Datenschutz und Granularität – von Körnchen und Verästelungen der Verarbeitung

Ein Hauptproblem der DSGVO ist, dass sie „mit großem Federstrich“ geschrieben wurde. So ein paar große Leitlinien und Prinzipien sind schnell skizziert, aber was das im Detail bedeutet, bleibt unklar. Neben der Frage, wie granular Daten als solche zu sehen sind (Datenbank, Datensatz, Einzeldatum, Teildatum etc.), stellt sich auch die Frage, wie granular die Sichtweise bei Berechtigungen zur Verarbeitung sein darf oder sein muss. Einer zu „grobkörnigen“ Sichtweise hat der EuGH jüngst einen Riegel vorgeschoben. Wie immer bleibt aber unklar, was das nun wieder bedeutet.

Legitimationsgründe und ihre Auswüchse

Die meisten Verantwortlichen wollen so viele Daten und so viele Verarbeitungsberechtigungen wie möglich. Man könnte beides ja einmal brauchen. Es gibt sogar Geschäftsmodelle, deren Wertschöpfung sich alleine anhand des Umfangs der Daten einer betroffenen Person (Kunde) bemisst – und natürlich daran, dass der Anbieter mit diesen Daten machen kann, was er will.

Die drei in der Praxis wichtigsten Legitimationsgrundlagen sind bekanntlich die Einwilligung, ein Vertrag mit dem Betroffenen und eine (abstrakte) Interessenabwägung. Für jede dieser Kategorien kann ein Verantwortlicher ein großes „Bündel“ von Verarbeitungshandlungen auflisten und einheitlich legitimieren. Das können Verarbeitungshandlungen sein wie die Nutzung allgemein zu (jedweden) Marketingzwecken, die Weitergabe an Dritte (zu jeder weiteren Verarbeitung bei diesen Dritten), zur langfristigen Speicherung, zur Bildung von Profilen, zur Zusammenführung und zum Abgleich mit anderen Datenbeständen einschließlich Daten aus Drittquellen, zum Training von KI-Systemen, zur Gewinnung statistischer Erkenntnisse über fehlende, auch sensible Datenkategorien (Parteizugehörigkeit, Religion etc.) und so fort.

Der Betroffene wird also hier bei der Einwilligung sinnbildlich mit einem „10-Seiten-Text“ konfrontiert und hat am Ende die Möglichkeit, „ja“ oder „nein“ anzuklicken – klickt er „nein“ an, geht es nicht weiter und die Tür (zum Angebot des Verantwortlichen als Dienstleister) bleibt zu. Beim Vertrag mit dem Betroffenen wird der „10-Seiten-Text“ zum Vertragsinhalt erklärt: Die Verarbeitungshandlungen werden zu vertraglichen Leistungen, die sich der Verantwortliche gegenüber dem Betroffenen zu erbringen verpflichtet. Natürlich ist dann die Verarbeitung „zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich“, wie die DSGVO formuliert. Und natürlich lässt sich der „10-Seiten-Text“ auch zum Inhalt einer einheitlichen Interessenabwägung machen. Diese Interessenabwägung wird von Verantwortlichen gerne im Sinne einer „mutmaßlichen Einwilligung des Betroffenen auf Basis einer fürsorglichen Einschätzung des Verantwortlichen“ gelesen – und welcher Betroffene könnte nicht daran interessiert sein, die Vorzüge umfassenden Wissens des Verantwortlichen über ihn zu genießen? Insbesondere ist etwa die Werbung, die dem Betroffenen auf der Plattform des Verantwortlichen präsentiert wird, um so relevanter und persönlich ansprechender, je mehr Informationen dem Verantwortlichen über den Betroffenen bekannt sind.

Datenschutz-Körnchen

Ein Urteil des EuGH vom 4. Juli 2023 hat dem Facebook-Mutterkonzern Meta ins Stammbuch geschrieben, dass solche „10-Seiten-Texte“ mit keinem der oben behandelten Legitimationsgründe für die Verarbeitung untergeschoben werden dürfen. Dieses Urteil beschäftigte sich daneben mit der Frage, ob die Kartellbehörden ein Verbot von aus ihrer Sicht marktmissbräuchlichen Praktiken eines marktdominanten Unternehmens auf datenschutzwidriges Vorgehen stützen dürfen oder nur die Datenschutzbehörden hierfür zuständig sind. In der Praxis macht dies einen erheblichen Unterschied, da Kartellbehörden eher als Datenschutzbehörden dafür bekannt sind, dass sie „nicht lange fackeln“ und aus ihrer Sicht rechtswidrige Praktiken untersagen (wogegen das Unternehmen dann, wie auch hier, ggf. gerichtlich vorgehen muss). Auf diesen Aspekt soll hier aber nicht weiter eingegangen werden.

Der grobgranularen Sichtweise vieler Verantwortlicher, verschiedene Verarbeitungshandlungen im „Paket“ zu definieren, erteilt der EuGH eine Abfuhr. Das „Paket“ muss also in einzelne „Körnchen“ zerlegt werden und dann ist jedes einzelne von ihnen rechtlich darauf zu überprüfen, ob die entsprechende Verarbeitungshandlung legitimiert ist. Und für jede der drei oben aufgeführten Legitimationsgrundlagen gibt der EuGH Leitlinien an die Hand.

Das ist insofern bemerkenswert, als hier der sehr karge Wortlaut der DSGVO in punkto Legitimationsgrundlagen zunehmend in einer bestimmten Richtung „ausdefiniert“ wird. Diese Detaillierung kann dem Text der DSGVO so nicht entnommen werden. Vielmehr wird die „betroffenenfreundliche“ Grundtendenz der DSGVO, die in vorangestellten Erwägungsgründen und einem „Grundsatzartikel“ festgehalten wurde, nun dazu verwendet, die übrigen Gesetzesformulierungen in diesem Sinne „aufzufüllen“. Diese Grundtendenz kann mit „so wenig Verarbeitung personenbezogener Daten wie irgend möglich und für den Betroffenen so nachvollziehbar und steuerbar wie möglich“ zusammengefasst werden. Vielleicht hätte man die DSGVO auf diese eine Formulierung reduzieren und den Gerichten den Rest überlassen können, denn wenn alle übrigen Regelungen in diesem Sinne „hingebogen“ werden, haben sie als solche kaum mehr einen eigenen Sinngehalt. Jedenfalls beginnt jede EuGH-Entscheidung zu Datenschutzfragen mit der gebetsmühlenartigen Wiederholung dieser Grundtendenz, sodass man meist schon gar nicht mehr weiterzulesen braucht, weil klar ist, was für den entschiedenen Fall folgt.

Einwilligung

Es ist also zunächst einmal nicht zulässig, ein beliebiges „Einwilligungspaket“ zu schnüren und dem Betroffenen die Wahl zwischen „ja“ und „nein“ zu überlassen. Der Bedarf des Verantwortlichen nach Kommerzialisierung der Daten des Betroffenen (von bösen Zungen als „Überwachungskapitalismus“ gebrandmarkt) muss durch Aufspaltung in „Einwilligungskörnchen“ gebändigt werden. Der Betroffene kann dann zu jedem „Körnchen“ bestimmen, ob er seine Einwilligung erteilt (und damit die Daten insoweit zu Kommerzialisierungszwecken freigibt) oder nicht. Erteilt er sie nicht, kann der Verantwortliche seine eigene Leistung aber immerhin alternativ an Geldzahlungen knüpfen. Viele Online-Zeitschriften haben hierfür bereits „PUR“-Modelle entwickelt, bei denen dem Betroffenen die Wahl bleibt, ob er seine Daten via Einwilligung „hergibt“ oder alternativ einen Abonnement-Preis zahlt.

Im Extremfall kann man sich das so vorstellen, dass eine beispielsweise in zehn Einzel-Einwilligungen aufgeteilte Sammeleinwilligung vom Verantwortlichen anhand des „Kommerzialisierungswertes“ der mit der jeweiligen Einzel-Einwilligung verfolgten Verarbeitungshandlungen bepreist wird. Für jedes „Körnchen“ kann dann vom Betroffenen entweder die Einwilligung erteilt werden (dann ist insoweit die Einwilligung in die Kommerzialisierung die Gegenleistung des Be-troffenen für die Dienst- bzw. Plattformleistung des Anbieters) oder nicht (dann werden die für die abgelehnten Einwilligungen hinterlegten Preise addiert und ergeben den „Zugangspreis“). Das Resultat wird auch als „Kommerzialisierungsfairness“ bezeichnet, mit dem einer missbräuchlichen Ausbeutung des Betroffenen entgegengewirkt werden soll.

Wichtig ist dabei, dass die Granularisierung der Einwilligung und die alternative Möglichkeit der Bepreisung der Komponenten, in die nicht eingewilligt wurde, eine entsprechende (programmtechnische) Verästelung des Angebots des Verantwortlichen entbehrlich machen. Man hätte dies aufgrund der „privacy-by-design“-Vorgabe auch anders sehen können. Denn selbstverständlich kann ein digitales Dienstleistungsangebot beliebig gestaltet werden, d. h. den einzelnen Datenschutz-„Körnchen“ könnten entsprechende Funktionen bzw. Funktionsumfänge zugeordnet werden, die je nach „Häkchen“ bei der Einzel-Einwilligung ein- oder ausgeschaltet werden könnten. So machen es auch die Autobauer beim „Smartphone auf Rädern“, wenn einzelne (Assistenz- und Komfort-) Funktionen per Fernzugriff durch den Hersteller und bei entsprechender Zahlungswilligkeit des Besitzers abonnementweise freischaltbar sind. Natürlich muss der Hersteller dann sicherstellen, dass das Fahrzeug und die jeweils freigeschalteten Funktionen in jeder beliebigen „Auswahlkombination“ reibungslos funktionieren. Das führt zu einem veränderten Design der verwendeten Komponenten und Software und mithin zu einem insgesamt höheren Entwicklungsaufwand. Die Möglichkeit, alternativ nach Wahl des Betroffenen Daten oder Geld als Gegenleistung zu verlangen, nicht aber die Abwahl einer Funktion zu ermöglichen, würde (zur Veranschaulichung) in dieser Situation bedeuten, dass in einem Fahrzeug sämtliche Zusatzfunktionen immer freigeschaltet sind (was weniger Entwicklungsaufwand bedeuten würde), der Besitzer aber wählen kann, ob er pro Funktion einer Kommerzialisierung bestimmter Nutzdaten zustimmt (also mit seinen Daten bezahlt) oder mit Geld bezahlt. Den erhöhten Entwicklungsaufwand mutet also der EuGH den Anbietern digitaler Dienstleistungen nicht zu, zumindest nicht aus datenschutzrechtlichen Gründen.

Was hier – wie auch in den anderen Varianten der datenschutzrechtlichen Legitimationsgrundlage – offenbleibt, ist die rechtlich notwendige „Körnchengröße“. Gewiss würde ein Gericht dazu sagen, dass keine allgemeinen Aussagen hierüber getroffen werden können, sondern eine Entscheidung „unter Berücksichtigung der Umstände des Einzelfalls“ notwendig ist. Das hilft der Praxis, die gerne zumindest ein bisschen Rechtssicherheit hätte, nicht weiter. Hier wird erst eine sich mühsam über die Zeit hinweg entwickelnde „Kasuistik“ von Gerichtsentscheidungen weiterhelfen, in denen bestimmte „Körnchengrößen“ in konkreten Fällen beurteilt und noch für zulässig oder schon für unzulässig gehalten werden.

Vertrag

Lieber als eine Einwilligung ist einem Verantwortlichen aus rechtlicher Sicht ein Vertrag mit dem Betroffenen, weil die Einwilligung jederzeit widerruflich ist, die Daten also ab diesem Zeitpunkt eigentlich nicht mehr genutzt werden dürfen. Da hilft aus Sicht des Verantwortlichen nur, die Möglichkeit des Widerrufs der Einwilligung (datenschutzwidrig) „möglichst weit hinten“ zu verstecken, damit die Betroffenen die „Lust am Suchen der Widerrufsmöglichkeit“ verlieren. In einem Vertrag hingegen kann man zumindest eine etwas längere Kündigungsfrist vorsehen, während derer die Daten noch weiter „zu Vertragszwecken“ verarbeitet werden dürfen. Vorrangig zu diesen rechtlichen Erwägungen ist aber vermutlich, dass es sich die Betroffenen als Kunden eines einigermaßen marktdominanten Anbieters (Plattform) schlicht nicht leisten können, nicht mehr in diesem Ökosystem (und damit in ihrer Peer Group) präsent sein zu können, und deshalb gar nicht im großen Stil auf die Idee kommen werden, Einwilligungen zu widerrufen oder Verträge zu kündigen.

Im Gegensatz zur Einwilligung, wo es für die vom EuGH „nur“ aus der Grundtendenz der DSGVO hergeleitete Granularisierung der einzelnen Verarbeitungshandlungen und damit Einzel-Einwilligungen keinen Anhaltspunkt im Gesetzestext selbst gibt, sieht die DSGVO für Verträge immerhin das gemeinhin sogenannte Koppelungsverbot vor. Nach der etwas verunglückten Geset-zesformulierung sollen Verträge nicht mehr Verarbeitungslegitimation „unterschieben“ als für die Erfüllung des Vertrags unbedingt erforderlich ist. Da dies – wie das Beispiel des EuGH zeigt – leicht durch entsprechend ausufernd formulierte Vertragsleistungen unterlaufen werden kann, muss das Datenschutzrecht in den Vertrag selbst eingreifen. Solche Vertragskorrekturen auf die Angemessenheit jeder vertraglichen Regelung hin kennt das deutsche Recht sehr ausufernd für Allgemeine Geschäftsbedingungen, bei denen eine unangemessene Benachteiligung des verhandlungsschwächeren Vertragsteils richterlich verhindert werden soll.

Der EuGH versucht sich also darin, eine Art Datenschutz-AGB-Recht zu schaffen. Die vom EuGH gefundene Formulierung lautet, dass eine vom Verantwortlichen unter dem „Deckmäntelchen“ eines Vertrages angestrebte Verarbeitungshandlung „objektiv unerlässlich“ sein muss, „um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist“. Solche vertraglich (weiterhin) legitimierten Verarbeitungshandlungen sind zu unterscheiden von den Verarbeitungen (und korrespondierenden Funktionalitäten des Dienstleistungsangebots), die nicht „unerlässlich“, sondern nur „von Nutzen“ für den Betroffenen sind. Diese Formel führt also zu einer Auftrennung von Verarbeitungshandlungen (und den dafür benötigten Daten) in „für den Vertragszweck unerlässliche“ und „für den Vertragszweck nur nützliche“, setzt also wieder eine „Körnchenbildung“ voraus.

Der Kunstgriff besteht hier also darin, die Betrachtung vom Vertragsinhalt auf den Vertragszweck zu verschieben. Die Hoffnung des EuGH ist wohl, dass im Unterschied zu einem Vertragsinhalt, der vom Anbieter alleine beliebig umfangreich gestaltet werden kann, der Vertragszweck (Teilnahme an Social-Media-Plattform etc.) letztlich dem Vertrag auch „von außen“ (also z. B. durch ein Gericht selbst) zugeschrieben werden kann, um dann den Vertragsinhalt diesem „vorgefundenen“ Zweck als unerlässlich oder eben nur nützlich zuordnen zu können.

Während bei der Einwilligung die Aufteilung in „Einwilligungs-Körnchen“ noch hilft, um das Angebot als Ganzes zu retten („gib Daten oder zahl“), können die „Körnchen“, die im Vertragskontext nur als nützlich identifiziert wurden, keine taugliche Legitimationsgrundlage darstellen. Sie „fliegen raus“. Dies macht den Vertrag per se zur schlechteren Legitimationsgrundlage.

Interessenabwägung

Bei der Interessenabwägung werden, wie der Name schon sagt, Interessen gegeneinander abgewogen. Das Ergebnis einer Abwägung ist dann immer davon abhängig, welches Gewicht die einzelnen Interessen, die hier in die Waagschale geworfen werden, für sich beanspruchen können. Und das kann man so und so sehen. Am Ende sind Interessenabwägungen daher oft willkürlich, auch wenn sich die juristische Methodik alle Mühe gibt, sie möglichst zwingend aussehen zu lassen. Aber es bleibt dabei: Ober sticht Unter, und „Ober“ ist – wie so häufig – der EuGH.

Aus seinem reichhaltigen Argument-Baukasten wirft der EuGH hier in die Waagschale, dass der „10-Seiten-Text“ beim Betroffenen „das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird“. Dieses Argument kann man naturgemäß auch ganz anders, zumindest aber mit einem viel kleineren Gewicht ausgestattet, sehen. Denn viele Betroffene wollen ja gerade, dass ihr Privatleben kontinuierlich überwacht wird, indem sie genau dies öffentlich auf Plattformen zur Schau stellen. Es wird hier nicht „heimlich auf Buttons geklickt“, sondern „öffentlich gepostet“, gerade damit alle sehen, wo man gewesen ist. Und im Rahmen der Abwägung als „mutmaßliche Einwilligung“ mit ihrer „typisierenden Betrachtung“ ist gerade die Frage, um welchen „Typ“ von Be-troffenem es hier genau geht. Das pauschale, nicht weiter mit Fakten unterlegte Argument, dass bestimmte Verarbeitungshandlungen (die gewöhnlich im Hintergrund stattfinden) ein „Gefühl“ auslösen „können“, mag bei besonders reflektierten (und vor allem eher passiven) Plattform-Teilnehmern zutreffen. Vergleichbare Argumente finden sich auch in Entscheidungen über Schmerzensgeldansprüche bei Datenschutzverletzungen – allerdings mit dem Unterschied, dass dort ein konkret Geschädigter solche Gefühlsregungen für sich (und kaum widerlegbar) behauptet. Ohne weitere Abstützung durch entsprechende Studien etc. (die es übrigens kaum gibt) erscheint das Argument in seiner generellen Form aber eher – wie die DSGVO selbst bisweilen bezeichnet wird – „paternalistisch“ und durch Voreingenommenheit der spezifisch entscheidenden Richter-psyche beeinflusst. Rechtlich wird dieser Schluss von der eigenen Befindlichkeit auf den „emotio-nalen Durchschnitt“ in deutschen Gerichtsentscheidungen häufig mit dem (weiteren) Argument garniert, dass die entscheidenden Richter „zu den (von der Plattform) angesprochenen Verkehrs-kreisen“ zählen. Eine eigenartige Auffassung bzw. Anwendung des Beweises der vollständigen Induktion: Wenn einer so fühlt, fühlen alle anderen auch so.

Ebenso wie bei der Einwilligung, bei der man als Verantwortlicher durch „Körnchenbildung und Bepreisung“ den sprichwörtlichen „10-Seiten-Text“ am Ende doch umsetzen kann, und wie beim Vertrag, dessen „10-Seiten-Text“ von einem Gericht aufgetrennt werden muss in „unerlässliche“ (und damit wirksame) und „nützliche“ (und damit unwirksame) Körnchen, stellt sich bei der Interessenabwägung die Frage der Granularisierbarkeit. Wird eine Menge von Verarbeitungshandlungen mit demselben Interesse oder unterschiedlichen Interessen des Verantwortlichen begründet, wird dem Betroffenen letztlich ein einheitliches Gesamtpaket als „mutmaßlich akzeptabel“ untergeschoben. Man könnte nun sagen, dass der Betroffene, wenn er bestimmte Verarbeitungen nicht möchte, einen „Teilwiderspruch“ einlegen könnte. Allerdings passt der dafür vorgesehene Mechanismus der DSGVO, dass der Verantwortliche die betroffenen Daten dann „nicht mehr verarbeitet“, nicht so recht; der Gesetzgeber ist offensichtlich von einer Interessenabwägung und einer Verarbeitung ausgegangen. Müsste man als Verantwortlicher bei einem komplexen „Paket“ aus Verarbeitungen, die jeweils mit Interessenabwägungen legitimiert werden sollen, mit einem Teilwiderspruch rechnen, müsste der Dienst bzw. die Plattform verschiedene Verästelungen in der Verarbeitungslogik vorsehen oder der Verantwortliche würde in diesem Fall das Nutzungsverhältnis zum Betroffenen ganz beenden. Auch durch diesen Aufwand bzw. die mutmaßliche Reaktion des Verantwortlichen würde der „10-Seiten-Text“ einer komplexen Interessenabwägung wohl faktisch eine „schwarz/weiß“-Entscheidung für den Betroffenen. Gerade dieser Umstand, (faktisch) nicht auswählen zu können, und der dadurch auf den Betroffene ausgeübte „Druck zum Nichtwiderspruch“ könnte als Zünglein an der Waage bei einer Nachprüfung der Interessenabwägung fungieren. Damit wird die Interessenabwägung aus Sicht von Verantwortlichen in komplexen Verarbeitungssituationen wohl zur riskantesten Variante der Legitimationsgrundlagen.

Alternative Legitimationsgrundlagen

Die Praxis behilft sich mittlerweile oft mit dem „Trick“, eine Einwilligung und eine Interessenabwägung in „Körnchen“ aufgeteilt nebeneinander (oder besser: verschachtelt) anzuzeigen. Der Besucher einer Website, der nicht in alles pauschal einwilligt, kommt in ein Datenschutz-Menü, in dem die einzelnen Einwilligungs-„Körnchen“ aufgeführt und häufig – der datenschutzrechtlichen Vorgabe nach datenschutzfreundlichen Voreinstellungen (scheinbar) folgend – bereits abgewählt sind. In einem zweiten Reiter / Ebene (möglicherweise nicht auf den ersten Blick erkennbar) werden dann dieselben „Körnchen“ wiederum aufgeführt, dieses Mal unter dem Titel Interessenabwägung und sämtlich selektiert. Der Verantwortliche ist also schon der Meinung, dass es datenschutzfreundlich ist, dem Betroffenen die Nichteinwilligung in die Verarbeitung zu unterstellen, aber demgegenüber im Rahmen der „mutmaßlichen Einwilligung des Betroffenen auf Basis einer fürsorglichen Einschätzung des Verantwortlichen“ der Meinung, dass der Betroffene durchaus einwilligen würde, wenn er es sich denn genau überlegen würde. Ein Schelm, wer darin einen Widerspruch erkennt.

Genaugenommen ist die hier „dahinterliegende“ Interessenabwägung auch gar keine Interessenabwägung, sondern eine „zweite Einwilligung“. Denn Interessenabwägungen (als „mutmaßliche Einwilligungen“) kann der Betroffene ja nicht „auswählen“ (dann ist es gerade eine ausdrückliche Einwilligung), zumal hierbei ein Haken für eine „positive“ Interessenabwägung und nicht für einen „ausdrücklichen“ (Teil-) Widerspruch zu setzen ist. Aber auch eine ausdrückliche (Teil-) Widerspruchsmöglichkeit im „Auswahlverfahren“ vor der eigentlichen Erhebung entspräche nicht der gesetzgeberischen Vorstellung eines Widerspruchs gegen eine (zuvor autonom vom Verantwortlichen vorgenommenen) Interessenabwägung. Mit dieser Vorgehensweise kann also keine Interessenabwägung „herbeigezaubert“ werden. Dabei ist auch daran zu erinnern, dass nach verschiedenen, wenig bekannten Gerichtsentscheidungen im Datenschutz schon immer ein „Vorrang der Einwilligung“ propagiert wurde: Wenn der Betroffene ohnehin schon „am Draht ist“ und aktiv entscheidet, in welche Verarbeitungshandlungen er einwilligt, ist für eine mutmaßliche Einwilligung (Interessenabwägung) schlicht kein Raum mehr. Letztlich handelt es sich also bei den „doppelbödigen“ Datenschutz-Einstellungsmenüs um zwei Mal dieselbe Einwilligung, einmal datenschutzfreundlich abgewählt und einmal datenschutzunfreundlich vorausgewählt.

Was bedeutet das alles?

Aus all dem kann man die Schlussfolgerung ziehen, dass das Datenschutzrecht bei komplexen Ver-arbeitungshandlungen die Einführung eines Bezahlmodells erzwingt, wenn man als Verantwortlicher auf der sicheren Seite sein will. Wer eine geldwerte Gegenleistung für seine Dienstleistung haben möchte und eine granulare Verästelung der Angebotslogik scheut, muss dem Betroffenen die (Einwilligungs-) Wahl lassen, ob er mit Geld oder mit Daten bezahlen will. Wer stattdessen auf eine „monströse“ Interessenabwägung setzt, geht das verhältnismäßig hohe Risiko ein, dass die Verarbeitung insgesamt unzulässig ist. Wer einen „künstlich aufgeblähten“ Vertrag vorgibt, liefert sich einer späteren „Unerlässlichkeits-Entscheidung“ aus, deren Maßstäbe alles andere als klar sind und aufgrund derer sich verschiedene, im Vorhinein schwer antizipierbare Teile des Vertrages als datenschutzrechtlich unwirksam erweisen können.