Autorinnen: Rechtsanwältin Dr. Alin Seegel und Rechtsanwältin, Fachanwältin für IT-Recht Isabell Conrad
Der Inhalt im Überblick
Anwendbarkeit der §§ 327 ff. BGB
Die Verbraucherschutzvorschriften für „digitale Produkte“ gemäß §§ 327 ff. BGB sind grundsätzlich nur anwendbar, wenn der Verbraucher einen kostenpflichten Vertrag schließt. Allerdings werden nach § 327 Abs. 3 BGB den kostenpflichtigen Verträgen solche Verträge gleichgestellt, in denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet (sogenanntes „Bezahlen mit Daten“). Als „Bezahlen mit Daten“ gilt aber nicht, wenn der Unternehmer nur Daten verarbeitet, die er benötigt, um seine Leistung zu erbringen oder rechtliche Pflichten (wie steuerliche Anforderungen) zu erfüllen.
Datenschutzrechtliche Rechtsgrundlage beim Geschäftsmodell „Bezahlen mit Daten“?
Die §§ 327 ff. BGB stellen keine eigene (datenschutzrechtliche) Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar (vgl. Beschluss der DSK : Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht, Stand: Oktober 2022).
Für die Datenverarbeitung im Rahmen des Verbrauchervertrages über digitale Produkte kommen grundsätzlich Art. 6 Abs. 1 S. 1 lit. a, b und f DSGVO (Einwilligung, Vertragserfüllung oder berechtigte Interessen) in Betracht.
Für den Rechtsanwender (Unternehmer) ergibt sich aber folgendes Spannungsverhältnis zwischen den §§ 327 ff. BGB, Art. 6 Abs. 1 lit. b DSGVO und Art. 7 Abs. 4 DSGVO:
Die §§ 312 Abs. 1a und § 327 Abs. 3 BGB stellen ausdrücklich klar, dass als vertragliche Gegenleistung auch die Bereitstellung personenbezogener Daten vereinbart werden kann. Für Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) wird aber überwiegend eine objektive Erforderlichkeit der Datenverarbeitung für die Erfüllung der vertraglichen Hauptleistungspflicht gefordert.
„die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“
Art. 6 Abs. 1 S. 1 lit. b DSGVO
Strittig ist dabei, für welche Leistung die Datenverarbeitung objektiv erforderlich sein muss: Für die Erfüllung der Hauptleistungspflicht des Verarbeiters (Unternehmers) oder für die Hauptleistungspflicht des Verbrauchers, der die personenbezogenen Daten als Gegenleistung bereitstellt?
Fordert man beim Geschäftsmodell „Bezahlen mit Daten“ eine objektive Erforderlichkeit für die Hauptleistungspflicht des Verarbeiters (Unternehmers) scheidet Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage grundsätzlich aus, da die Verarbeitung von personenbezogenen Daten für die Erbringung der vertraglichen Hauptleistungspflicht des Unternehmers beim Geschäftsmodell „Bezahlen mit Daten“ nicht objektiv erforderlich ist.
Will der Unternehmer die Datenverarbeitung auf die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO stützen, besteht das Risiko, dass die Einwilligung gem. Art. 7 Abs. 4 DSGVO wegen „Koppelung“ als unwirksam betrachtet wird.
Dass datenschutzrechtlich „Daten als Gegenleistung“ weder einwilligungsfähig sein sollen – wenn man hins. Art. 7 Abs. 4 DSGVO der Theorie von einem Koppelungsverbot folgt – noch Gegenstand der Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO sein können, wäre wertungsmäßig ein Widerspruch zu § 327 Abs. 3 BGB. Es spricht daher viel dafür, dass Art. 6 Abs. 1 S. 1 lit. b DSGVO einschlägig ist (Datenverarbeitung ist erforderlich für die Hauptleistungspflicht des Verbrauchers, der die personenbezogenen Daten als Gegenleistung bereitstellt).
Entscheidend ist: Transparenz!
Entscheidend ist aber: War dem Verbraucher bei Vertragsschluss überhaupt bewusst und transparent, dass er einen Vertrag schließt, bei dem personenbezogene Daten seine Gegenleistung sind? Einen Button wie „Jetzt kostenpflichtig bestellen“ gibt es für das Geschäftsmodell „Bezahlen mit Daten“ bislang nicht. Während die Preisangabenverordnung sehr genau vorschreibt, wie der Preis dem Verbraucher transparent gemacht werden muss, bleibt der Verbraucher beim Vertragsschluss über Online-Dienste und IoT häufig im Unklaren, konkret welche Daten für welche Verarbeitungen und Datenempfänger als „Gegenleistung“ vom Verbraucher bereitgestellt werden. Dass sich die Angaben aus der Datenschutzinformation ergeben (könnten), ist häufig zu spät: Die „Essentialia“ eines Vertrags (und dazu gehört die Gegenleistung) müssten Gegenstand der Willenserklärung des Verbrauchers bei Vertragsschluss sein.
Pur-Abo-Modelle
Zwar kann der Verbraucher auf manchen Webseiten, v.a. von Medienhäusern, wählen zwischen
- sogenannten kostenpflichtigen „Pur-Abo-Modellen“ („werbefrei“) und
- Zustimmung zu Webtracking
Vorteil der Pur-Abo-Modelle (hierzu: DSK_Beschluss_Bewertung_von_Pur-Abo-Modellen_auf_Websites.pdf (datenschutzkonferenz-online.de) ist, dass dem Verbraucher – manchmal nur scheinbar – der monitäre Gegenwert des Trackings mitgeteilt wird. Nur scheinbar deshalb, weil häufig die „Pur“-Variante nicht vollständig frei von technisch nicht erforderlichem Tracking ist. Hinzu kommt: Bei manchen Modellen stimmt der Verbraucher zwar dem Tracking zu, um kostenlos Inhalte lesen zu können. Aber nachdem er dem Tracking zugestimmt hat, stellt er fest, dass einzelne Inhalte weiterhin hinter einer Bezahlschranke sind.
Teilweise ist bei den Pur-Modellen nicht klar, ob die Alternative zum Pur-Abo eine Art Cookie-Consent-Banner ist und die Datenverarbeitung auf eine Einwilligung gestützt wird (und nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO). Im Rahmen des Webtracking ist die Einwilligung wegen § 25 TTDSG auch naheliegend.
Was gilt für andere Fälle der Erhebung von personenbezogenen Daten außerhalb des Webtrackings?
Aber was gilt für andere Fälle, etwa wenn der Unternehmer (z.B. eine Bank) die Daten der Verbraucher (z.B. Kontobewegungen) nicht mittels Webtracking erheben? Bleibt dann ein Raum für Art. 6 Abs. 1 S. 1 lit. b DSGVO als datenschutzrechtliche Rechtsgrundlage für das Geschäftsmodell „Bezahlen mit Daten“? Wir meinen ja. Voraussetzung ist aber maximale Transparenz für den Verbraucher. Als Faustregel können der „Kostenpflichtig bestellen“-Button und die Preisangabenverordnung eine Messlatte für Transparenz sein. Die Anforderungen an die Transparenz sind keinesfalls niedriger als bei der Einwilligung. Aber die freie Widerruflichkeit des Art. 7 Abs. 3 DSGVO entfällt bei Art. 6 Abs. 1 lit. b DSGVO – was angesichts § 327q BGB zu durchaus angemessenen Ergebnissen führen würde.
Was damit nicht gelöst ist: die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten Dritter (bei Kontodaten z.B. natürliche Personen, die Zahlungsempfänger des Verbrauchers sind). Im Hinblick auf das klassische Bankgeschäft (etwa Kontoführung) kann die Verarbeitung von solchen Daten Dritter zur Vertragserfüllung erforderlich sein. Schon bei klassischen entgeltlichen Verträgen ist die Rechtsgrundlage für die Verarbeitung von Daten Dritter, die nicht Partei des Vertrags sind, ein Rätsel, obgleich es sich sowohl B2C als auch B2B um Normalfälle handelt (etwa Verarbeitung von Daten der Zeugen eines Verkehrsunfalls durch den Kfz-Versicherer). Im IoT-Umfeld (Connected Cars, Smart Home etc.) sind Daten Dritter nicht selten relevant. Die Teilhabe des Einzelnen an der Ökonomisierung von Daten ist eine gute Idee des EU-Gesetzgebers, zumal für das Training von KI immer mehr Daten benötigt werden. Die Umsetzung von „Bezahlen mit Daten“ in der Praxis ist kniffelig, aber nicht unmöglich.
