichkeit bedeutet, dass sich der
Geschäftszweck oder das angestrebte Ziel ohne diese Daten nicht erreichen ließe. Solche
berechtigten Interessen können bestehen im Falle der Kundenwerbung, der Abwehr von
Vermögensschäden im wirtschaftlichen Bereich durch Speicherung von Daten über
kriminelles    wirtschaftsschädigendes     Verhalten     (Beispiel   Schufa),     oder      im
Versicherungsbereich der Speicherung von Daten über Angehörige und bei
Schlechtrisikenkarteien.111

Die Rechtsfolgen einer mangelnden Zweckbindung sind jedoch unklar. Obwohl der Wortlaut
der §§ 28, 29 BDSG („... zulässig, wenn…“) nahe legt, dass eine Datenerhebung unzulässig
ist, wenn sie nicht vom Geschäftszweck umfasst ist, legt Härting dar, dass sich den §§ 4, 28,
29 BDSG kein allgemeiner Grundsatz der Zweckbindung entnehmen lässt:112 allzu leicht
lasse sich eine Zweckänderung bewirken, für welche gem. §28 II BDSG bereits die Wahrung
berechtigter Interesse ausreicht, wenn kein Grund zur Annahme besteht, dass
schutzwürdige Interessen des Betroffenen überwiegen.

Ob Art. 5 I lit. b DSGVO, welcher den Zweckbindungsgrundsatz für die Erhebung und
Weiterverarbeitung von personenbezogenen Daten festschreibt, eine echte Neuerung
darstellt, bleibt abzuwarten. Denn auch hier bleiben die Rechtsfolgen einer mangelnden
Zweckbindung unklar. Die Erfüllung der Zweckbindung ist keine Zulässigkeitsvoraussetzung
für Datenverarbeitungen gem. Art. 6 DSGVO. Art. 6 DSGVO macht die Zulässigkeit der
Verarbeitung in lit. a und b wiederum entweder von einer Einwilligung oder der
Erforderlichkeit für den Vertragszweck abhängig. Unzulässigkeit folgt also nicht schon allein
aus der mangelnden Zweckbindung der Datenerhebung und –verarbeitung.

    b. Wahrung berechtigter Interessen
Gem. § 28 I Nr. 2 BDSG sind Datenerhebung und –verarbeitung auch zulässig, soweit sie
zur Wahrung berechtigter Interessen erforderlich sind und keine schutzwürdigen Interessen
des Betroffenen entgegenstehen. Unter solche zulässigen Interessen fallen alle

108
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage, Bund Verlag 2016, Rn. 16 zu § 28 BDSG; auch
konkludent möglich: Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17.
Edition, C.H. Beck Verlag 2016, Rn. 14-18 zu § 28 BDSG.
109
    Ambs, Erbs/Kohlhaas Strafrechtliche Nebengesetze, Häberle (Hrsg.), Band 17 2016, C.H. Beck
Verlag, Rn. 4 zu § 28 BDSG.
110
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 17 zu § 28 BDSG.
111
    Ambs, Erbs/Kohlhaas Strafrechtliche Nebengesetze, Häberle (Hrsg.), Band 17 2016, C.H. Beck
Verlag, Rn. 8 zu § 28 BDSG.
112
    Härting, „Zweckbindung und Zweckänderung im Datenschutzrecht“ (2015), Neue Juristische
Wochenschrift, Heft 45, S. 3284-3288, S.3288.

                                                29

tatsächlichen, d.h. auch wirtschaftliche und ideelle, Interessen, soweit sie von der
Rechtsordnung gebilligt werden.113 § 28 I Nr. 2 BDSG stellt jedoch keinen Auffangtatbestand
dar, der eine nicht nach Nr. 1 legitimierte Datenverarbeitung erlaubt.114

Der Hinweis auf die „berechtigten Interessen“ umschreibt einen Kompromiss im Widerstreit
zwischen der informationellen Selbstbestimmung der Betroffenen und dem
Informationsbedarf Dritter. In der Interessenabwägung soll es allerdings wegen der
allgemeinen Formulierung des § 28 I Nr. 2 BDSG und im Hinblick auf seinen Zweck, den
Verwendungsspielraum für Datenerhebungen und –nutzung einzuschränken, auf eine
möglichst restriktive Auslegung ankommen.115 Die einschränkende Wirkung der
Interessenabwägung ist unter Beachtung der informationellen Selbstbestimmung
gerechtfertigt.116 Wohl dürften daher im Zweifel die schutzwürdigen Interessen des
Betroffenen die Interessen des datenerhebenden Unternehmens überwiegen. Dies sei
zumindest dann der Fall, wenn die Daten Rückschlüsse auf Verhalten, Aufenthaltsorte oder
Gewohnheiten des Betroffenen erlauben und nicht lediglich technischen Zwecken dienen.117
Außerdem dürfen verantwortliche Stellen gespeicherte Daten nicht zweckentfremden oder
mithilfe des § 29 I Nr. 1 andere Schranken zur Datenübermittlung umgehen.118

Wendehorst119       schlägt   vor,    im   Wege    der   teleologischen Reduktion     die
Legimitationstatbestände der Geschäftszwecke oder berechtigten Interessen nur dann
anzuwenden, wenn die Datenerhebung und –verarbeitung nicht nur der Vertragserfüllung
oder der Wahrung berechtigter Interessen sondern auch für ein darüber hinausgehendes
kommerzielles Interesse des Anbieters dient. In solchen Fälle habe die Datenverarbeitung
auch eine Entgeltfunktion, weshalb eine Privilegierung ausscheide. Überzeugenderweise
stellt sie hier auf den effet utile Grundsatz im EU-Recht ab, wonach das Unterlaufen der
Einwilligungsvorausssetzungen und der damit verbundenen Schutzmechanismen nicht dem
Willen des EU-Gesetzgebers entsprechen könne.

   c. Kopplungsverbot
Für den Sonderfall der Datenerhebung und –verarbeitung für Zwecke des Adresshandels
oder der Werbung, für welche eine Einwilligung dem. § 28 III 1 BDSG erforderlich ist,
normiert § 28 III b BDSG ein Kopplungsverbot. Dieses besagt, dass die verantwortliche


113
    BGH: Entscheidung vom 22.05.1984 - VI ZR 105/82 zitiert in: Spindler/Nink, Recht der
elektronischen Medien Kommentar, Spindler/Schuster (Hrsg.), 3. Auflage 2015, C.H. Beck Verlag, Rn.
7-11 zu § 28 BDSG.
114
    Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 99 zu § 28 BDSG.
115
    So: Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 98 zu § 28 BDSG.
116
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 52 zu § 28 BDSG.
117
    So Roßnagel, „Fahrzeugdaten – wer darf über sie entscheiden?“, (2014), Straßenverkehrsrecht,
Heft 8, S. 281-287, S. 285.
118
    S. dazu Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014,
Nomos Verlag, Rn. 99 zu § 28 BDSG.
119
    Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016), S. 52-
53.

                                                30

Stelle sich die Einwilligung des Betroffenen nicht auf dem Wege verschaffen darf, dass sie
hiervon den Abschluss eines „Monopol-Vertrages“ abhängig macht. Dieses Verbot ist
aufgrund seiner Einschränkung der Vertragsgestaltungsfreiheit auf die Fälle begrenzt, in
denen dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen
Gegenleistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.120
Dabei wird davon ausgegangen, dass der Betroffene keine tatsächliche Wahl darüber hat, ob
er seine Daten preisgeben möchte oder nicht.

Für die Feststellung der Unzumutbarkeit ist eine niedrige Schwelle anzusetzen. 121 Im
Rahmen eines Kaufvertrages kann es beispielsweise unzumutbar sein, wenn es generell
möglich ist, eine Ware bei einem anderen Anbieter zu bekommen, ohne eine Einwilligung in
etwaige Werbemaßnahmen zu erteilen, dies aber mit einem erhöhten Zeitaufwand für die
neue Suche verbunden ist oder wenn gleiche oder vergleichbare Produkte bei anderen
Anbietern nur zu schlechteren Konditionen erhältlich sind.122 Dies bedeutet, dass es nicht
ausreicht, dass eine bestimmte Leistung generell anderweitig verlangt werden kann.
Obschon dieser Regelungsansatz auch aus verbraucher- und datenschutzrechtlicher
Perspektive positiv erscheint, muss beachtet werden, dass das Koppelungsverbot in erster
Linie der Gefahr des Missbrauchs von Marktmacht von datenerhebenden Unternehmen
dient.123

 IV.    Zulässigkeit der Datenerhebung: AGB-Recht
Sofern die Datenerhebung und –nutzung auf einer vom Unternehmen vorformulierten
Erklärung beruht, sind neben den datenschutzrechtlichen Bestimmungen auch die §§ 305
BGB anwendbar. Eine Integrierung von der Einwilligung in die AGB ist grundsätzlich
zulässig.124

Ob Datenschutzerklärungen einer ABG-Kontrolle unterworfen werden sollen ist zwar
umstritten; es gibt aber eine deutliche Tendenz, Datenschutzerklärungen als AGB
anzusehen, wenn die Definition von AGB in § 305 BGB erfüllt sind. Datenschutzerklärungen
sind dann AGB, wenn sie in den Nutzungsvertrag mit dem Anwender einbezogen und damit




120
    Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016, C.H.
Beck Verlag, Rn. 165 zu § 28 BDSG.
121
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 134 zu § 28 BDSG; zur
Anwendung auf Fälle einer marktbeherrschenden Stellung: Bundesregierung, Bundestag Drucksache
17/12011 Kleine Anfrage der Abgeordneten Dorothea Steiner, Oliver Krischer, Dr. Hermann E. Ott,
Hans-Josef Fell, Bärbel Höhn, Sven-Christian Kindler, Ute Koczy, Sylvia Kotting-Uhl, Undine Kurth
(Quedlinburg), Nicole Maisch und der Fraktion BÜNDNIS 90/DIE GRÜNEN, (Drucksache 17/12011,
30, 03.01.2013), S. 33.
122
    Dazu Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 134-138 zu § 28 BDSG.
123
    Ibid., Rn. 136 zu § 28 BDSG
124
   Redeker, Handbuch Multimedia-Recht Rechtsfragen des elektronischen Geschäftsverkehrs,
Hoeren/Sieber/Holznagel (Hrsg.), (C.H. Beck Verlag, 2015), Rn 111 in 42. Ergänzungslieferung,
Teil 12 Vertragsrecht für Internetdienste; BGH, Urteil vom 27.01.2000 - I ZR 241/97 (OLG Stuttgart)
(Telefonwerbung VI).

                                                 31

entgegen der gesetzgeberischen Intention nicht als Unterrichtung ausgestaltet sind.125 Es
kommt entscheidend darauf an, dass der Verwender für sich allein die rechtsgeschäftliche
Gestaltungsfreiheit in Anspruch nimmt und der Vertragspartner keinen Einfluss darauf
nehmen kann, sondern nur, ob er die vorformulierte Erklärung abgeben will oder nicht.126

In der Rechtsprechung ist die Tendenz erkennbar, Datenschutzerklärungen als AGB
anzusehen, da selbst Bestimmungen mit bloßem Informations- und Hinweischarakter als
Geschäftsbedingungen qualifiziert werden.127 Dies kann auch mit Hinweis auf vergleichbare
Schutzbedürftigkeit erklärt werden: Die AGB-Kontrolle soll den Interessen der Verbraucher
bei der durch Verwendung vorformulierter Klauseln verursachten Störung der
Privatautonomie Rechnung tragen.128 Die Notwendigkeit einer gerichtlichen Kontrolle liegt
darin, dass bei einem individuell ausgehandelten Vertrag davon ausgegangen werden kann,
dass der Vertragsinhalt dem Interesse und Willen beider Parteien entspricht, bei AGB, die
von lediglich einer Vertragspartei vorgegeben werden ist dies typischerweise nicht der
Fall.129 Die §§ 305 ff. sind also eine korrigierende Reaktion auf die Inanspruchnahme
einseitiger Vertragsgestaltungsmacht durch den Verwender.130 In derselben Situation steckt
i.d.R. auch der Adressat einer Datenschutzerklärung: Er kann die einzelnen Bestimmungen
nicht aushandeln und diskutieren. Zudem wird der Vertrag nicht zustande kommen, wenn der
Verbraucher nicht auch die Datenschutzerklärungen annimmt.

Allerdings    hat     der    Bundesgerichtshof   in    mehreren       Entscheidungen131
Datenschutzerklärungen zwar an sich der AGB-Kontrolle unterworfen, aber in Ermangelung
der Existenz besonderer Rechtsvorschriften betreffend die näheren Bedingungen der
Einwilligung usw. eine Abweichung oder Ergänzung von Rechtsvorschriften und damit die
Voraussetzung des § 307 III 1 BGB aber verneint und daher keine Missbrauchskontrolle
vorgenommen.       Um     diese   Umgehungsmöglichkeit     der     AGB-Kontrolle    für
                                                                  132
Datenschutzregelungen zu verhindern, schlägt Wendehorst vor,           das AGB-Recht
dahingehend zu ändern, dass eine Missbrauchskontrolle auch bei Datenschutzerklärungen
vorgenommen werden kann. Konkret schlägt sie vor, den Wortlaut § 307 III BGB so zu

125
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 58 zu § 28 Apps und Social Media; LG Berlin Urteil vom 30. 4. 2013 – 15 O 92/12; Kremer,
„Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle“,
(2014), Recht der Datenverarbeitung, Heft 2, S. 73-83, S. 82.
126
   Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht: Datenschutz und Informationsfreiheit
in europäischer Sicht, (De Gruyter Verlag, 2012), S. 348, dazu auch: Pohle, Handbuch IT- und
Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag, 2016), Rn.208 zu § 35 Das
Reht der Kommunikationsnetze und Dienste.
127
    Z.B. LG Berlin, Urteil vom 30.04.2013 - 15 O 92/12.
128
    Lehmann-Richter, beck-online.GROSSKOMMENTAR, Artz (Hrsg.), C.H.Beck Verlag, Stand
01.10.2016, Rn. 8 zu § 305 BGB.
129
   Grüneberg, Bürgerliches Gesetzbuch Kommentar, Palandt (Hrsg.), 74. Auflage 2015, C.H. Beck
Verlag, Rn. 3 zu Vor § 305 BGB.; Schmidt-Salzer, Das Recht der Allgemeinen Geschäfts- und
Versicherungsbedingungen, (Duncker & Humblot Verlag, 1977).
130
    BGH, Urteil vom 19.11.2009 - III ZR 108/08 (OLG München); BGH, Urteil vom 24.05.1995 - XII ZR
172/94 (Düsseldorf).
131
    BGH, Urteil vom 16.07.2008, VIII ZR 348/06 – Payback; Urteil vom 11.11.2009, VIII ZR 12/08 –
HappyDigits.
132
    Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016), S.74.

                                                32