Bisher gab es digitale Inhalte – von journalistischen Artikeln bis hin zu Audio- und Videoinhalten – auf den Seiten von Verlagen und Medienhäusern sozusagen “kostenlos“, in Wahrheit aber nur im Austausch für personenbezogene Daten des Nutzers. Mit dem „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ wird klargestellt, dass personenbezogene Daten grundsätzlich Vertragsgegenstand sein können, die Vertragspartei, also der die Nachrichtenseite betreibende Verlag, aber neben den Vorgaben des Datenschutzrechts auch verbraucherschützende Vorschriften und das AGB-Recht beachten muss.

Kein neuer Erlaubnistatbestand

Während bislang Betreiber von Internetseiten die Einwilligung ihrer Besucher abfragten, um deren personenbezogene Daten mit personalisierter Werbung oder direkter Veräußerung zu verwerten und sich darauf beriefen, dass dies zur Bereitstellung ihrer Inhalte erforderlich sei, scheint nun der Weg zu einem Vertrag über die Bereitstellung von Inhalten im Austausch für personenbezogene Daten des Nutzers frei. Der am 24.06.2021 angenommene Gesetzesentwurf (BT Drucksache 19/27653) ordnet jedoch lediglich eine Anwendung der bereits bestehenden verbraucherschützenden Vorschriften, der §§ 312 bis 312h BGB, an und schafft mit den §§ 327 ff. BGB umfangreiche Regelungen zum Mängelgewährleistungsrecht von digitalen Produkten. Diese Novellierung erlaubt daher nicht, personenbezogene Daten eines Nutzers als Gegenleistung in einem Vertragsverhältnis zu verwenden (diese Erlaubnis richtet sich weiter nach der DSGVO), sondern erweitert die Pflichten aus dem Verbraucher- und Mängelrecht auf digitale Produkte ab dem 01.01.2022 für den Verkäufer.

Die Ausgangslage

Die bisherige Praxis der Nutzung von digitalen Inhalten im Austausch gegen personenbezogene Daten ist umstritten. Auf der einen Seite steht das Kopplungsverbot des Art. 7 Abs. 4 Datenschutz-Grundverordnung (DSGVO): Danach muss bei der Beurteilung der Freiwilligkeit einer Einwilligung in eine Verarbeitung von personenbezogenen Daten „[…] dem Umstand mit größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Sind die personenbezogenen Daten nicht für die Erfüllung des Vertrags erforderlich, für den Erhalt des digitalen Produkts wird vom Nutzer aber dennoch eine Einwilligung zur Verarbeitung dieser Daten verlangt, liegt ein Kopplungsfall und damit keine freiwillige Einwilligung vor. Die Einwilligung wäre dann unwirksam und für die darauf aufbauenden Datenverarbeitungen aller Voraussicht nach, rechtswidrig. Als andere Wahl muss dem Nutzer die Möglichkeit verbleiben ohne die Abgabe einer Einwilligung in gleichem Umfang auf die Dienstleistung zuzugreifen. Dies kann auch gegen ein angemessenes Entgelt geschehen (vgl. Stemmer in: BeckOK DatenschutzR, 36. Ed. 1.5.2021, DS-GVO Art. 7 Rn. 41.1, 46 f.).

Die Befürworter der bisherigen Praxis argumentieren, dass die Daten zum einen die Gegenleistung des Nutzers darstellten und zum anderen zur Vertragserfüllung im weiteren (wirtschaftlichen) Sinne erforderlich seien. Ohne die Verwertung der personenbezogenen Daten der Nutzer könnten die Inhalte gar nicht bereitgestellt werden. Die andere Seite vertritt den Standpunkt, dass die Inhalte ohne die personenbezogenen Daten sehr wohl bereitgestellt werden könnten, da finanzierende Werbung auch ohne die personenbezogenen Daten der Besucher möglich sei. Das Kopplungsverbot würde immer leerlaufen, wenn ein Verantwortlicher personenbezogene Daten grundsätzlich durch Vertragsgestaltung in den Rang einer geldwerten Leistungspflicht des Kunden erheben würde. Da die Datenschutz-Grundverordnung keine Unterscheidung zwischen unentgeltlichen und entgeltlichen Vertragsverhältnissen mache, sei auch bei Verträgen, die personenbezogene Daten des Verbrauchers bzw. Kunden zum Gegenstand haben, die Erforderlichkeit dieser Daten im Rahmen des Kopplungsverbots zu berücksichtigen (vgl. Stemmer in: BeckOK DatenschutzR, 36. Ed. 1.5.2021, DS-GVO Art. 7 Rn. 41.1, 46 f.). Schließlich muss der Betroffene auch bei der Behandlung seiner personenbezogenen Daten als Gegenleistung über die Verarbeitung seiner Daten informiert werden. Ob dies über Art. 7 Abs. 4 DSGVO oder eine AGB-Kontrolle erfolgt, könne letztlich dahinstehen.

Die Praxis im Schussfeld von Datenschützern

Insbesondere das von Max Schrems gegründete Europäische Zentrum für digitale Rechte „noyb mit Sitz in Wien steht der bisherigen Praxis sehr kritisch gegenüber und reichte bis Mitte August bereits Beschwerden bei Aufsichtsbehörden gegen Spiegel.de, Zeit.de, heise.de, FAZ.net, Standard.at, krone.at und t-online.de bei den zuständigen Datenschutzbehörden ein (wir berichteten hier). Besonders kritisiert wird die nicht überschaubare Kette des „Datenhandels“, bei dem „[…] bis zu 190 Unternehmen unmittelbaren und weitere hunderte, wenn nicht tausende, Unternehmen mittelbaren Zugriff“ haben (Beschwerde nach Artikel 77(1), 80(1) DSGVO, noyb Fallnummer: C-045, S. 1). Die Einwilligung sei darüber hinaus nicht ohne Nachteil ablehn- oder widerrufbar und zu unbestimmt (ebd. S. 1 f.). Des Weiteren stelle bspw. der Betreiber von Spiegel.de es fälschlicherweise so dar, als sei die Finanzierung ihres Angebots allein vom Tracking abhängig und unterschlage dabei andere Einnahmequellen wie „[…] hausinterne Werbung, externe Werbung ohne Tracking, Native-Advertising, Affiliate Links, Kooperationen und zahlreiche andere Finanzierungsquellen“ (ebd. S. 8). noyb bezeichnet die Einnahmen aus dem Tracking vielmehr als Zubrot, da nach einer Studie aus den USA sich diese lediglich um 4 % durch Tracking steigern ließen (ebd. S. 8). DER SPIEGEL selbst würde pro Monat lediglich 0,16 € bzw. pro Jahr 1,92 € für jeden Leser mit dem Tracking erwirtschaften. Die im Gegenzug angebotenen Abonnement-Modelle für 4,99 € im Monat seien dementsprechend als Wucher einzuordnen (ebd. S. 21 f.). Da dem Nutzer keine angemessene Alternative statt der Verwertung seiner personenbezogenen Daten geboten würde und die Verwertung der Daten darüber hinaus nicht erforderlich sei, liege ein Verstoß gegen das Kopplungsverbot vor.

Die Perspektive des Verbraucherschutzes

Die ab 01.01.2022 neu in das BGB eingefügten § 312 Abs. 1a und §§ 327 ff. nehmen die praktische Nutzung von personenbezogenen Daten durch Anbieter digitaler Inhalte als gegeben an und verschaffen dem Nutzer nicht nur Verbraucherschutzvorschriften, sondern auch neue Vorschriften zum Mängelgewährleistungsrecht digitaler Produkte. Dies gilt ausweislich des § 312 Abs. 1a S. 2 BGB n.F. aber nicht für solche Daten, die der Unternehmer ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen. Eine IP-Adresse, an der der Unternehmer sein digitales Angebot überträgt, ist damit nicht vom Verbraucherschutz erfasst. Daneben folgt aus der Einordnung der personenbezogenen Daten als Gegenstand eines Vertrags auch die Anwendbarkeit der Regelungen über Allgemeine Geschäftsbedingungen.

Keine Absenkung des Datenschutzes

Die europäische Richtlinie, Richtlinie (EU) 2019/770, auf der das nun beschlossene Umsetzungsgesetz basiert äußert sich in Erwägungsgrund 24 klar zur Folge der neuen Regeln: „Digitale Inhalte oder digitale Dienstleistungen werden häufig auch dann bereitgestellt, wenn der Verbraucher keinen Preis zahlt, sondern dem Unternehmer personenbezogene Daten zur Verfügung stellt. […] Obwohl in vollem Umfang anerkannt wird, dass der Schutz personenbezogener Daten ein Grundrecht ist und daher personenbezogene Daten nicht als Ware betrachtet werden können, sollte mit dieser Richtlinie sichergestellt werden, dass die Verbraucher im Zusammenhang mit solchen Geschäftsmodellen Anspruch auf vertragliche Rechtsbehelfe haben.“ In Erwägungsgrund 38 stellt die EU klar, dass sich die Beurteilung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten allein nach der Datenschutz-Grundverordnung richtet. Diesen Vorgaben möchte der deutsche Gesetzgeber mit seinem Regelungskonzept aus § 312 Abs. 1a und den §§ 327 ff. BGB n.F. nachkommen. Auch bei einer rechtswidrigen Datenverarbeitung, bspw. aufgrund einer nicht ausreichend informierten und freiwillig erfolgten Einwilligung, soll der Verbraucher in den Genuss des Verbraucherrechts kommen (vgl. BT Drucksache 19/27653, S. 36).

Fazit

Mit der Neuregelung wird somit nicht ein neuer Erlaubnistatbestand geschaffen, sondern es werden die Verbraucher- und Gewährleistungsrechte der Nutzer gestärkt. Die Erwägungsgründe aus der Richtlinie und die Gesetzesbegründung des Umsetzungsgesetzes stellen klar, dass die Spielregeln des Datenschutzrechts eingehalten und ein Nutzer deshalb umfassend über die geplante Verarbeitung seiner Daten informiert werden muss, auch wenn die Daten eine Hauptleistungspflicht darstellen sollten.

Die Novellierung führt für viele Anbieter digitaler Inhalte nicht wie erhofft zu einer Vereinfachung der Rechtslage, sondern erhöht im Gegenteil den Aufwand, den diese zur Nutzung von Werbetracking betreiben müssen. Möchte ein Verantwortlicher die Daten seiner Nutzer mit Drittanbietern teilen und stellt seinen Kunden dann eine Liste von ca. 190 Unternehmen zur Verfügung, die wiederum die Daten teilen könnten, wirft dies erhebliche Fragen an seinem Geschäftsmodell und der datenschutzrechtlichen Zulässigkeit einer solchen Weitergabe auf. Daran vermag auch die grundsätzliche Zulässigkeit der Verwendung von personenbezogenen Daten als Gegenleistung nichts zu ändern.

Anbieter sollten also beachten, dass der Nutzer bei Einholung seiner datenschutzrechtlichen Einwilligung nicht über Gebühr strapaziert und dennoch umfassend und transparent über den Gegenstand seiner Einwilligung informiert wird. Denn die Praxis könnte, wie Prof. Dr. habil. Franziska Weber kürzlich in der Nomos-Zeitschrift Verbraucher und Recht schrieb, auch anders aussehen: „Die datenschutzrechtliche Einwilligung wäre weit weniger nervig, wenn man die Realität einmal umdrehte und wirklich in Einklang mit dem Grundsatz der Datenminimierung brächte. Das sähe dann so aus: Websiten könnten zunächst unter Nutzung aller legitimen Ausnahmetatbestände außer der Einwilligung erreicht und genutzt werden und wer total heiß auf personalisierte Werbung wäre, der suchte dann in den Datenschutzrichtlinien nach der Einwilligungsmöglichkeit für exzessive Datenverarbeitung.“ (Prof. Dr. habil. Franziska Weber, Zeit für Inhalte in puncto Daten, S. 162 in: VuR, 2021, Heft 5, S. 161-162).