•   Angaben, die Sie im Rahmen der Registrierung machen, wie:
                  -   Vor- und Nachname
                  -    E-Mail-Adresse (Benutzerkennung)
                  -   das Land, indem Sie Ihr(e) Hausgerät(e) betreiben
                  -   Passwort als Zugriffschutz.
              •   Informationen, die wir im Zusammenhang mit der Registrierung erheben
                  und speichern:
                  - Spracheinstellung Ihres mobilen Endgerätes
                  -   Einverständnis mit der Geltung der Nutzungsbedingungen und
                      Bestätigung der Kenntnisnahme der Datenschutzerklärung
                  -   Status des Nutzerkontos (aktiviert/deaktiviert)
                  -   App Tracking-Voreinstellung (erfolgt in Abhängigkeit der Landeswahl,
                      siehe dazu unten 5.)


Geräte-Stammdaten umfassen Informationen über die mit der App verbundenen
Haushaltgeräte; diese sind auch Bestandsdaten i.S.d. §§ 28 I Nr. 1 BDSG, 14 I TMG.

                  -   Marke des Hausgerätes (z.B. Bosch oder Siemens)
                  -   Seriennummer und ggf. Fabrikationsdatum des Hausgerätes (sog. E-
                      Nummer und FD- Nummer, diese Angaben finden sich auch auf dem
                      Typenschild des Hausgerätes)
                  -   Die eindeutige Kennung des              im    Hausgerät   eingesetzten
                      Netzwerkadapters (sog. MAC-         Adresse).     Diese Daten werden
                      im   Rahmen    der     „Hausgerät   verbinden“-Funktion für jedes
                      verbundene Hausgerät Ihrem Nutzerkonto zugeordnet.


Gerätenutzungsdaten sind dagegen die personenbezogenen Daten, ohne die die App nicht
verwendet werden kann. Dies ist in der Regel die IP-Adresse und falls erforderlich Kennung
oder Standort. Die Zulässigkeit ihrer Erhebung und Verwendung richtet sich nach § 15 TMG.
Laut Nr. 1 lit b) sind die von der Home Connect erhobenen Geräte-Stammdaten:

                  -   Vorgenommene      Grundeinstellungen,   Programmauswahl und
                      Programmeinstellungen am Hausgerät oder über die App,
                  -   Gerätezustandsdaten wie Umgebungsbedingungen, Zustände von
                      Bauteilen, Zustandsänderungen am Hausgerät (z.B. Wechsel des
                      Betriebsmodus, Öffnen oder Schließen der Türe/des Frontpanels,
                      Temperaturänderungen, Füllstände) und Zustandsmeldungen des
                      Hausgerätes (z.B. Gerät ist überhitzt, Wassertank ist leer etc.).


App-Nutzungsdaten sind gem. Nr. 1 lit ) wiederum Inhaltsdaten, die sich aus der Interaktion
des Nutzers mit der App ergeben, wie z.B. verwendete Funktionalitäten der App,
Klickverhalten in Bezug auf Bedienelemente der App, Auswahl in Dropdown-Menüs,


                                              35

Einstellungen von On/Off-Schaltern. Solche Daten werden gem. Nr. 5 der HCA von Adobe
Analytics in Irland ausgewertet. Die Sammlung von App-Nutzungsdaten kann gem. Nr. 5
HCA außerdem vom Nutzer aktiviert oder deaktiviert werden.

   2. Zulässigkeit nach BDSG
Die Anwendbarkeit des BDSG für die HCA ergibt sich aus dem Territorialprinzip:136 Wenn
personenbezogene Daten durch Unternehmen mit Sitz bzw. einer Niederlassung im Inland,
soweit letztere effektiv und tatsächlich datenverarbeitende Tätigkeiten ausführt, erhoben,
verarbeitet und genutzt werden, finden gemäß § 1 Abs. 2 und Abs. 5 Satz 1 BDSG dieses
Gesetz und die datenschutzrechtlichen Regelungen der § 11 ff. TMG über den Verweis in §
3 Abs.3 Nr. 4 TMG Anwendung.137 Apps sind Telemediendienste und unterliegen den
Rechtsvorschriften des TMG. Beim TMG handelt es sich um eine bereichsspezifische
Regelung, deren Ziel es ist, die generellen Anforderungen des BDSG in besonders
datenschutzsensiblen Bereichen zu präzisieren und weiterzuentwickeln.

    a. Verantwortliche Stelle
In Bezug auf die gesetzlichen Anforderungen muss zwischen dem Vertrieb und der Nutzung
der App unterschieden werden. Aus datenschutzrechtlicher Sicht bringt der Vertrieb der App
keine Besonderheiten mit sich.138 Verantwortliche Stelle ist beim Vertrieb der App der App-
Store-Betreiber. Da der Betreiber bei der Nutzung der App nach der Installation keinen
Einfluss mehr hat, ist nun der Anbieter verantwortliche Stelle139 und hat dafür zu sorgen,
dass die Pflichten des BDSG, soweit nicht das TMG vorrangig anzuwenden ist, eingehalten
werden.140

Die Datenschutzerklärung der HCA erklärt, dass die Home Connect GmbH mit Sitz in
München die verantwortliche Stelle für die Erhebung, Verarbeitung und Nutzung der
personenbezogenen Daten im Zusammenhang mit der HCA ist.

    b. Einwilligung
Für die App als Telemediendienst gilt § 13 TMG (vgl. § 33 BDSG): Der Anbieter muss den
Nutzer über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener
Daten informieren. Diese Information muss bereits vor Beginn des Nutzungsvorgangs
erfolgen, so dass die Datenschutzerklärung bereits im App-Store oder mindestens vor dem
Start der App zum Abruf bereitgehalten werden muss. Darüber hinaus muss die – gut
lesbare – Datenschutzerklärung auch während der Nutzung der App jederzeit abrufbar sein.
Eine bloße Verlinkung auf die Datenschutzerklärung einer Webseite ist nicht ausreichend.
Bei einer elektronischen Einwilligung sind die Voraussetzungen des § 13 TMG zu beachten.

136
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 48 zu § 28 Apps und Social Media.
137
    Sachs/Meder, „Datenschutzrechtliche Anforderungen an App-Anbieter - Prüfungen am Beispiel von
Android-Apps“, (2013), Zeitschrift für Datenschutz, Heft 7, S. 303-308, S. 304.
138
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 46 zu § 28 Apps und Social Media.
139
    Kremer, „Datenschutz bei Entwicklung und Nutzung von Apps für Smart Devices“, (2002),
Computer und Recht, Heft 7, S. 438-446, S. 439.
140
    Kremer, Handbuch IT- und Datenschutzrecht, Auer-Reinsdorff/Conrad (Hrsg.), (C.H. Beck Verlag,
2016), Rn. 48 zu § 28 Apps und Social Media.

                                               36

Liegen weder eine gesetzliche Erlaubnis noch eine Einwilligung des Betroffenen vor, ist die
Datenverarbeitung gesetzeswidrig.

Eine Datenschutzerklärung für die HCA (nachfolgend „App“) ist grundsätzlich vorhanden.
Diese ist auch vor Installation der App auffindbar.

Die Datenschutzerklärung der HCA klärt außerdem über die Datenübermittlung an Dritte auf.

          Zur Realisierung der App und der darüber angebotenen Dienstleistungen arbeiten wir
          mit verschiedenen Dienstleistern zusammen. Soweit wir diese Dienstleister zur streng
          weisungsgebundenen Datenverarbeitung als Auftragsdatenverarbeiter verpflichtet
          haben, bedarf eine Datenverarbeitung durch diese Dienstleister keiner Einwilligung
          durch Sie. Die entsprechenden Dienstleister können ihren Sitz im Ausland haben,
          weshalb auch eine grenzüberschreitende Weitergabe der Daten ins Ausland möglich
          ist.

          In anderen Fällen, soweit für die Weitergabe ihrer personenbezogenen Daten an
          Dienstleister aus datenschutzrechtlichen Gründen Ihre Einwilligung erforderlich ist,
          informieren wir Sie gesondert und übermitteln Ihre Daten nicht ohne Ihre vorherige
          Einwilligung.“

Insgesamt ist zweifelhaft, ob in die in der Datenschutzerklärung der HCA beschriebene
Datennutzung wirksam eingewilligt werden kann. Auf der einen Seite trägt die Erklärung den
Zulässigkeitsvoraussetzungen in dem Sinne Rechnung, dass der Betroffene über eine
Einwilligung     gesondert    informiert   wird.    Inwiefern     diese    Aufklärung      den
datenschutzrechtlichen Voraussetzungen genügt, ist für die Autorinnen nicht absehbar, da
die diesbezügliche Datenschutzerklärung nicht im Internet zu finden ist. Auf der anderen
Seite fehlt es an der Bestimmtheit der Aufklärung insbesondere in Bezug auf die Weitergabe
von Daten an Dritte. Es wird nicht deutlich, unter welchen Bedingungen Daten genutzt
werden dürfen. Es ist nicht klar, was unter „soweit wir diese Dienstleister zu streng
weisungsgebundenen Datenverarbeitung als Auftragsdatenverarbeiter verpflichtet haben,
bedarf eine Datenverarbeitung ... keiner Einwilligung durch sie“ zu verstehen ist. Es ist nicht
klar, wer diese Dienstleister sind, noch welche Daten genau an diese im Rahmen einer
„Auftragsdatenverarbeitung“ weitergeleitet werden.

    c. Eigene Geschäftszwecke § 28 BDSG
Fraglich ist ob die Verwendung und Erhebung von personenbezogenen Daten durch die
HCA auf Grundlage von § 28 BDSG erlaubt ist. Punkt 2 der Datenschutzerklärung beschreibt
die Verwendungszwecke:

            „ Die genannten Datenkategorien nutzen wir – und soweit dafür ihr Einverständnis
            erforderlich nur mit Ihrem Einverständnis – zur

      -     Bereitstellung der Funktionalitäten der App sowie der über die App angebotenen
            Dienste [Nutzer-Stammdaten, Geräte-Stammdaten, Geräte-Nutzungsdaten]
      -     Beseitigung von Störungen [Geräte-Stammdaten, Geräte-Nutzungsdaten]


                                               37

-   Verbesserung der Benutzerfreundlichkeit der App [App-Nutzungsdaten]
      -   Verbesserung unseres Produkt- und Dienstleistungsangebots, insbesondere im
          Hinblick auf nicht genutzte Programme und sonstige Funktionen der App und des
          Hausgerätes [Geräte-Nutzungsdaten, App-Nutzungsdaten]“

Die Autorinnen halten die Datenschutzerklärung der HCA für teilweise unzulässig gem. § 28 I
Nr. 1 BDSG. Wie oben ausgeführt, leitet sich die Zweckbestimmung aus den dem
Rechtsgeschäft zugrunde liegenden Willenserklärungen ab; es muss ein unmittelbarer
sachlichen Zusammenhang geben zwischen Datenerhebung und Geschäftszweck geben.
Dabei sind die Grundsätze der Datenvermeidung und Datensparsamkeit zu beachten. Vor
diesem Hintergrund muss der Geschäftszweck ohne die Daten nicht erreichen lassen.

Hinsichtlich der Bereitstellung der Funktionalität der App und ihrer Dienste sowie der
Beseitigung von Störungen gibt es einen sachlichen Zusammenhang zwischen
Datenerhebung und Geschäftszweck. Die Nutzer- und Gerätestammdaten sind erforderlich,
um den Nutzer und Empfänger der Dienstleistungen zu identifizieren. Dazu gehört auch die
IP-Adresse des Nutzers, welche nach § 15 TMG zulässigerweise erhoben werden kann.
Damit sind diese Daten notwendig für die Funktionalität der App und ihrer Dienste. Ebenso
ist die Beseitigung von Störungen abhängig von diesen Daten und notwendig für die
Erreichung des Vertragszwecks und der Erbringung der Vertragsleistung (Zur-Verfügung-
Stellen einer funktionsfähigen App).

Allerdings erscheinen die Erhebung und Verarbeitung von App- und Gerätenutzungsdaten
nicht für Zwecke der Verbesserung der Benutzerfreundlichkeit und des Produkts- und
Dienstleistungsangebots erforderlich. Die Erbringung der Leistung (funktionsfähige App) hat
zunächst einmal nichts mit ihrer Benutzerfreundlichkeit zu tun. Dabei handelt es sich nicht
um zugrundeliegende Vertragszwecke, sondern vielmehr um Kundenservice und –
bindungszwecke. Sie sind nicht erforderlich, um die Funktionalität der App an sich zu
gewährleisten. Daher sind unter Berücksichtigung der Grundsätze der Datenvermeidung
und Datensparksamkeit die Erhebung und Verwertung der App- und Gerätenutzungsdaten
zu solchen Zwecken nicht gem. § 28 I Nr. 1 BDSG zulässig.

Die Erhebung und Verarbeitung von App- und Gerätenutzungsdaten ist auch nicht nach § 28
I Nr. 1 BDSG zulässig, da in der Abwägung zwischen dem berechtigen wirtschaftlichen
Interesse des die App anbietenden Unternehmens und dem schutzwürdigen Interesse des
Betroffenen letzteres überwiegt. Wie oben erwähnt, muss das Interesse an der
Datennutzung im Hinblick auf seinen Zweck, den Verwendungsspielraum für
Datenerhebungen und –nutzung einzuschränken und dem Recht der informationellen
Selbstbestimmung dagegen möglichst weite Geltung auch in Anbetracht von
Einschränkungen zu verschaffen, restriktiv ausgelegt werden. Aus den Daten über die
Nutzung der App und des Haushaltgeräts lassen sich Rückschlüsse auf das Verhalten und
die Nutzungsgewohnheiten des Betroffenen schließen. Damit geht es nicht mehr um eine
rein technische Nutzung der Daten, sondern um das Verstehen von Nutzungs- und
Verhaltensmustern, die es dem datenerhebenden Unternehmen ermöglichen, Produkte und
Dienstleistungen entsprechend anzupassen.

                                            38

Es lässt sich festhalten, dass die HCA in mehrerer Hinsicht nicht den Anforderungen des
TMG und des BDSG genügt. Hinsichtlich der Einwilligung ist es zumindest unter
Zugrundlegung der Datenschutzerklärung (unter Nichtberücksichtigung der Einholung
gesonderter Einwilligungen) unzulässig, nicht konkret den Umfang der Einwilligung zu
benennen und von der Datenerhebung und –speicherung zu Geschäftszwecken
abzutrennen. Der Verbraucher wird hier nicht in eine Lage versetzt, in der er sein Recht auf
informationelle Selbstbestimmung in Kenntnis der tatsächlichen Sachlage ausüben kann.
Darüber hinaus sind die Bestimmungen bezüglich der Daten von App- und Gerätenutzung
nicht vom Vertragszweck gedeckt. Ob darüber hinaus eine Einwilligung vom Betroffenen
eingeholt wird, hängt von der AGB-Kontrolle ab.

Es bleibt weiterhin festzustellen, dass die in den AGB enthaltene Einwilligung jedenfalls nicht
den neuen Rahmenbedingungen der DSGVO gerecht wird. Gem. Erwägungsgrund 32 soll
eine Einwilligung „differenziert“ möglich sein, d.h. verschiedene Datenverarbeitungsvorgänge
bedürfen getrennten Einwilligungen. Eine solche Differenzierung ist in den AGB der HCA
AGB      nicht     möglich.      Vielmehr     wird     eine    Globaleinwilligung  für     alle
Datenverarbeitungsprozesse (mit Ausnahme der App-Nutzungsdaten, s. Nr. 5 der
Datenschutzerklärung der HCA) verlangt.

    3. Wirksamkeit nach AGB-Recht
Damit also die Datenschutzerklärung der HCA einer AGB-Kontrolle unterzogen werden kann,
muss es sich bei ihr auch um AGB handeln. Vorliegend gibt es neben der
Datenschutzerklärung auch Nutzungsbedingungen für die HCA sowie Nutzungsbedingungen
für das Home Connect System. Für die Nutzungsbedingungen für die HCA gilt, dass diese
mit Abschluss der Registrierung bindende Vertragsgrundlage für die Nutzung der HCA,
werden.

   a. Datenschutzerklärung als AGB
In den Nutzungsbedingungen für das Smart Home System findet sich unter Punkt 13
„Datenschutzrechtliche Einwilligung“ ein Abschnitt zum Thema Datennutzung:

           „Sie willigen ein, dass die Home Connect GmbH Ihre Registrierungsdaten, Daten
           aus der Nutzung der App und Daten aus der Nutzung des Hausgeräts
           ("Personenbezogenen Daten") erheben, verarbeiten und nutzen darf, um Ihre
           möglichen Interessen an bestimmten Produkten und Dienstleistungen der Home
           Connect GmbH und von Dritten für Werbezwecke zu ermitteln und entsprechend
           dieser ermittelten Interessen Produkt- und Dienstleistungsinformationen
           innerhalb der App darzustellen. Die für diese Zwecke verarbeiteten
           Personenbezogenen Daten umfassen: Registrierungsdaten: Vor- und Nachname,
           E-Mail-Adresse, durch die Verbindung mit dem Hausgerät automatisch erhobene
           Informationen zur Art und zum Model des Haushaltsgeräts. Daten aus der
           Nutzung der App: Verwendete Funktionen und Bereiche der App, erteilte Befehle
           zur Steuerung des Hausgeräts, aufgerufene Rezeptempfehlungen, IP-Adresse,
           Interaktion mit Werbeeinblendung. Daten aus der Nutzung des Hausgeräts: Art



                                              39

und Model des Hausgeräts, verwendete Programme, Standort des Hausgeräts,
               Wasserhärte am Standort des Hausgeräts und Nutzungsweise des Hausgeräts“

Diese datenschutzrechtliche Einwilligung ist für eine unbestimmte Anzahl von Verträgen
vorformuliert, die der App-Anbieter dem Verbraucher vorlegt. Der Verbraucher hat zumeist
keine andere Wahl, als diese zu akzeptieren. Nach der oben genannten Definition handelt es
sich zumindest hierbei um AGB, welche einer Inhaltskontrolle nach den §§ 305 ff. BGB
unterzogen werden kann.

   b. Klauselverbote mit Wertungsmöglichkeit, § 308 BGB
Zunächst könnte untersucht werden, ob die Bestimmungen der Datenschutzerklärung der
HCA gegen § 308 BGB verstößt. § 309 BGB erscheint nicht einschlägig.

Beispielsweise ist zu untersuchen, ob Nr. 8 der Datenschutzerklärung gegen § 308 BGB
verstößt. Der Punkt ist mit „Änderung der Datenschutzerklärung“ überschrieben und besagt:

               Im Zuge der Weiterentwicklung der App – unter anderem bedingt durch die
               Implementierung neuer Technologien oder die Einführung neuer Dienstleistungen
               – kann es erforderlich werden, diese Datenschutzerklärung anzupassen. Home
               Connect behält sich das Recht vor, die vorliegende Erklärung nach Bedarf zu
               ändern oder zu ergänzen. Home Connect wird immer die aktuelle Fassung der
               Datenschutzerklärung in der App hinterlegen, so dass Sie sich jederzeit über die
               aktuelle Fassung der Datenschutzerklärung informieren können.

Diese Klausel könnte einen unzulässigen Änderungsvorbehalt darstellen, § 308 Nr. 4.
Danach ist die Vereinbarung eines Rechts des Verwenders, die versprochene Leistung zu
ändern oder von ihr abzuweichen, unzulässig, wenn nicht die Vereinbarung der Änderung
oder Abweichung unter Berücksichtigung der Interessen des Verwenders für den anderen
Vertragsteil zumutbar ist. Das LG Berlin hat in einem Fall die Google-Nutzungsbedingungen
betreffend141 geurteilt, dass eine Klausel zur Aktualisierung gegen §§ 307 I i.V.m. II Nr. 1,
307 II, 308 Nr. 4 BGB verstößt, da nach der kundenfeindlichsten Auslegung die
beanstandete Klausel so zu verstehen ist, dass sich die Änderung der Bedingungen auch auf
bereits getroffene Vereinbarungen auswirkt, was nach § 305 Abs. 2 BGB unzulässig ist. In
Bezug auf Punkt 8 Änderung der Datenschutzerklärung bedeutet das, dass auch diese
Klausel nach der verbraucherfeindlichsten Auslegung dahingehend verstanden werden
muss, dass sich die Änderung der Bedingungen auf die getroffenen Vereinbarungen in der
Datenschutzerklärung auswirkt. Aus der Klausel ergibt sich jedoch, dass man sich jederzeit
über die aktuelle Fassung der Datenschutzerklärung informieren kann, welche in der App
hinterlegt ist. In diesem Zusammenhang wird der Verbraucher jedoch nicht darüber
aufgeklärt, ob überhaupt eine Änderung stattfand. Dies müsste er dann sozusagen selbst
herausfinden. Das ist ihm nicht zumutbar, da dies eine permanente Kontroll- und Prüfpflicht
bedeuten würde. Die Klausel ist nach § 308 Nr. 4 BGB unwirksam. Die jederzeitige
Abänderbarkeit der Datenschutzbestimmungen verstößt zudem gegen die §§ 4, 4a BDSG,


141
      LG Berlin, Urteil vom 19.11.2013 - 15 O 402/12.

                                                    40

wonach die Einwilligung klar und auf eine hinreichend bestimmte Datenerhebung und -
nutzung beschränkt sein muss.

    c. Unangemessene Benachteiligung, § 307 BGB
Bedenken bestehen jedoch bezüglich § 307 I 1 BGB, wonach eine unangemessene
Benachteiligung entgegen Treu und Glauben vorliegt. Danach ist im Zweifel eine
unangemessene Benachteiligung des Vertragspartners anzunehmen, wenn von den
wesentlichen Grundgedanken des (dispositiven) Gesetzesrechtes in einer nicht zu
vereinbarenden Weise abgewichen wird. Der Schwerpunkt der Prüfung liegt also in der
Klärung der Frage, ob eine Abweichung vom materiellen Gesetzesrecht vorliegt.

Nr. 4 „Übermittlung oder Weitergabe Ihrer Daten an Dritte“ der HCA-Datenschutzerklärung
könnte hier auf Vereinbarkeit mit § 307 II NR. 1 BGB überprüft werden. Sie besagt:

               Zur Realisierung der App und der darüber angebotenen Dienstleistungen
               arbeiten wir mit verschiedenen Dienstleistern zusammen. Soweit wir diese
               Dienstleister zur streng weisungsgebundenen Datenverarbeitung als
               Auftragsdatenverarbeiter verpflichtet haben, bedarf eine Datenverarbeitung durch
               diese Dienstleister keiner Einwilligung durch Sie. Die entsprechenden
               Dienstleister können ihren Sitz im Ausland haben, weshalb auch eine
               grenzüberschreitende Weitergabe der Daten ins Ausland möglich ist.

               In anderen Fällen, soweit für die Weitergabe Ihrer personenbezogenen Daten an
               Dienstleister aus datenschutzrechtlichen Gründen Ihre Einwilligung erforderlich
               ist, informieren wir Sie gesondert und übermitteln Ihre Daten nicht ohne Ihre
               vorherige Einwilligung.

Das LG Berlin hat in seinem Urteil bezüglich der Google-Nutzungsbedingungen142 eine
Klausel zur Datensicherheit im Falle eines Unternehmenszusammenschlusses oder –
erwerbs für unzulässig gem. § 307 Abs. 1 i.V.m. Abs. 2 Nr. 1 BGB, §§ 12 ff. TMG, §§ 4, 4a
BDSG erklärt, da sich die Klausel auf zukünftige Umstände bezieht. Eine solche zukünftige
Weitergabe könne nur durch Einwilligung des Verbrauchers im Bedarfsfalle legitimiert
werden. Eine Blanko-Einwilligung ohne Hinweise auf konkrete Umstände erfüllt nicht die
Anforderungen an eine wirksame Einwilligung. Soweit sich Google darauf berief, dass bei
Unternehmenszusammenschlüssen keine Weitergabe der Daten an Dritte erfolge, handelte
es sich lediglich um einen Teilaspekt der verwendeten Klausel. Dem Verbraucher sei bei
Abgabe seiner Willenserklärung nicht hinreichend deutlich, an wen seine Daten
möglicherweise weitergegeben werden und ob diese, wie von Google behauptet,
„vertraulich” behandelt werden. Ähnlich liegt der Fall hier: Es wird lediglich behauptet, dass
dritte Dienstleister zur „weisungsgebundenen Datenverarbeitung“ verpflichtet seien; eine
konkrete Nennung dieser Dienstanbieter erfolgt nicht. Außerdem wird eine
grenzüberschreitende Weitergabe der Daten ins Ausland als potenziell möglich in Aussicht
gestellt: In diesem Zusammenhang stellen sich mehrere klärungsbedürftige Fragen: In
welches Ausland werden die Daten übermittelt? Darüber hat der App-Nutzer keine Kontrolle,
142
      LG Berlin, Urteil vom 19.11.2013 - 15 O 402/12.

                                                    41

da diese „überall“ sein könnten. Zudem werden auch die Drittdienstleister nicht offen gelegt.
Zwar sind diese ausweislich der Bestimmung streng weisungsgebunden, es ist aber dennoch
unklar zu welchem Zweck genau die Daten weitergegeben werden. „Weisungsgebundenheit“
schließt zudem das vertrauliche Behandeln nicht ein. Eine Einwilligung, zur Datenweitergabe
an unbekannte zwar weisungsgebundene Drittdienstleister, für nicht erforderlich zu
bestimmen, hat sodann die Nichtigkeit nach § 307 Abs. 2 Nr. 1 BGB zur Folge.

Auch Nr. 5 zur Erfassung der App-Nutzung könnte gegen § 307 II Nr. 1 BGB verstoßen. Der
Wortlaut der Nr. 5 ist wie folgt:

            Die App bietet die Möglichkeit zur Erfassung von App-Nutzungsdaten (siehe
            oben 1.d.) und setzt dazu den Dienst Adobe Analytics von Adobe Systems
            Software Ireland Limited, … (nachfolgend „Adobe“) ein.

            Soweit die Funktion „Nutzungsdaten erfassen“ aktiviert ist, werden App-
            Nutzungsdaten an einen Server von Adobe gesendet, die eine Analyse der
            Benutzung der App durch Sie ermöglichen (siehe oben 1.d.). Die App-
            Nutzungsdaten werden in der Regel an einen Server von Adobe in den USA
            übertragen und dort gespeichert. Für diese App wurde die IP-Anonymisierung
            aktiviert, so dass die von Ihnen verwendete IP-Adresse zuvor gekürzt wird. Im
            Auftrag von Home Connect wird Adobe diese Informationen benutzen, um Ihre
            Nutzung der App auszuwerten und um Reports über die App-Aktivitäten für
            Home Connect zusammenzustellen. Die im Rahmen von Adobe-Analytics von
            Ihrem mobilen Endgerät übermittelte IP-Adresse wird ohne Ihr gesondertes
            Einverständnis nicht mit anderen Daten von Adobe oder von Home Connect
            zusammengeführt.

            Sie können die Erfassung von App-Nutzungsdaten (inkl. Ihrer IP-Adresse) durch
            Adobe sowie die Verarbeitung dieser Daten durch Adobe steuern, indem Sie die
            Funktion „Nutzungsdaten erfassen“ aktivieren oder deaktivieren. Je nach
            Rechtslage in Ihrem Land kann es sein, dass die Funktion „Nutzungsdaten
            erfassen“ standardmäßig aktiv ist.

Zunächst ist festzustellen, dass die Verkürzung der IP-Adresse ein geeignetes Mittel der
Anonymisierung      ist   und   datenschutzrechtlichen   Vorgaben    entspricht.143  Die
Zusammenführung der IP-Adresse mit anderen Daten von Adobe Analytics oder der HCA
wird nicht ohne eine abzurufende Einwilligung geschehen.

Allerdings ist die Zulässigkeit der Aktivierungs- bzw. Deaktivierungsfunktionen der HCA
fraglich. Wiederum das LG Berlin hatte geurteilt, dass eine Regelung dem Transparenzgebot
widerspreche, wenn es Sache des Verbrauchers wird, sich die Bedingungen, die auf sein
Nutzungsverhältnis anzuwenden sind, zusammenzusuchen. Aus der Klausel selbst ist nicht
klar erkennbar, welche Konditionen auf sein konkretes Rechtsverhältnis anwendbar sind. So


143
   Der Sächsische Datenschutzbeauftragte hat Richtlinien in diesem Sinne veröffentlicht,
<https://www.saechsdsb.de/ipmask> (zuletzt abgerufen am 30.11. 2016).

                                                 42

weiß er nicht, ob die Funktion „Nutzungsdaten erfassen“ schon als Voreinstellung aktiviert ist
oder nicht. Ist dies der Fall werden Benutzungsanalysen durchgeführt. Wo diese stattfinden
ist zudem unklar, da in der Bestimmung von „in der Regel USA“ die Rede ist. Zwar wird
ausgesagt, dass die Verarbeitung der Daten durch Adobe gesteuert werden kann, indem die
Funktion „Nutzungsdaten erfassen aktiviert oder deaktiviert werden kann“ – es ist jedoch
fraglich, ob dann jegliche Benutzungsanalyse unterlassen wird, da dies nicht explizit aus der
Bestimmung hervorgeht. Die Klausel verstößt somit nach Auffassung der Verfasserinnen
gegen das Transparenzgebot und ist nach § 307 Abs. 2 Nr. 1 BGB unwirksam.

Außerdem könnte Punkt 2 der HCA-Datenschutzerklärung ebenfalls nach § 307 Abs. 2 Nr. 1
BGB unwirksam sein:

               Die genannten Datenkategorien nutzen wir – und soweit dafür Ihr Einverständnis
               erforderlich nur mit Ihrem Einverständnis – zur

                   -   Bereitstellung der Funktionalitäten der App sowie der über die App
                       angebotenen Dienste (1.a.-c.)
                   -   Beseitigung von Störungen (1.b. und c.)
                   -   Verbesserung der Benutzerfreundlichkeit der App (1.d.)
                   -   Verbesserung     unseres  Produkt-   und    Dienstleistungsangebots,
                       insbesondere im Hinblick auf nicht genutzte Programme bzw. häufig
                       genutzte Programme und sonstige Funktionen der App und des
                       Hausgerätes (1.c. und d.)

Das LG Berlin hat in einer Entscheidung über die Datenschutzklauseln von Apple144
entschieden, dass eine Pauschaleinwilligung in verschiede Datenerhebungen zu
verschiedenen Zwecken unwirksam gem. §§ 307 I i.V.m. II Nr. 1 BGB, 4, 4a BDSG, 12, 13
TMG ist, da sie den Eindruck einer zwingenden, nicht zu verhindernden Einwilligung seitens
des Verbrauchers erweckt. In Nummern 1 und 2 der HCA-Datenschutzerklärung sind die
einzelnen Datenkategorien einzelnen Zwecken zugeordnet; allerdings ist zumindest die
Formulierung „Verbesserung der Benutzerfreundlichkeit der App und Verbesserung unseres
Produkt-und Dienstleistungsangebots, insbesondere im Hinblick auf nicht genutzte
Programme bzw. häufig genutzte Programme und sonstige Funktionen der App und des
Hausgerätes“ beinahe identisch mit der dem LG Berlin vorliegenden rechtswidrigen Klausel
von Apple.145 Folgt man der Argumentation des LG Berlin kann man darin ebenfalls eine
Pauschaleinwilligung sehen, die den Eindruck einer zwingenden, nicht zu verhindernden
Einwilligung seitens des Verbrauchers, weckt. Die Klausel wäre danach ebenfalls gemäß §
307 Abs. 2 Nr. 1 BGB unwirksam.




144
      LG Berlin, Urteil vom 30.04.2013 - 15 O 92/12.
145
      LG Berlin, Urteil vom 30.04.2013 - 15 O 92/12.

                                                       43

d. Rechtsfolgen
Generell bleibt der restliche Vertrag bestehen und von der Unwirksamkeit einer AGB-Klausel
unberührt, § 306 I BGB. Die Klauselrichtlinie regelt nicht, wie die unverbindliche Klausel
ersetzt wird.146 Ob und wie die Lücken geschlossen werden, ist Sache der Mitgliedstaaten.147

Durch das gesetzliche Verbot der geltungserhaltenden Reduktion, das von der
Rechtsprechung ausgestaltet wurde, soll dem Normzweck des AGB-Rechts Rechnung
getragen werden.148 Konnte der Verwender von AGB darauf vertrauen, eine unzulässige
Klausel werde im Streitfall vom Gericht auf das gerade noch zulässige Maß reduziert, wäre
nicht der Anreiz gegenüber dem Verwender gesetzt, unzulässige Klauseln zu vermeiden.149
Nach allgemeiner Ansicht kommt allerdings für die Verbandsklage eine geltungserhaltende
Reduktion ebenso wenig in Betracht, wie eine ergänzende Vertragsauslegung.150 Grund
dafür ist, dass es anders als im Individualprozess, um einen allgemeinen, rein vorbeugenden
Schutz des Rechtsverkehrs vor unangemessenen Bestimmungen geht und sich ein solcher
Schutz mit einer geltungserhaltenden Reduktion nicht verträgt.151

Die Wechselwirkung zwischen AGB-Recht und Datenschutzrecht ist nicht ganz klar.
Wendehorst argumentiert wegen des Verweises auf Richtlinie 93/13/EG152 für einen
umfassenden Prüfungsmaßstab für AGB- und Einwilligungskontrolle gleichermaßen. Darüber
hinaus dürften dieselben Umstände, die eine AGB-Klausel unwirksam machen, auch zu
einer Unwirksamkeit der datenschutzrechtlichen Einwilligung führen.153 Damit dürfte auch



146
    Basedow, Münchener Kommentar zum BGB, Säcker/Rixecker/Oetker/Limperg (Hrsg.), 7. Auflage
2016, C.H. Beck Verlag, Rn. 4 zu § 306 BGB; Schmidt, AGB-Recht Kommentar zu den §§ 305-310
BGB und zum UKlaG, Ulmer/Brandner/Hensen (Hrsg.), 12. Auflage 2016, Otto Schmidt Verlag, Rn. 4c
zu § 306 BGB; Wolf, AGB-Recht Kommentar, Wolf/Lindacher/Pfeiffer (Hrsg.), 6. Auflage 2013, C.H.
Beck Verlag, Rn. 7 zu RL Art. 6.
147
    Wolf, AGB-Recht Kommentar, Wolf/Lindacher/Pfeiffer (Hrsg.), 6. Auflage 2013, C.H. Beck Verlag,
Rn. 7 zu RL Art. 6.; Heinrichs, „Das Gesetz zur Änderung des AGB-Gesetzes Umsetzung der EG-
Richtlinie über mißbräuchliche Klauseln in Verbraucherverträgen durch den Bundesgesetzgeber“,
(1996), Neue Juristische Wochenschrift, Heft 34, S. 2190-2197, S. 2195 f.; Schmidt, AGB-Recht
Kommentar zu den §§ 305-310 BGB und zum UKlaG, Ulmer/Brandner/Hensen (Hrsg.), 12. Auflage
2016, Otto Schmidt Verlag, Rn. 4c zu § 306 BGB.
148
    Peterhänsel, Nomos Kommentar Gesamtes Arbeitsrecht, Boecken/Düwell/Diller/Hanau (Hrsg.),
Nomos Verlag 2016, Rn. 12 zu § 306 BGB.
149
    Ibid.
150
    BGH, Urteil vom 13.12.2006 - VIII ZR 25/06 (OLG Köln); Schmidt, Beck'scher Online-Kommentar
BGB. Bamberger/Roth (Hrsg.) 40. Edition 2016, C.H. Beck Verlag, Rn. 14 zu § 306 BGB.; Schmidt,
Vertragsfolgen der Nichteinbeziehung und Unwirksamkeit von Allgemeinen Geschäftsbedingungen,
(Deutscher Fachverlag, 1986), S. 136 f.; aA Graf v. Westphalen, „AGB-Recht im Jahr 2006“, (2007),
Neue Juristische Wochenschrift, Heft 31, S. 2228-2236, S. 2230.
151
    Basedow, Münchener Kommentar zum BGB, Säcker/Rixecker/Oetker/Limperg (Hrsg.), 7. Auflage
2016, C.H. Beck Verlag, Rn. 12 zu § 306 BGB; Schlosser, Kommentar zum Bürgerlichen Gesetzbuch:
Staudinger BGB - Buch 2: Recht der Schuldverhältnisse §§ 305-310; UKlaG (Recht der Allgemeinen
Geschäftsbedingungen), Staudinger (Hrsg.), 15. Auflage 2013, De Gruyter Verlag, Rn. 28 zu § 306
BGB; anders noch Hager, Gesetzes- und sittenkonforme Auslegung und Aufrechterhaltung von
Rechtsgeschäften, (C.H.Beck Verlag, 1983), S. 71.
152
    Richtlinie 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in
Verbraucherverträgen , ABl Nr. L 095 vom 21/04/1993 S. 0029 - 0034
153
    Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz-und Eigentumsverhältnissen beim
Internet der Dinge, (Studie im Auftrag des Sachverständigenrats für Verbraucherfragen 2016), S. 56-
57.

                                                44