Autoren: Dr. Alin Seegel, Isabell Conrad
Die §§ 312 Abs. 1a, 327 Abs. 3 BGB stellen ausdrücklich klar, dass als vertragliche Gegenleistung auch die Bereitstellung personenbezogener Daten vereinbart werden kann. Nichtsdestotrotz sind Unternehmen, die mit Verbrauchern genau das vereinbaren wollen, in datenschutzrechtlicher Sicht vor Herausforderungen gestellt, die hier kurz skizziert werden.
Die Verbraucherschutzvorschriften für „digitale Produkte“ gemäß §§ 327 ff. BGB stehen im Spannungsverhältnis zu Art. 6 DSGVO und § 25 TTDSG (dazu ausführlich Ehlen/Blum, CR 2023, 392–397). Grundsätzlich sind sie nur anwendbar, wenn der Verbraucher einen kostenpflichten Vertrag schließt. Allerdings werden nach § 327 Abs. 3 BGB den kostenpflichtigen Verträgen solche Verträge gleichgestellt, in denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet (sogenanntes „Bezahlen mit Daten“).
Als „Bezahlen mit Daten“ gilt aber nicht, wenn der Unternehmer nur Daten verarbeitet, die er benötigt, um seine Leistung zu erbringen oder rechtliche Pflichten (wie steuerlich Anforderungen) zu erfüllen.
1. Datenschutzrechtliche Rechtsgrundlage
Die §§ 327 ff. BGB stellen keine eigene (datenschutzrechtliche) Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar (vgl. DSK Beschluss, „Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht“, Stand: Oktober 2022).
Für die Datenverarbeitung im Rahmen des Verbrauchervertrages über digitale Produkte kommen grundsätzlich Art. 6 Abs. 1 Satz 1 Buchstabe a, b und f DSGVO (Einwilligung, Vertragserfüllung oder berechtigte Interessen) in Betracht.
a) Vertragserfüllung als Rechtsgrundlage?
Für den Rechtsanwender (Unternehmer) ergibt sich aber folgendes Spannungsverhältnis zwischen den §§ 327 ff. BGB, Art. 6 Abs. 1 lit. b DSGVO und Art. 7 Abs. 4 DSGVO:
Die §§ 312 Abs. 1a und § 327 Abs. 3 BGB stellen ausdrücklich klar, dass als vertragliche Gegenleistung auch die Bereitstellung personenbezogener Daten vereinbart werden kann. Für die Anwendbarkeit des Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) wird aber überwiegend eine objektive Erforderlichkeit der Datenverarbeitung für die Erfüllung der vertraglichen Hauptleistungspflicht gefordert.
Wortlaut von Art. 6 Abs. 1 S. 1 lit. b DSGVO: „b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;“
Leistung oder (Gegen-)Leistung? Strittig ist dabei, für welche Leistung die Datenverarbeitung objektiv erforderlich sein muss: Für die Erfüllung der Hauptleistungspflicht des Verarbeiters (Unternehmers) oder für die Hauptleistungspflicht des Verbrauchers, der die personenbezogenen Daten als Gegenleistung bereitstellt?
Fordert man beim Geschäftsmodell „Bezahlen mit Daten“ eine objektive Erforderlichkeit für die Hauptleistungspflicht des Verarbeiters (Unternehmers) scheidet Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage grundsätzlich aus, da die Verarbeitung von personenbezogenen Daten für die Erbringung der vertraglichen Hauptleistungspflicht des Unternehmers beim Geschäftsmodell „Bezahlen mit Daten“ nicht objektiv erforderlich ist.
b) Einwilligung als Rechtsgrundlage?
Will der Unternehmer die Datenverarbeitung auf die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO stützen, besteht das Risiko, dass die Einwilligung gem. Art. 7 Abs. 4 DSGVO wegen „Koppelung“ als unwirksam betrachtet wird.
c) Zwischenfazit
Dass datenschutzrechtlich „Daten als Gegenleistung“ weder einwilligungsfähig sein sollen – wenn man hinsichtlich Art. 7 Abs. 4 DSGVO der Theorie von einem Koppelungsverbot folgt – noch Gegenstand der Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO sein können, wäre wertungsmäßig ein Widerspruch zu § 327 Abs. 3 BGB. Es spricht daher viel dafür, dass Art. 6 Abs. 1 S. 1 lit. b DSGVO einschlägig ist (Datenverarbeitung ist erforderlich für die Hauptleistungspflicht des Verbrauchers, der die personenbezogenen Daten als Gegenleistung bereitstellt).
2. Entscheidend ist: Transparenz!
Entscheidend ist: War dem Verbraucher bei Vertragsschluss überhaupt bewusst und transparent, dass er einen Vertrag schließt, bei dem personenbezogene Daten seine Gegenleistung sind?
Einen Button wie „Jetzt kostenpflichtig bestellen“ gibt es für das Geschäftsmodell „Bezahlen mit Daten“ bislang nicht. Während die Preisangabenverordnung sehr genau vorschreibt, wie der Preis dem Verbraucher transparent gemacht werden muss, bleibt der Verbraucher beim Vertragsschluss über Online-Dienste und IoT häufig im Unklaren, konkret welche Daten für welche Verarbeitungen und Datenempfänger als „Gegenleistung“ vom Verbraucher bereitgestellt werden.
Dass sich die Angaben aus der Datenschutzinformation ergeben (könnten), ist häufig zu spät: Die „Essentialia“ eines Vertrags (und dazu gehört die Gegenleistung) müssten Gegenstand der Willenserklärung des Verbrauchers bei Vertragsschluss sein.
3. Pur-Abo-Modelle
Zwar kann der Verbraucher auf manchen Webseiten, v.a. von Medienhäusern, zwischen
- sogenannten kostenpflichtigen „Pur-Abo-Modellen“ („werbefrei“) und
- Zustimmung zu Webtracking
wählen. Vorteil der Pur-Abo-Modelle (hierzu: DSK_Beschl. v. 22.3.2023,_“Bewertung_von_Pur-Abo-Modellen_auf_Websites“ ist, dass dem Verbraucher – manchmal nur scheinbar – der monitäre Gegenwert des Trackings mitgeteilt wird. Nur scheinbar deshalb, weil häufig die „Pur“-Variante nicht vollständig frei von technisch nicht erforderlichem Tracking ist. Hinzu kommt: bei manchen Modellen stimmt der Verbraucher zwar dem Tracking zu, um kostenlos Inhalte lesen zu können. Aber nachdem er dem Tracking zugestimmt hat, stellt er fest, dass einzelne Inhalte weiterhin hinter einer Bezahlschranke sind.
Teilweise ist bei den Pur-Modellen nicht klar, ob die Alternative zum Pur-Abo eine Art Cookie-Consent-Banner ist und die Datenverarbeitung auf eine Einwilligung gestützt wird (und nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO). Im Rahmen des Webtracking ist die Einwilligung wegen § 25 TTDSG auch naheliegend.
4. Was gilt für andere Fälle jenseits von Webtracking?
Was gilt für andere Fälle, etwa wenn der Unternehmer (z.B. eine Bank) die Daten der Verbraucher (z.B. Kontobewegungen) nicht mittels Webtracking erheben? Bleibt dann ein Raum für Art. 6 Abs. 1 S. 1 lit. b DSGVO als datenschutzrechtliche Rechtsgrundlage für das Geschäftsmodell „Bezahlen mit Daten“?
Wir meinen ja: Voraussetzung ist maximale Transparenz für den Verbraucher. Als Faustregel können der „Kostenpflichtig bestellen“-Button und die Preisangabenverordnung eine Messlatte für Transparenz sein. Die Anforderungen an die Transparenz sind keinesfalls niedriger als bei der Einwilligung. Aber die freie Widerruflichkeit des Art. 7 Abs. 3 DSGVO entfällt bei Art. 6 Abs. 1 lit. b DSGVO – was angesichts § 327q BGB zu durchaus angemessenen Ergebnissen führen würde.
Was damit nicht gelöst ist: Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten Dritter (bei Kontodaten z.B. natürliche Personen, die Zahlungsempfänger des Verbrauchers sind). Im Hinblick auf das klassische Bankgeschäft (etwa Kontoführung) kann die Verarbeitung von solchen Daten Dritter zur Vertragserfüllung erforderlich sein. Schon bei klassischen entgeltlichen Verträgen ist die Rechtsgrundlage für die Verarbeitung von Daten Dritter, die nicht Partei des Vertrags sind, ein Rätsel, obgleich es sich sowohl B2C als auch B2B um Normalfälle handelt (etwa Verarbeitung von Daten der Zeugen eines Verkehrsunfalls durch den Kfz-Versicherer). Im IoT-Umfeld (Connected Cars, Smart Home etc.) sind Daten Dritter nicht selten relevant. Die Teilhabe des Einzelnen an der Ökonomisierung von Daten ist eine gute Idee des EU-Gesetzgebers, zumal für das Training von KI immer mehr Daten benötigt werden. Die Umsetzung von „Bezahlen mit Daten“ in der Praxis ist kniffelig, aber nicht unmöglich.