Praxishandbuch DSGVO. Tobias Rothkegel
das AGB-Recht hat starke Bezüge zum Datenschutzrecht. Dies ist dem Umstand geschuldet, dass die Verarbeitung personenbezogener Daten durch Unternehmen in vielen Fällen im Zusammenhang mit privatrechtlichen Vertragsverhältnissen erfolgt, z.B. mit Kunden oder Mitarbeitern. Besonders beachtenswert ist hierbei, dass vor allem „datenschutzrechtliche“ Vereinbarungen, allen voran vorformulierte Einwilligungserklärungen, im Regelfall einer AGB-Kontrolle i.S.d. §§ 305ff. BGB unterliegen.30
27
In der Praxis ist festzustellen, dass viele Unternehmen sich auch unnötig durch eine falsche Gestaltung eine vermeidbare AGB-Kontrolle einfangen; das gilt vor allem für Datenschutzerklärungen nach Art. 13 und 14 DSGVO. Dienen Datenschutzerklärungen ausschließlich der gesetzlich verlangten Informationserteilung, können sie einer AGB-Kontrolle nicht unterzogen werden.31 Soweit eine Datenverarbeitung jedoch Entgeltcharakter aufweist oder eine Datenschutzerklärung zusätzliche Pflichten der betroffenen Person begründen soll, schließt dies einen rein informativen Inhalt der Datenschutzerklärung aus und sie kann als Vertragsbestimmung i.S.d. § 305 Abs. 1 S. 1 BGB qualifiziert werden, die wiederum in vollem Umfang einer AGB-Kontrolle unterliegt.32 Schädlich kann in diesem Zusammenhang insbesondere eine zu starke Verzahnung der Datenschutzerklärung mit den Nutzungsbedingungen sein. In diesem Sinne hat das LG Berlin entschieden, dass eine „Privacy Policy“ der AGB-Kontrolle unterliegt, wenn diese nach ihrem objektivem Wortlaut bei dem Empfänger den Eindruck hervorruft, mit ihr solle der Inhalt eines vertraglichen oder Rechtsverhältnisses bestimmt werden.33
Praxishinweis
Es sollte deshalb dringend vermieden werden, von dem Nutzer zu verlangen, dass er sich „mit den Datenschutzhinweisen einverstanden erklärt“.
28
Gegenstand der AGB-Kontrolle können auch vom Unternehmen vorformulierte Leistungsbeschreibungen sein, die eine Datenverarbeitung überhaupt erst zur Erfüllung des Vertrags erforderlich machen.34
Praxishinweis
Ein in der Praxis ebenfalls sehr häufig anzutreffender Fehler besteht darin, den Nutzer auf der Grundlage eines allgemein vorformulierten Hinweises bestätigen zu lassen, dass er die Datenschutzerklärung gelesen oder zur Kenntnis genommen habe. Bereits eine solche Klausel ist i.S.d. § 309 Nr. 12b BGB als formularmäßig erteilte Tatsachenbestätigung unwirksam.35
29
Soweit eine Klausel der AGB-Kontrolle nicht standhält, können Unternehmen in vertragsrechtlicher Hinsicht nicht auf sie zurückgreifen. Dann könnte es passieren, dass Datenverarbeitungen ohne die notwendige Rechtsgrundlage stattfinden. Die Verwendung unwirksamer AGB kann zudem zu empfindlichen Folgen im Hinblick auf das UKlaG und UWG führen und eine Schadensersatzhaftung aus culpa in contrahendo nach sich ziehen.36
3. Besonderer Geheimnisschutz
30
In manchen Fällen werden personenbezogene Daten nicht nur durch die DSGVO und die bereichsspezifischen Datenschutzgesetze geschützt, sondern zusätzlich durch besondere gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten.
a) Berufsrechtliche Schweigepflichten
31
So unterliegen z.B. Geheimnisse, die einem Arzt, Apotheker, Rechtsanwalt, Notar, Steuerberater oder Wirtschaftsprüfer in dessen jeweiliger Funktion anvertraut worden sind, einer gesetzlichen Schweigepflicht, die auch über den Tod der betroffenen Person hinaus gilt. Diese Pflicht bestimmter Berufsträger zur Verschwiegenheit ergibt sich primär aus den jeweils für sie geltenden berufsrechtlichen Vorschriften, also z.B. der Berufsordnung für Ärzte (vgl. § 9 MBO-Ä), für Rechtsanwälte aus § 43a Abs. 2 BRAO und § 2 BORA, für Notare aus § 18 BNotO, für Steuerberater aus § 57 Abs. 1 StBerG und für Wirtschaftsprüfer aus § 43 Abs. 1 S. 1 WiPrO. Solche Geheimnisse werden oftmals auch personenbezogene Daten umfassen; also z.B. soweit sie sich auf eine natürliche Person als Patient oder Mandant beziehen.
b) Strafrechtliche Schweigepflichten
32
Daneben und grundsätzlich unabhängig von den berufsrechtlichen Pflichten folgt eine gesetzliche Schweigepflicht – wiederum für Angehörige bestimmter Berufe – auch aus dem Strafrecht, und zwar aus § 203 StGB. Neben den oben genannten Berufsgruppen unterfallen dieser Klausel zusätzlich z.B. auch Angehörige von privaten Unfall-, Kranken- und Lebensversicherungen sowie die jeweils für sie berufsmäßig tätigen Gehilfen (z.B. Sprechstundenhilfen, Referendare etc.).
Praxishinweis
Im hiesigen Kontext besonders wichtig ist auch die Erstreckung der Geheimhaltungspflicht auf die jeweils bei den Verpflichteten bestellten (betrieblichen) Datenschutzbeauftragten: Nach § 203 Abs. 4 S. 1 StGB macht sich der Datenschutzbeauftragte einer Stelle, die dem Geheimhaltungsregime unterfällt, selbst strafbar, wenn er ein ihm in seiner Eigenschaft bekannt gewordenes Geheimnis offenbart.
33
In der Praxis wirkt sich die Überschneidung von Datenschutzrecht und gesetzlichen Schweigepflichten oft aus, wenn nach beiden Rechtsmaterien geschützte Informationen einem Dritten bekannt gegeben werden sollen, ohne dass eine gesetzliche Vorschrift dies anordnen oder gestatten würde. Wird hier datenschutzrechtlich also auf das Instrument einer Einwilligung gesetzt, ist die Erklärung parallel als eine wirksame Befreiung von der Schweigepflicht auszugestalten.37
c) Fernmeldegeheimnis
34
Eine auch in der Unternehmenspraxis relevante Berührung gibt es ferner zum Fernmeldegeheimnis nach § 88 TKG. Nach § 88 Abs. 2 S. 1 TKG ist jeder Diensteanbieter zur Wahrung des Fernmeldegeheimnisses verpflichtet. Diensteanbieter ist nach § 3 Nr. 6 TKG jeder, „der ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste“ mitwirkt. Telekommunikationsdienste sind nach § 3 Nr. 24 TKG „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen“.
35
Vor allem die Datenschutzaufsichtsbehörden sehen Arbeitnehmer als solche „Dritte“ im Sinne dieser Regelung an, wenn ihnen vom Arbeitgeber die Privatnutzung dienstlicher Telekommunikationsdienste wie z.B. der beruflichen E-Mail beziehungsweise des Internetzugang erlaubt werde.38 Die juristische Literatur beurteilt dies zwar wohl überwiegend anders39 und auch die Rechtsprechung hat sich bisher gegen eine Geltung des Fernmeldegeheimnisses in diesen Konstellationen ausgesprochen;40 es bleibt aber eine gewisse Rechtsunklarheit.
d) Schutz von Geschäftsgeheimnissen
36
Schließlich können sich datenschutzrechtliche Vorgaben überschneiden mit den Regelungen zum Schutz von Geschäftsgeheimnissen. Insoweit ist zunächst zu beachten, dass am 26.4.2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten ist, welches die EU-Geschäftsgeheimnisrichtlinie41 (verspätet) umgesetzt hat.
37
Geschäftsgeheimnisse sind Informationen, die nicht allgemein bekannt oder ohne Weiteres zugänglich, von wirtschaftlichem Wert und Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Geheimnisinhaber sind (§ 2 Nr. 1 GeschGehG). Dabei kann es sich, muss es sich aber nicht um personenbezogene Informationen handeln. Geschäftsgeheimnisse können neben (zumeist anonymen) Geschäftsstrategien, Businessplänen oder Marktanalysen