Das Oberlandesgericht Frankfurt (Urt. v. 24.1.2018 – Az. 13 U 165/16) hat entschieden, dass ein Kaufvertrag über den Erwerb von Adressdaten wegen Verstoßes gegen ein gesetzliches Verbot nichtig sein kann. Im vorliegenden Fall wurde dies angenommen, da die Parteien die datenschutzrechtliche Pflicht verletzt hatten, die Einwilligung der Adressinhaber in die Datenweitergabe einzuholen.

Higher Regional Court of Frankfurt: Invalidity of a sales contract for the acquisition of address data due to breach of data protection law

The Higher Regional Court of Frankfurt has ruled that a sales contract for the acquisition of address data is null and void if the parties violate their data protection obligations to obtain the consent of the addressee to this data transfer.

Das Gericht hatte die Frage zu beurteilen, ob ein Vertrag über den Kauf von Adressdaten gem. § 134 BGB nichtig ist, wenn bei diesem Adresshandel die datenschutzrechtlichen Anforderungen des § 28 Abs. 3 BDSG nicht eingehalten werden. Die Klägerin machte Zahlungsansprüche aus einem Vertrag geltend, unter dem diese von der Beklagten Adressdaten erhalten hatte. Sie war der Auffassung, dass die Daten im Wert deutlich gemindert waren, da die Beklagte die Adressen auch schon anderweitig an ein ebenfalls mit Adressen handelndes Unternehmen verkauft hatte. Nach Ansicht der Klägerin büßten die Daten durch diese werbliche Nutzung 2/3 ihres Werts ein. Die Klägerin erklärte daher, den Kaufpreis zu mindern und verlangte vom Beklagten Rückzahlung eines Teil des Kaufpreises.

Verstoß des Vertrags gegen datenschutzrechtliche Bestimmungen

Das Gericht entschied im vorliegenden Fall, dass der Klägerin weder der Zahlungs- noch der Unterlassungsanspruch zustand. Denn der geschlossene Vertrag über den Verkauf der Adressdaten verstoße gegen § 28 Abs. 3 BDSG (sowie außerdem gegen wettbewerbsrechtliche Vorschriften). Dies wiederum führe gem. § 134 BGB zur Nichtigkeit des gesamten Vertrags.

Nach § 28 Abs. 3 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels nur zulässig, soweit der Betroffene eingewilligt hat (§ 28 Abs. 3 Satz 1 BDSG) oder das sog. Listenprivileg (§ 28 Abs. 3 Satz 2 BDSG) eingreift.

Das Listenprivileg war nicht einschlägig, weil die fraglichen Daten nicht nur „Angehörige einer bestimmten Personengruppe“ betrafen, was § 28 Abs. 3 Satz 2 BDSG jedoch voraussetzt. Außerdem beschränkten sich die verkauften Daten nicht auf die in § 28 Abs. 3 Satz 2 BDSG genannten Angaben; erfasst waren vielmehr auch Telefonnummern und Email-Adressen.

Zudem lag nach Überzeugung des Gerichts keine wirksame Einwilligung der Adressinhaber im Sinne des § 28 Abs. 3 Satz 1 BDSG vor. Nach § 4a Abs. 1 Satz 1 und 2 BDSG ist eine Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie unter Umständen auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Diesen Anforderungen genügte die von der Klägerin vorgelegte Einwilligungserklärung jedoch nicht: In dieser Erklärung waren weder die betroffenen Daten noch die Kategorien etwaiger Datenempfänger oder der Nutzungszweck konkret genug bezeichnet. Zudem lag keine Einwilligung in die Datennutzung zum Zweck des Adresshandels vor. Darüber hinaus fehlte es an der nach § 4a Abs. 1 Satz 4 BDSG erforderlichen Hervorhebung der Einwilligungserklärung.

§ 28 Abs. 3 Satz 1 BDSG als Verbotsgesetz

Das OLG Frankfurt sah § 28 Abs. 3 Satz 1 BDSG auch als Verbotsgesetz im Sinne von § 134 BGB an. Ein Verbotsgesetz liegt regelmäßig vor, wenn die betreffende Regelung bezweckt, ein Geschäft als solches zu untersagen, und sich nicht lediglich gegen die Umstände seines Zustandekommens richtet. Mit Blick auf § 28 Abs. 3 Satz 1 BDSG sprach dafür der Wortlaut der Vorschrift, der die Nutzung personenbezogener Daten bei Einhaltung der dort genannten Kriterien für „zulässig“ erklärt. Ein weiteres Indiz für den Charakter als Verbotsgesetz war nach Ansicht des Gerichtes, dass es sich bei § 28 BDSG um zwingendes Recht handelt. Den entscheidenden Umstand sahen die Richter darin, dass § 28 Abs. 3 Satz 1 BDSG sich konkret gegen eine rechtsgeschäftliche Nutzung von personenbezogenen Daten, nämlich für Zwecke des Adresshandels richtet, soweit eine wirksame Einwilligung des Betroffenen nicht vorliegt. Damit bezwecke die Norm, den Adresshandel ohne Einwilligung des Betroffenen als solchen zu untersagen.

Datenschutzrechtliche Pflichten ernstnehmen

Die Entscheidung verdeutlicht, wie gravierend sich Verstöße gegen datenschutzrechtliche Bestimmungen auch auf vertragliche Beziehungen auswirken können. Die Bestimmungen können daher auch unmittelbare Auswirkungen auf etwa Zahlungsverpflichtungen aus Vertragsbeziehungen haben und sich wirtschaftlich erheblich auswirken.