einzelnen Programme keine wesentliche Information im Sinne von Art. 7 Abs. 4 der Richtlinie
2005/29.

Die Diskrepanz zwischen dem strikten datenschutzrechtlichen Kopplungsverbot und den
weniger strengen Maßstäben für eine Irreführung im Lauterkeitsrecht kann auf die
unterschiedliche Schutzzwecke und Regelungsansätze zurückgeführt werden.               Das
Datenschutzrecht schützt das allgemeine Persönlichkeitsrecht durch ein generelles Verbot
mit Erlaubnisvorbehalt. Dagegen kennt das UWG kein solches generelles Verbot von
unlauteren geschäftlichen Handlungen, sondern sieht diese nur dann als unzulässig wenn,
wenn sie geeignet sind, die Interessen von Marktteilnehmern spürbar zu beeinträchtigen, § 3
I UWG. Die unterschiedlichen Regelungsansätze reflektieren die unterschiedliche Bedeutung
von Schutzgütern: Das Datenschutzrecht bezieht sich auf personenbezogene Daten, die
unmittelbar die Privatsphäre berühren, während das Lauterkeitsrecht Handlungsfreiheit im
geschäftlichen Verkehr schützt. Die Privatsphäre der Handelnden ist nicht per se Schutzgut
im geschäftlichen Verkehr. Wenn allerdings die Privatsphäre durch geschäftliches Handeln
und die Betroffenheit von personenbezogenen Daten berührt ist, ist das Datenschutzrecht
mit seinem höheren Schutzniveau für Kopplungspraktiken einschlägig.

    c. Formerfordernisse
Die Zulässigkeit der Einwilligung nach §4a BDSG ist außerdem an Formerfordernisse
gebunden. Um sicher zu stellen, dass die Einwilligung einen bewussten und autonomen
Willensakt darstellt, muss sie wirksam hervorgehoben werden.106 Hier wird auf den
durchschnittlich informierten und verständigen Verbraucher abgestellt, der einer
vorformulierten Einwilligungserklärung die der Situation angemessene Aufmerksamkeit
entgegenbringt; der oberflächliche Verbraucher wird hier nicht geschützt. Generell kann die
Einwilligung gem. §§ 13 TMG, 94 TKG eine Einwilligung auch elektronisch erfolgen.

    2. Erforderlichkeit für Vertragszweck
Für Vertragsbeziehungen im IoT kommt für die Zulässigkeit von Datenerhebung-,
verarbeitung und –nutzung neben der Einwilligung insbesondere die gesetzliche
Erlaubnisnorm des § 28 BDSG, Art. 6 I lit.b) DSGVO in Betracht, welcher die Erhebung,
Veränderung oder Übermittlung personenbezogener Daten für die Erfüllung eigener
Geschäftszwecke erlaubt. Der Begriff der Geschäftszwecke erfasst alle Prozesse, die als
Mittel zum Zweck zur Erfüllung von Abwicklung von Verträgen dienen.107

    a. Zweckbindung für Geschäftszwecke
Gem. § 28 I Nr. 1 BDSG ist eine Datenerhebung und –speicherung zulässig, wenn diese
beispielsweise   für die   Begründung,    Durchführung    oder  Beendigung     eines
Schuldverhältnisses mit dem Betroffenen erforderlich ist. Hier geht es um eine
Zweckbindung von Datenerhebungen und –verarbeitungen. Die Zweckbestimmung leitet sich


106
  BGH, Urteil vom 16.07.2008 - VIII ZR 348/06 (OLG München) (Payback) Para 24.
107
  Bundesregierung, BT-Drucksache 07/1027 Gesetzentwurf der Bundesregierung Entwurf eines
Gesetzes zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (Bundes-
Datenschutzgesetz — BDSG), (Drucksache 07/1027 21.09.1973), Amtliche Begründung zum
Regierungsentwurf S. 27.

                                             28

unmittelbar aus den dem Rechtsgeschäft zugrunde liegenden Willenserklärungen ab; es
geht also nicht um einseitige Vorstellungen des Verkäufers oder Dienstleisters oder des
betroffenen Verbrauchers.108 Zwischen dem Rechtsgeschäft und der Datenspeicherung
muss ein unmittelbarer sachlicher Zusammenhang bestehen. 109 Für die Erforderlichkeit
kommt es ebenfalls nicht auf einseitige Vorstellungen, sondern auf eine objektiv feststellbare
Erforderlichkeit an, unter Berücksichtigung der datenschutzrechtlichen Grundsätze der
Datenvermeidung und Datensparsamkeit.110 Erforderlichkeit bedeutet, dass sich der
Geschäftszweck oder das angestrebte Ziel ohne diese Daten nicht erreichen ließe. Solche
berechtigten Interessen können bestehen im Falle der Kundenwerbung, der Abwehr von
Vermögensschäden im wirtschaftlichen Bereich durch Speicherung von Daten über
kriminelles    wirtschaftsschädigendes     Verhalten     (Beispiel   Schufa),     oder      im
Versicherungsbereich der Speicherung von Daten über Angehörige und bei
Schlechtrisikenkarteien.111

Die Rechtsfolgen einer mangelnden Zweckbindung sind jedoch unklar. Obwohl der Wortlaut
der §§ 28, 29 BDSG („... zulässig, wenn…“) nahe legt, dass eine Datenerhebung unzulässig
ist, wenn sie nicht vom Geschäftszweck umfasst ist, legt Härting dar, dass sich den §§ 4, 28,
29 BDSG kein allgemeiner Grundsatz der Zweckbindung entnehmen lässt:112 allzu leicht
lasse sich eine Zweckänderung bewirken, für welche gem. §28 II BDSG bereits die Wahrung
berechtigter Interesse ausreicht, wenn kein Grund zur Annahme besteht, dass
schutzwürdige Interessen des Betroffenen überwiegen.

Ob Art. 5 I lit. b DSGVO, welcher den Zweckbindungsgrundsatz für die Erhebung und
Weiterverarbeitung von personenbezogenen Daten festschreibt, eine echte Neuerung
darstellt, bleibt abzuwarten. Denn auch hier bleiben die Rechtsfolgen einer mangelnden
Zweckbindung unklar. Die Erfüllung der Zweckbindung ist keine Zulässigkeitsvoraussetzung
für Datenverarbeitungen gem. Art. 6 DSGVO. Art. 6 DSGVO macht die Zulässigkeit der
Verarbeitung in lit. a und b wiederum entweder von einer Einwilligung oder der
Erforderlichkeit für den Vertragszweck abhängig. Unzulässigkeit folgt also nicht schon allein
aus der mangelnden Zweckbindung der Datenerhebung und –verarbeitung.

    b. Wahrung berechtigter Interessen
Gem. § 28 I Nr. 2 BDSG sind Datenerhebung und –verarbeitung auch zulässig, soweit sie
zur Wahrung berechtigter Interessen erforderlich sind und keine schutzwürdigen Interessen
des Betroffenen entgegenstehen. Unter solche zulässigen Interessen fallen alle

108
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage, Bund Verlag 2016, Rn. 16 zu § 28 BDSG; auch
konkludent möglich: Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17.
Edition, C.H. Beck Verlag 2016, Rn. 14-18 zu § 28 BDSG.
109
    Ambs, Erbs/Kohlhaas Strafrechtliche Nebengesetze, Häberle (Hrsg.), Band 17 2016, C.H. Beck
Verlag, Rn. 4 zu § 28 BDSG.
110
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 17 zu § 28 BDSG.
111
    Ambs, Erbs/Kohlhaas Strafrechtliche Nebengesetze, Häberle (Hrsg.), Band 17 2016, C.H. Beck
Verlag, Rn. 8 zu § 28 BDSG.
112
    Härting, „Zweckbindung und Zweckänderung im Datenschutzrecht“ (2015), Neue Juristische
Wochenschrift, Heft 45, S. 3284-3288, S.3288.

                                                29

tatsächlichen, d.h. auch wirtschaftliche und ideelle, Interessen, soweit sie von der
Rechtsordnung gebilligt werden.113 § 28 I Nr. 2 BDSG stellt jedoch keinen Auffangtatbestand
dar, der eine nicht nach Nr. 1 legitimierte Datenverarbeitung erlaubt.114

Der Hinweis auf die „berechtigten Interessen“ umschreibt einen Kompromiss im Widerstreit
zwischen der informationellen Selbstbestimmung der Betroffenen und dem
Informationsbedarf Dritter. In der Interessenabwägung soll es allerdings wegen der
allgemeinen Formulierung des § 28 I Nr. 2 BDSG und im Hinblick auf seinen Zweck, den
Verwendungsspielraum für Datenerhebungen und –nutzung einzuschränken, auf eine
möglichst restriktive Auslegung ankommen.115 Die einschränkende Wirkung der
Interessenabwägung ist unter Beachtung der informationellen Selbstbestimmung
gerechtfertigt.116 Wohl dürften daher im Zweifel die schutzwürdigen Interessen des
Betroffenen die Interessen des datenerhebenden Unternehmens überwiegen. Dies sei
zumindest dann der Fall, wenn die Daten Rückschlüsse auf Verhalten, Aufenthaltsorte oder
Gewohnheiten des Betroffenen erlauben und nicht lediglich technischen Zwecken dienen.117
Außerdem dürfen verantwortliche Stellen gespeicherte Daten nicht zweckentfremden oder
mithilfe des § 29 I Nr. 1 andere Schranken zur Datenübermittlung umgehen.118

Wendehorst119       schlägt   vor,    im   Wege    der   teleologischen Reduktion     die
Legimitationstatbestände der Geschäftszwecke oder berechtigten Interessen nur dann
anzuwenden, wenn die Datenerhebung und –verarbeitung nicht nur der Vertragserfüllung
oder der Wahrung berechtigter Interessen sondern auch für ein darüber hinausgehendes
kommerzielles Interesse des Anbieters dient. In solchen Fälle habe die Datenverarbeitung
auch eine Entgeltfunktion, weshalb eine Privilegierung ausscheide. Überzeugenderweise
stellt sie hier auf den effet utile Grundsatz im EU-Recht ab, wonach das Unterlaufen der
Einwilligungsvorausssetzungen und der damit verbundenen Schutzmechanismen nicht dem
Willen des EU-Gesetzgebers entsprechen könne.

   c. Kopplungsverbot
Für den Sonderfall der Datenerhebung und –verarbeitung für Zwecke des Adresshandels
oder der Werbung, für welche eine Einwilligung dem. § 28 III 1 BDSG erforderlich ist,
normiert § 28 III b BDSG ein Kopplungsverbot. Dieses besagt, dass die verantwortliche


113
    BGH: Entscheidung vom 22.05.1984 - VI ZR 105/82 zitiert in: Spindler/Nink, Recht der
elektronischen Medien Kommentar, Spindler/Schuster (Hrsg.), 3. Auflage 2015, C.H. Beck Verlag, Rn.
7-11 zu § 28 BDSG.
114
    Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 99 zu § 28 BDSG.
115
    So: Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014, Nomos
Verlag, Rn. 98 zu § 28 BDSG.
116
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 52 zu § 28 BDSG.
117
    So Roßnagel, „Fahrzeugdaten – wer darf über sie entscheiden?“, (2014), Straßenverkehrsrecht,
Heft 8, S. 281-287, S. 285.
118
    S. dazu Simitis, Kommentar zum Bundesdatenschutzgesetz, Simitis (Hrsg.), 8. Auflage 2014,
Nomos Verlag, Rn. 99 zu § 28 BDSG.
119
    Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016), S. 52-
53.

                                                30

Stelle sich die Einwilligung des Betroffenen nicht auf dem Wege verschaffen darf, dass sie
hiervon den Abschluss eines „Monopol-Vertrages“ abhängig macht. Dieses Verbot ist
aufgrund seiner Einschränkung der Vertragsgestaltungsfreiheit auf die Fälle begrenzt, in
denen dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen
Gegenleistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.120
Dabei wird davon ausgegangen, dass der Betroffene keine tatsächliche Wahl darüber hat, ob
er seine Daten preisgeben möchte oder nicht.

Für die Feststellung der Unzumutbarkeit ist eine niedrige Schwelle anzusetzen. 121 Im
Rahmen eines Kaufvertrages kann es beispielsweise unzumutbar sein, wenn es generell
möglich ist, eine Ware bei einem anderen Anbieter zu bekommen, ohne eine Einwilligung in
etwaige Werbemaßnahmen zu erteilen, dies aber mit einem erhöhten Zeitaufwand für die
neue Suche verbunden ist oder wenn gleiche oder vergleichbare Produkte bei anderen
Anbietern nur zu schlechteren Konditionen erhältlich sind.122 Dies bedeutet, dass es nicht
ausreicht, dass eine bestimmte Leistung generell anderweitig verlangt werden kann.
Obschon dieser Regelungsansatz auch aus verbraucher- und datenschutzrechtlicher
Perspektive positiv erscheint, muss beachtet werden, dass das Koppelungsverbot in erster
Linie der Gefahr des Missbrauchs von Marktmacht von datenerhebenden Unternehmen
dient.123

 IV.    Zulässigkeit der Datenerhebung: AGB-Recht
Sofern die Datenerhebung und –nutzung auf einer vom Unternehmen vorformulierten
Erklärung beruht, sind neben den datenschutzrechtlichen Bestimmungen auch die §§ 305
BGB anwendbar. Eine Integrierung von der Einwilligung in die AGB ist grundsätzlich
zulässig.124

Ob Datenschutzerklärungen einer ABG-Kontrolle unterworfen werden sollen ist zwar
umstritten; es gibt aber eine deutliche Tendenz, Datenschutzerklärungen als AGB
anzusehen, wenn die Definition von AGB in § 305 BGB erfüllt sind. Datenschutzerklärungen
sind dann AGB, wenn sie in den Nutzungsvertrag mit dem Anwender einbezogen und damit




120
    Wolff, Beck'scher Online-Kommentar Datenschutzrecht, Wolff/Brink (Hrsg.), 17. Edition 2016, C.H.
Beck Verlag, Rn. 165 zu § 28 BDSG.
121
    Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 134 zu § 28 BDSG; zur
Anwendung auf Fälle einer marktbeherrschenden Stellung: Bundesregierung, Bundestag Drucksache
17/12011 Kleine Anfrage der Abgeordneten Dorothea Steiner, Oliver Krischer, Dr. Hermann E. Ott,
Hans-Josef Fell, Bärbel Höhn, Sven-Christian Kindler, Ute Koczy, Sylvia Kotting-Uhl, Undine Kurth
(Quedlinburg), Nicole Maisch und der Fraktion BÜNDNIS 90/DIE GRÜNEN, (Drucksache 17/12011,
30, 03.01.2013), S. 33.
122
    Dazu Wedde, Bundesdatenschutzgesetz Kompaktkommentar zum BDSG,
Däubler/Klebe/Wedde/Weichert (Hrsg.), 5. Auflage 2016, Bund Verlag, Rn. 134-138 zu § 28 BDSG.
123
    Ibid., Rn. 136 zu § 28 BDSG
124
   Redeker, Handbuch Multimedia-Recht Rechtsfragen des elektronischen Geschäftsverkehrs,
Hoeren/Sieber/Holznagel (Hrsg.), (C.H. Beck Verlag, 2015), Rn 111 in 42. Ergänzungslieferung,
Teil 12 Vertragsrecht für Internetdienste; BGH, Urteil vom 27.01.2000 - I ZR 241/97 (OLG Stuttgart)
(Telefonwerbung VI).

                                                 31

entgegen der gesetzgeberischen Intention nicht als Unterrichtung ausgestaltet sind.125 Es
kommt entscheidend darauf an, dass der Verwender für sich allein die rechtsgeschäftliche
Gestaltungsfreiheit in Anspruch nimmt und der Vertragspartner keinen Einfluss darauf
nehmen kann, sondern nur, ob er die vorformulierte Erklärung abgeben will oder nicht.126

In der Rechtsprechung ist die Tendenz erkennbar, Datenschutzerklärungen als AGB
anzusehen, da selbst Bestimmungen mit bloßem Informations- und Hinweischarakter als
Geschäftsbedingungen qualifiziert werden.127 Dies kann auch mit Hinweis auf vergleichbare
Schutzbedürftigkeit erklärt werden: Die AGB-Kontrolle soll den Interessen der Verbraucher
bei der durch Verwendung vorformulierter Klauseln verursachten Störung der
Privatautonomie Rechnung tragen.128 Die Notwendigkeit einer gerichtlichen Kontrolle liegt
darin, dass bei einem individuell ausgehandelten Vertrag davon ausgegangen werden kann,
dass der Vertragsinhalt dem Interesse und Willen beider Parteien entspricht, bei AGB, die
von lediglich einer Vertragspartei vorgegeben werden ist dies typischerweise nicht der
Fall.129 Die §§ 305 ff. sind also eine korrigierende Reaktion auf die Inanspruchnahme
einseitiger Vertragsgestaltungsmacht durch den Verwender.130 In derselben Situation steckt
i.d.R. auch der Adressat einer Datenschutzerklärung: Er kann die einzelnen Bestimmungen
nicht aushandeln und diskutieren. Zudem wird der Vertrag nicht zustande kommen, wenn der
Verbraucher nicht auch die Datenschutzerklärungen annimmt.

Allerdings    hat     der    Bundesgerichtshof   in    mehreren       Entscheidungen131
Datenschutzerklärungen zwar an sich der AGB-Kontrolle unterworfen, aber in Ermangelung
der Existenz besonderer Rechtsvorschriften betreffend die näheren Bedingungen der
Einwilligung usw. eine Abweichung oder Ergänzung von Rechtsvorschriften und damit die
Voraussetzung des § 307 III 1 BGB aber verneint und daher keine Missbrauchskontrolle
vorgenommen.       Um     diese   Umgehungsmöglichkeit     der     AGB-Kontrolle    für
                                                                  132
Datenschutzregelungen zu verhindern, schlägt Wendehorst vor,           das AGB-Recht
dahingehend zu ändern, dass eine Missbrauchskontrolle auch bei Datenschutzerklärungen
vorgenommen werden kann. Konkret schlägt sie vor, den Wortlaut § 307 III BGB so zu

125
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 58 zu § 28 Apps und Social Media; LG Berlin Urteil vom 30. 4. 2013 – 15 O 92/12; Kremer,
„Datenschutzerklärungen von Social Media Diensten: Anwendbares Recht und AGB-Kontrolle“,
(2014), Recht der Datenverarbeitung, Heft 2, S. 73-83, S. 82.
126
   Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht: Datenschutz und Informationsfreiheit
in europäischer Sicht, (De Gruyter Verlag, 2012), S. 348, dazu auch: Pohle, Handbuch IT- und
Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag, 2016), Rn.208 zu § 35 Das
Reht der Kommunikationsnetze und Dienste.
127
    Z.B. LG Berlin, Urteil vom 30.04.2013 - 15 O 92/12.
128
    Lehmann-Richter, beck-online.GROSSKOMMENTAR, Artz (Hrsg.), C.H.Beck Verlag, Stand
01.10.2016, Rn. 8 zu § 305 BGB.
129
   Grüneberg, Bürgerliches Gesetzbuch Kommentar, Palandt (Hrsg.), 74. Auflage 2015, C.H. Beck
Verlag, Rn. 3 zu Vor § 305 BGB.; Schmidt-Salzer, Das Recht der Allgemeinen Geschäfts- und
Versicherungsbedingungen, (Duncker & Humblot Verlag, 1977).
130
    BGH, Urteil vom 19.11.2009 - III ZR 108/08 (OLG München); BGH, Urteil vom 24.05.1995 - XII ZR
172/94 (Düsseldorf).
131
    BGH, Urteil vom 16.07.2008, VIII ZR 348/06 – Payback; Urteil vom 11.11.2009, VIII ZR 12/08 –
HappyDigits.
132
    Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016), S.74.

                                                32

ändern, dass kein Bezug mehr zu abweichenden Rechtsvorschriften genommen wird.
Stattdessen soll die Formulierung der Richtlinie 93/13 eingefügt werden, wonach auch in der
deutschen Rechtsordnung dann klar gestellt wird, dass sich die AGB-Kontrolle nicht auf den
Hauptgegenstand des Vertrages beziehen soll.

Die rechtlichen Rahmenbedingungen für die Wirksamkeit der datenschutzrechtlichen
Einwilligung innerhalb von AGB basieren insbesondere auf dem Transparenzgebot des §
307 I 2 BGB. Dies bedeutet beispielweise, dass eine Klausel nicht als Bevollmächtigung zur
Weitergabe von Daten an Dritte „zur Formulierung von bedarfsgerechten Angeboten und
Informationen“ formuliert ist, da diese Formulierung dazu führen kann, dass der Verwender
die Daten eigenmächtig weitergibt.133 Ein Verstoß liegt ebenfalls vor, wenn die
Einwilligungserklärung an versteckter Stelle mitten in einem vorformulierten Text
untergebracht ist.134

Gem. §4a I S. 4 BDSG muss die Einwilligung für ihre Gültigkeit außerdem besonders
hervorgehoben werden. Dies trägt dem Schutz des Betroffenen Rechnung, dass dieser die
Einwilligung nicht überliest und diese sodann erteilt, ohne sich ihrer und ihres
Bezugsgegenstands bewusst zu sein.135

In diesem Sinne hat der BGH auch eine Opt-out-Erklärung für unwirksam erklärt. In seinem
Payback-Urteil stellt er fest, dass die Klausel

                „Mit meiner Unterschrift erkläre ich mich einverstanden, dass die von mir
                oben angegebenen Daten sowie die Rabattdaten (Waren/Dienstleistungen,
                Preis, Rabattbetrag, Ort und Datum des Vorgangs) für an mich gerichtete
                Werbung (z.B. Informationen über Sonderangebote, Rabattaktionen) per
                Post und mittels gegebenenfalls von mir beantragter Services (SMS oder E-
                Mail-Newsletter) sowie zu Zwecken der Marktforschung ausschließlich von
                der L-GmbH und den Partnerunternehmen gemäß Nr. 2 der beiliegenden
                Hinweise zum Datenschutz gespeichert und genutzt werden.
                (…)
                □ Hier ankreuzen, falls die Einwilligung nicht erteilt wird.”
der Inhaltskontrolle nach §§ 307 I 1, II Nr. 1 BGB nicht stand hält soweit sie sich auf die
Zusendung von Werbung auf elektronischem Wege bezieht.

Festzuhalten ist also, dass Datenschutzerklärungen der AGB-Kontrolle unterfallen können
und damit auch nicht überraschend oder mehrdeutig i.S.d. § 305c BGB sein und dürfen nach
§ 307 BGB den Vertragspartner nicht entgegen Treu und Glauben benachteiligen.




133
    LG Dortmund, Urteil vom. 23.2.2007 – 8 O 194/06; vgl. auch OLG Köln, Urteil vom 23.11.2007 – 6
U 95/07.
134
    LG Bonn, Urteil vom 31.10.2006 – 11 O 66/06.
135
    BGH, Urteil vom 16.07.2008 – VIII ZR 348/06, vgl. auch OLG Hamm, Urteil vom 17.02.2011 – I-4 U
174/10.

                                               33

V.      Beispiel: Zulässigkeit von Datenerhebungen durch die HCA
Im Anwendungsbereich dieses beschriebenen Rechtsrahmens werden im Folgenden die
Bestimmungen der Datenschutzerklärung der bereits erwähnten Home Connect auf ihre
Rechtmäßigkeit nach den Vorschriften des BDSG, TMG und BGB überprüft.

      1. Datenerhebung und Verarbeitung der HCA
Im Rahmen der HCA gibt es neben der Datenschutzerklärung auch Nutzungsbedingungen
für die HCA sowie Nutzungsbedingungen für das Home Connect System. Die
Nutzungsbedingungen der HCA werden mit Abschluss der Registrierung bindende
Vertragsgrundlage für die Nutzung der HCA. Die Nutzungsbedingungen für das Home
Connect System werden zwischen Nutzer und der Home Connect GmbH bindend, sobald
die Registrierung über die HCA abgeschlossen ist.

In den Nutzungsbedingungen für das Smart Home System findet sich unter Punkt 13
„Datenschutzrechtliche Einwilligung“ ein Abschnitt zum Thema Datennutzung. Dieser lautet:

              „Sie willigen ein, dass die Home Connect GmbH Ihre Registrierungsdaten,
              Daten aus der Nutzung der App und Daten aus der Nutzung des Hausgeräts
              ("Personenbezogenen Daten") erheben, verarbeiten und nutzen darf, um Ihre
              möglichen Interessen an bestimmten Produkten und Dienstleistungen der
              Home Connect GmbH und von Dritten für Werbezwecke zu ermitteln und
              entsprechend       dieser    ermittelten   Interessen     Produkt-     und
              Dienstleistungsinformationen innerhalb der App darzustellen. Die für diese
              Zwecke       verarbeiteten     Personenbezogenen      Daten      umfassen:
              Registrierungsdaten: Vor- und Nachname, E-Mail-Adresse, durch die
              Verbindung mit dem Hausgerät automatisch erhobene Informationen zur Art
              und zum Model des Haushaltsgeräts. Daten aus der Nutzung der App:
              Verwendete Funktionen und Bereiche der App, erteilte Befehle zur Steuerung
              des Hausgeräts, aufgerufene Rezeptempfehlungen, IP-Adresse, Interaktion mit
              Werbeeinblendung. Daten aus der Nutzung des Hausgeräts: Art und Model des
              Hausgeräts, verwendete Programme, Standort des Hausgeräts, Wasserhärte
              am Standort des Hausgeräts und Nutzungsweise des Hausgeräts“

Damit ist klar, dass über die HCA verschiedene Arten von Daten gesammelt und verarbeitet
werden: Registrierungsdaten, App-Nutzungsdaten und Gerätenutzungsdaten.

In Nr. 1 der Datenschutzerklärung der HCA ergibt sich weiterhin folgende Aufteilung von
Daten: Nutzer-Stammdaten (a), Geräte-Stammdaten (b), Geräte-Nutzungsdaten (c) und
App-Nutzungsdaten (d).

Nutzer-Stammdaten sind Bestandsdaten i.S.d. §§ 28 I Nr. 1 BDSG, 14 I TMG, die für die
Begründung, inhaltliche Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen
dem App-Anbieter und dem Verbraucher über die Nutzung der App erforderlich sind.
Hierunter fallen die Daten, die bei einer Registrierung angegeben werden müssen
(Registrierungsdaten). Nr. 1 lit. a) der HCA enthält diesbezüglich folgende Aufzählung von
Nutzer-Stammdaten:

                                            34

•   Angaben, die Sie im Rahmen der Registrierung machen, wie:
                  -   Vor- und Nachname
                  -    E-Mail-Adresse (Benutzerkennung)
                  -   das Land, indem Sie Ihr(e) Hausgerät(e) betreiben
                  -   Passwort als Zugriffschutz.
              •   Informationen, die wir im Zusammenhang mit der Registrierung erheben
                  und speichern:
                  - Spracheinstellung Ihres mobilen Endgerätes
                  -   Einverständnis mit der Geltung der Nutzungsbedingungen und
                      Bestätigung der Kenntnisnahme der Datenschutzerklärung
                  -   Status des Nutzerkontos (aktiviert/deaktiviert)
                  -   App Tracking-Voreinstellung (erfolgt in Abhängigkeit der Landeswahl,
                      siehe dazu unten 5.)


Geräte-Stammdaten umfassen Informationen über die mit der App verbundenen
Haushaltgeräte; diese sind auch Bestandsdaten i.S.d. §§ 28 I Nr. 1 BDSG, 14 I TMG.

                  -   Marke des Hausgerätes (z.B. Bosch oder Siemens)
                  -   Seriennummer und ggf. Fabrikationsdatum des Hausgerätes (sog. E-
                      Nummer und FD- Nummer, diese Angaben finden sich auch auf dem
                      Typenschild des Hausgerätes)
                  -   Die eindeutige Kennung des              im    Hausgerät   eingesetzten
                      Netzwerkadapters (sog. MAC-         Adresse).     Diese Daten werden
                      im   Rahmen    der     „Hausgerät   verbinden“-Funktion für jedes
                      verbundene Hausgerät Ihrem Nutzerkonto zugeordnet.


Gerätenutzungsdaten sind dagegen die personenbezogenen Daten, ohne die die App nicht
verwendet werden kann. Dies ist in der Regel die IP-Adresse und falls erforderlich Kennung
oder Standort. Die Zulässigkeit ihrer Erhebung und Verwendung richtet sich nach § 15 TMG.
Laut Nr. 1 lit b) sind die von der Home Connect erhobenen Geräte-Stammdaten:

                  -   Vorgenommene      Grundeinstellungen,   Programmauswahl und
                      Programmeinstellungen am Hausgerät oder über die App,
                  -   Gerätezustandsdaten wie Umgebungsbedingungen, Zustände von
                      Bauteilen, Zustandsänderungen am Hausgerät (z.B. Wechsel des
                      Betriebsmodus, Öffnen oder Schließen der Türe/des Frontpanels,
                      Temperaturänderungen, Füllstände) und Zustandsmeldungen des
                      Hausgerätes (z.B. Gerät ist überhitzt, Wassertank ist leer etc.).


App-Nutzungsdaten sind gem. Nr. 1 lit ) wiederum Inhaltsdaten, die sich aus der Interaktion
des Nutzers mit der App ergeben, wie z.B. verwendete Funktionalitäten der App,
Klickverhalten in Bezug auf Bedienelemente der App, Auswahl in Dropdown-Menüs,


                                              35

Einstellungen von On/Off-Schaltern. Solche Daten werden gem. Nr. 5 der HCA von Adobe
Analytics in Irland ausgewertet. Die Sammlung von App-Nutzungsdaten kann gem. Nr. 5
HCA außerdem vom Nutzer aktiviert oder deaktiviert werden.

   2. Zulässigkeit nach BDSG
Die Anwendbarkeit des BDSG für die HCA ergibt sich aus dem Territorialprinzip:136 Wenn
personenbezogene Daten durch Unternehmen mit Sitz bzw. einer Niederlassung im Inland,
soweit letztere effektiv und tatsächlich datenverarbeitende Tätigkeiten ausführt, erhoben,
verarbeitet und genutzt werden, finden gemäß § 1 Abs. 2 und Abs. 5 Satz 1 BDSG dieses
Gesetz und die datenschutzrechtlichen Regelungen der § 11 ff. TMG über den Verweis in §
3 Abs.3 Nr. 4 TMG Anwendung.137 Apps sind Telemediendienste und unterliegen den
Rechtsvorschriften des TMG. Beim TMG handelt es sich um eine bereichsspezifische
Regelung, deren Ziel es ist, die generellen Anforderungen des BDSG in besonders
datenschutzsensiblen Bereichen zu präzisieren und weiterzuentwickeln.

    a. Verantwortliche Stelle
In Bezug auf die gesetzlichen Anforderungen muss zwischen dem Vertrieb und der Nutzung
der App unterschieden werden. Aus datenschutzrechtlicher Sicht bringt der Vertrieb der App
keine Besonderheiten mit sich.138 Verantwortliche Stelle ist beim Vertrieb der App der App-
Store-Betreiber. Da der Betreiber bei der Nutzung der App nach der Installation keinen
Einfluss mehr hat, ist nun der Anbieter verantwortliche Stelle139 und hat dafür zu sorgen,
dass die Pflichten des BDSG, soweit nicht das TMG vorrangig anzuwenden ist, eingehalten
werden.140

Die Datenschutzerklärung der HCA erklärt, dass die Home Connect GmbH mit Sitz in
München die verantwortliche Stelle für die Erhebung, Verarbeitung und Nutzung der
personenbezogenen Daten im Zusammenhang mit der HCA ist.

    b. Einwilligung
Für die App als Telemediendienst gilt § 13 TMG (vgl. § 33 BDSG): Der Anbieter muss den
Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener
Daten informieren. Diese Information muss bereits vor Beginn des Nutzungsvorgangs
erfolgen, so dass die Datenschutzerklärung bereits im App-Store oder mindestens vor dem
Start der App zum Abruf bereitgehalten werden muss. Darüber hinaus muss die – gut
lesbare – Datenschutzerklärung auch während der Nutzung der App jederzeit abrufbar sein.
Eine bloße Verlinkung auf die Datenschutzerklärung einer Webseite ist nicht ausreichend.
Bei einer elektronischen Einwilligung sind die Voraussetzungen des § 13 TMG zu beachten.

136
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 48 zu § 28 Apps und Social Media.
137
    Sachs/Meder, „Datenschutzrechtliche Anforderungen an App-Anbieter - Prüfungen am Beispiel von
Android-Apps“, (2013), Zeitschrift für Datenschutz, Heft 7, S. 303-308, S. 304.
138
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 46 zu § 28 Apps und Social Media.
139
    Kremer, „Datenschutz bei Entwicklung und Nutzung von Apps für Smart Devices“, (2002),
Computer und Recht, Heft 7, S. 438-446, S. 439.
140
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 48 zu § 28 Apps und Social Media.

                                               36

Liegen weder eine gesetzliche Erlaubnis noch eine Einwilligung des Betroffenen vor, ist die
Datenverarbeitung gesetzeswidrig.

Eine Datenschutzerklärung für die HCA (nachfolgend „App“) ist grundsätzlich vorhanden.
Diese ist auch vor Installation der App auffindbar.

Die Datenschutzerklärung der HCA klärt außerdem über die Datenübermittlung an Dritte auf.

          Zur Realisierung der App und der darüber angebotenen Dienstleistungen arbeiten wir
          mit verschiedenen Dienstleistern zusammen. Soweit wir diese Dienstleister zur streng
          weisungsgebundenen Datenverarbeitung als Auftragsdatenverarbeiter verpflichtet
          haben, bedarf eine Datenverarbeitung durch diese Dienstleister keiner Einwilligung
          durch Sie. Die entsprechenden Dienstleister können ihren Sitz im Ausland haben,
          weshalb auch eine grenzüberschreitende Weitergabe der Daten ins Ausland möglich
          ist.

          In anderen Fällen, soweit für die Weitergabe ihrer personenbezogenen Daten an
          Dienstleister aus datenschutzrechtlichen Gründen Ihre Einwilligung erforderlich ist,
          informieren wir Sie gesondert und übermitteln Ihre Daten nicht ohne Ihre vorherige
          Einwilligung.“

Insgesamt ist zweifelhaft, ob in die in der Datenschutzerklärung der HCA beschriebene
Datennutzung wirksam eingewilligt werden kann. Auf der einen Seite trägt die Erklärung den
Zulässigkeitsvoraussetzungen in dem Sinne Rechnung, dass der Betroffene über eine
Einwilligung     gesondert    informiert   wird.    Inwiefern     diese    Aufklärung      den
datenschutzrechtlichen Voraussetzungen genügt, ist für die Autorinnen nicht absehbar, da
die diesbezügliche Datenschutzerklärung nicht im Internet zu finden ist. Auf der anderen
Seite fehlt es an der Bestimmtheit der Aufklärung insbesondere in Bezug auf die Weitergabe
von Daten an Dritte. Es wird nicht deutlich, unter welchen Bedingungen Daten genutzt
werden dürfen. Es ist nicht klar, was unter „soweit wir diese Dienstleister zu streng
weisungsgebundenen Datenverarbeitung als Auftragsdatenverarbeiter verpflichtet haben,
bedarf eine Datenverarbeitung ... keiner Einwilligung durch sie“ zu verstehen ist. Es ist nicht
klar, wer diese Dienstleister sind, noch welche Daten genau an diese im Rahmen einer
„Auftragsdatenverarbeitung“ weitergeleitet werden.

    c. Eigene Geschäftszwecke § 28 BDSG
Fraglich ist ob die Verwendung und Erhebung von personenbezogenen Daten durch die
HCA auf Grundlage von § 28 BDSG erlaubt ist. Punkt 2 der Datenschutzerklärung beschreibt
die Verwendungszwecke:

            „ Die genannten Datenkategorien nutzen wir – und soweit dafür ihr Einverständnis
            erforderlich nur mit Ihrem Einverständnis – zur

      -     Bereitstellung der Funktionalitäten der App sowie der über die App angebotenen
            Dienste [Nutzer-Stammdaten, Geräte-Stammdaten, Geräte-Nutzungsdaten]
      -     Beseitigung von Störungen [Geräte-Stammdaten, Geräte-Nutzungsdaten]


                                               37