Endlich offiziell mit Daten bezahlen

Das Verbraucherschutzrecht gilt nach den Neuregelungen dann, wenn ein Verbraucher dem Anbieter personenbezogene Daten i.S.d. DSGVO bereitstellt oder sich dazu verpflichtet. Ausgenommen sind personenbezogene Daten, die der Anbieter braucht, um seine Leistung zu erbringen. Wenn der Anbieter die bereitgestellten Daten nur zur Vertragserfüllung oder zur Erfüllung anderer rechtlicher Pflichten verarbeitet, ist das Verbraucherschutzrecht nicht anwendbar. Beispiele hierfür sind etwa die überlassene E-Mail-Adresse, um ein digitales Angebot zuzuschicken. Oder die Angabe von Rechnungsdaten, die der Anbieter zur Erfüllung von steuerrechtlichen Pflichten benötigt.

Bezahlen mit Daten/ Digitale Sachen

  • Warenkaufrichtlinie gibt vor, dass sie bis zum 1. Juli 2021 in nationales Recht umzusetzen und auf Verträge, die ab dem 1. Januar 2022 geschlossen werden, anzuwenden ist
  • Anwendung nur auf Verbraucherverträge
  • Verbraucherrechtliche Sonderbestimmungen hinsichtlich Mangelfreiheit, Rücktritt, Schadensersatz und Verjährung
  • Definition: eine Sache mit digitalem Element, eine Sache, die in einer solchen Weise digitale Inhalte oder digitale Dienstleistungen enthält oder mit ihnen verbunden ist, dass sie ihre Funktionen ohne diese digitalen Inhalte oder digitalen Dienstleistungen nicht erfüllen, kann
  • Verkäufer wird Aktualisierungspflicht für digitale Elemente auferlegt
  • Kaufvertrag wird dadurch teilweise zum Dauerschuldverhältnis
  • Ist die Dauer der Aktualisierungspflicht nicht vertraglich vereinbart, kommt es nach § 475b Abs. 4 Nr.2 BGB-E auf die objektiv zu bestimmende und damit vernünftigerweise zu erwartende Verbrauchererwartung an
  • Verlängerung der Beweislastumkehr für Verbraucher:477 Abs. 1 BGB-E verlängert Beweislast von 6 Monaten auf ein Jahr. Wird die dauerhafte Bereitstellung des digitalen Elements vertraglich geschuldet, gilt die Beweislastumkehr nach Absatz 2 sogar für den vereinbarten Bereitstellungszeitraum, mindestens aber für zwei Jahre
  • Dreiteilung des Mängelrechts: Für Sachen mit digitalen Elementen, gilt ebenfalls § 434 BGB-E, ergänzt um die neuen §§ 475b Abs. 2 – 4 BGB-E und c BGB-E. Liegt keine qualifizierte Verbindung zwischen der Sache und dem digitalen Element vor, bestimmt sich die Mangelfreiheit des digitalen Elements nach den neuen §§ 327d ff. BGB-E
  • Die Zahlung eines Geldbetrages und das Zurverfügungstellen von personenbezogenen Daten wird im Rahmen des Verbraucherschutzrechts gleichgestellt, womit das Verbraucherschutzrecht und insbesondere die damit verbundenen Transparenz- und Belehrungspflichten sowie die Regelungen zum Widerrufsrecht nunmehr ausdrücklich Anwendung finden
  • Für Verträge, welche durch zwei übereinstimmende Willenserklärungen mit Rechtsbindungswillen zustande gekommen sind
  • Sowohl das aktive Bereitstellen der Daten durch den Verbraucher als auch das passive Dulden der Datenerhebung umfasst. Ausgenommen sind solche Daten, die der Anbieter zur Abwicklung der Leistung benötigt, z.B. eine E-Mail-Adresse oder Rechnungsdaten
  • Besserer Schutz der Verbraucher und der Durchsetzbarkeit ihrer Rechte
  • Anbieter sind verpflichtet, die Hauptleistungspflichten des Vertrags klar darzulegen, d.h. welche Daten werden für welche Leistung und für welchen Zweck zur Verfügung gestellt
  • Vorteile für Unternehmen: rechtssicheres Anbieten der Produkte und Leistungen wird möglich
  • Kündigungsrecht für Anbieter: wenn der Verbraucher seine datenschutzrechtliche Einwilligung widerruft und eine Fortsetzung des Vertragsverhältnisses dem Anbieter nicht zumutbar ist, vgl. § 327q Abs. 2 BGB E
  • Gesetzgeber differenziert zwischen den insofern „erforderlichen“ personenbezogenen Daten und den darüberhinausgehenden, z.B. für die Profilbildung zu Werbezwecken erhobenen Daten
  • Unterscheidung kommt auch in § 312 Abs. 1a S. 2 BGB nF zum Ausdruck, wenn der Gesetzgeber Daten, die der Anbieter ausschließlich zur Erbringung seiner Leistungspflicht oder an ihn gestellten rechtlichen Anforderung gesondert erwähnt und für diesen Fall die Anwendung des Verbraucherschutzrechts ausschließt
  • Einwilligung in die beabsichtigte Verarbeitung personenbezogener Daten der Nutzer erforderlich, soweit diese nicht zur Erfüllung der Leistungspflicht oder rechtlicher Anforderungen, die an den Unternehmer gestellt werden, erfolgt
  • Gesetzgeber geht sowohl in der Gesetzbegründung als auch durch die Statuierung eines Kündigungsrechts für den Fall des Widerrufs der datenschutzrechtlichen Einwilligung, davon aus, dass eine solche regelmäßig erforderlich ist
  • Anerkennung, dass das Geschäftsmodell Daten gegen Leistung grundsätzlich im Rahmen der Vertragsfreiheit zulässig ist
  • Erteilte Einwilligungen scheitern nicht wegen Art. 7 Abs. 4 DS-GVO an der fehlenden Freiwilligkeit.

Wenn Algorithmen zum Problem werden

Die Vernachlässigung des Datenschutzes kann teuer werden, das musste nun der italienische Lieferdienst Foodinho am eigenen Leib erfahren.

Dieser Lieferdienst führte eine digitale Plattform ein, auf welcher Foodinho die Aufträge automatisiert an die 19.000 Lieferfahrer des Unternehmens verteilt, wie üblich läuft auch diese digitale Plattform mit Hilfe von Algorithmen. Ein Verstoß ergibt sich daraus, dass die betroffenen Personen diese automatisierte Entscheidung nicht widerrufen konnten. Außerdem erhielten die Lieferfahrer keinerlei Einweisung in das von ihnen benutzte System und hatten dadurch keinerlei Einblick in die Funktionsweise.

Die Plattform verlangte eine Vielzahl von Daten der Arbeiter, da ein Nutzerprofil für die Nutzung der Software erforderlich war, es mussten mehr Daten angegeben werden, als notwendig gewesen wären außerdem wurde die Speicherdauer der Daten nicht vorab definiert. Die Algorithmen könnten teilweise dazu führen, dass manche Lieferfahrer aufgrund ihrer abgegebenen Daten und der folgenden Datenanalyse der Algorithmen keine Aufträge mehr erhalten würden.

Ein weiter Verstoß lag darin, dass kein Datenschutzbeauftragter benannt wurde, außerdem wurde keine Datenschutz-Folgenabschätzung vorgenommen; diese wäre allerdings notwendig gewesen, da es laut der italienischen Aufsichtsbehörde eine Verarbeitung innovativer Natur sei. Diese Annahme bezieht sich darauf, dass eine große Menge unterschiedlicher Daten von einer großen Menge an Personen über eine digitale Plattform mit Hilfe von Algorithmen verarbeitet wird. Zudem bemängelte die italienische Aufsichtsbehörde, dass datenschutzfreundliche Voreinstellungen fehlten und keine technischen und organisatorischen Maßnahmen entwickelt wurden, um das Schutzniveau der Nutzer zu erhöhen. Generell hat Foodinho Verstöße aller Art in Kauf genommen und die DSGVO in einigen Punkten vollständig ignoriert.

Diese Verstöße ziehen nun eine erhebliche Menge an Bußgeldern auf sich. Dieses Bußgeld kann entweder bis zu 20.000 € oder aber 4% des Jahresumsatzes betragen.