"Werbung zulassen oder zahlen" - Die Bedeutung der frei erteilten GDPR-Zustimmung
- Autor: Niklas Drexler
- Letzte Aktualisierung: 02.09.2019
- Kategorie: Allgemeine Verpflichtungen; Verbraucherrechte
Wenn die Verarbeitung personenbezogener Daten auf einer Einwilligung beruht, legt die EU-Datenschutzgrundverordnung (DSGVO) eine Reihe von Bedingungen fest, die erfüllt sein müssen, damit die Einwilligung des Nutzers als wirksam und rechtmäßig angesehen wird. Eine dieser Voraussetzungen, auf die wir näher eingehen wollen, ist, dass die Einwilligung "freiwillig" erteilt werden muss.
"Freigegebene" Einwilligung bedeutet unter anderem, dass eine unter Androhung oder Erpressung erteilte Einwilligung ungültig ist. Abgesehen von solchen offensichtlichen Situationen muss der Nutzer eine wesentliche Wahlmöglichkeit haben. Ein Beispiel: Kürzlich haben wir in einem Blog darüber berichtet, wie die Aufsichtsbehörden auf eine Opt-in-Einwilligung für die Verwendung von Cookies und Web Beacons drängen. Ist die Einwilligung "frei gegeben", wenn der Nutzer entweder der Verwendung von Marketing-Cookies zustimmt oder wenn er für die Anzeige einer Website gesperrt wird oder zumindest für etwas bezahlen muss, das er sonst kostenlos erhält?
Was besagt das Gesetz?
Art. 7 (4) der Datenschutz-Grundverordnung lautet wie folgt:
"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist insbesondere zu berücksichtigen, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung in die Verarbeitung personenbezogener Daten abhängig gemacht wird, die für die Erfüllung dieses Vertrags nicht erforderlich ist."
Was bedeutet diese juristische Formulierung? Der für die Verarbeitung Verantwortliche kann die Entscheidung, ob er einen Vertrag mit einem potenziellen Kunden abschließt, nicht an die Bedingung knüpfen, dass der Kunde z. B. in die Verwendung seiner personenbezogenen Daten für die Verbreitung von Werbebotschaften einwilligt, die er entweder annehmen oder ablehnen kann. Das Unternehmen kann vielmehr den Kunden im Rahmen des Vertragsabschlusses um seine Zustimmung bitten - darf den Kunden aber nicht allein deshalb ablehnen, weil er seine Zustimmung verweigert.
Dieses Konzept macht Sinn, wenn man das Zusammenspiel mit anderen Gründen für die rechtmäßige Verarbeitung personenbezogener Daten betrachtet. Die Verwendung von Kundendaten, z. B. zur Ausstellung von Rechnungen, ist für die Erfüllung des Vertrags erforderlich und bedarf daher keiner Einwilligung. Eine Einwilligung muss nur dann eingeholt werden, wenn der Zweck der Verarbeitung über den Vertragszweck hinausgeht, wie z. B. die Übermittlung von Werbebotschaften, und kein anderer rechtlicher Grund wie etwa ein berechtigtes Interesse vorliegt.
Was sagen die Aufsichtsbehörden?
Der Europäische Datenschutzausschuss (EDPB), ein EU-Gremium, hat Leitlinien zu den Bedingungen für die Einwilligung herausgegeben. Darin heißt es:
"Das Element "frei" impliziert eine echte Wahlmöglichkeit und Kontrolle für die betroffenen Personen. Als allgemeine Regel schreibt die DSGVO vor, dass eine Einwilligung nicht gültig ist, wenn die betroffene Person keine echte Wahl hat, sich zur Einwilligung gezwungen fühlt oder negative Folgen erleidet, wenn sie nicht einwilligt."
Die Behörden argumentieren, dass sich die für die Datenverarbeitung Verantwortlichen nicht auf andere gleichwertige Angebote auf dem Markt berufen dürfen, die von ihren Nutzern keine Einwilligung in die Verwendung personenbezogener Daten verlangen. Um zu unserem anfänglichen Beispiel zurückzukehren, impliziert der EDSB eine Antwort auf die Frage, ob Online-Diensteanbieter Besucher von bestimmten Inhalten sperren dürfen: Eine solche Gestaltung kann nicht mit dem Argument gerechtfertigt werden, dass die Nutzer die Wahl haben, sich einen anderen Dienstanbieter zu suchen.
Ein weiterer wichtiger Aspekt bei der Gestaltung gültiger Einwilligungsoptionen ist der Begriff der Granularität. Wenn Nutzer in verschiedene Zwecke der Datenverarbeitung einwilligen (z. B. Marketingnachrichten und gemeinsame Nutzung der Daten innerhalb einer Gruppe), müssen die betroffenen Personen die Möglichkeit haben, ihre Einwilligung für jeden einzelnen Zweck zu erteilen oder zu verweigern.
Darüber hinaus muss der für die Datenverarbeitung Verantwortliche nachweisen können, dass die Nutzer ihre Einwilligung ohne Nachteile verweigern oder zurückziehen können, d. h. dass ein solches Verhalten nicht zu zusätzlichen Kosten oder eingeschränkten Produkten oder Dienstleistungen führt. Der Europäische Datenschutzbeauftragte räumt vage ein, dass die Datenschutz-Grundverordnung "nicht alle Anreize ausschließt", wie z. B. exklusive Vorverkäufe für Abonnenten der Unternehmenszeitschrift, die in deren Erhalt eingewilligt haben, überlässt aber die Beweislast und damit das Risiko der Nichteinhaltung dem für die Datenverarbeitung Verantwortlichen.
Im Beschäftigungskontext wird die Einwilligung häufig als unfreiwillig und damit ungültig angesehen. Für Nicht-EU-Unternehmen gilt dies offenbar nur für Arbeitnehmer, die der DSGVO unterliegen. Wenn Unternehmen beabsichtigen, neue Verarbeitungen von Mitarbeiterdaten durchzuführen, ist eine eingehende rechtliche Prüfung empfehlenswert. Andere Rechtfertigungsgründe als die Einwilligung, z. B. ein berechtigtes Interesse, können im Einzelfall eine angemessene Alternative sein.
Was sagen die Gerichte dazu?
Noch nicht viel. Der Europäische Gerichtshof, die höchste Instanz, die über die Auslegung der Datenschutz-Grundverordnung entscheidet, hat noch keinen Präzedenzfall zu diesem Thema erlassen. Aber das scheint nur eine Frage der Zeit zu sein. In der Zwischenzeit heizen interessante Urteile nationaler Gerichte die Debatte an.
Im August 2018 bestätigte der Oberste Gerichtshof in Wien, Österreich, die oben genannte Auslegung von Art. 7 Abs. 4 DSGVO und erklärte eine Klausel für unwirksam, die eine Einwilligung in die Verwendung personenbezogener Daten zu Marketingzwecken enthielt. Der Kunde hatte nur die Wahl, den Allgemeinen Geschäftsbedingungen einschließlich dieser Klausel zuzustimmen oder den Vertrag nicht abzuschließen.
Das Oberlandesgericht Frankfurt am Main hat im Juni 2019 über die Wirksamkeit einer im Rahmen eines kostenlosen Gewinnspiels erteilten Einwilligung entschieden. Ein Website-Anbieter bot die Teilnahme nur unter der Bedingung an, dass der Nutzer in den Erhalt von Werbebotschaften von 8 Partnerunternehmen einwilligte: Keine Einwilligung - keine Gewinnchance. Die Richter urteilten, dass eine solche Einwilligung aus freien Stücken gegeben wurde, und argumentierten, dass es dem Verbraucher obliegt, zu entscheiden, ob sich die Weitergabe der angeforderten Informationen als Gegenleistung für die Teilnahme an der Lotterie gelohnt hat.
In seiner Urteilsbegründung ging das Gericht nicht einmal darauf ein, ob Art. 7 (4) GDPR in dem gegebenen Kontext irgendeine Auswirkung hatte. Warum eigentlich? Das wird wohl das Geheimnis des Gerichts bleiben. Eine mögliche Erklärung ist, dass das Gericht die Teilnahme an der fraglichen Lotterie nicht als Vertrag ansah, was aufgrund des besonderen deutschen Lotteriegesetzes der Fall sein könnte. Eine andere Erklärung könnte sein, dass sie diese relativ neue Rechtsnorm einfach nicht berücksichtigt haben.
Ausblick: Monetarisierung von Daten?
Die Datenschutz-Grundverordnung macht es Unternehmen, insbesondere Online-Diensteanbietern, schwer, Nutzerdaten zu Geld zu machen. Die Behörden wenden strenge Auslegungen an, die eindeutig darauf abzielen, bestimmte datengesteuerte Geschäftsmodelle oder zumindest die Idee, Zugang zu persönlichen Informationen als Gegenleistung für die Nutzung von Diensten zu gewähren, zu zerschlagen.
Eine alternative strategische Lösung ist die Einführung von Paywalls als Alternative zur Einwilligung. Bei diesem Konzept werden die Nutzer vor die Wahl gestellt, entweder für Inhalte zu bezahlen oder der Verwendung ihrer Daten zuzustimmen. Dieser Ansatz spiegelt sich auch im kalifornischen Consumer Privacy Act wider, der am 1. Januar 2020 in Kraft tritt: Nach diesem Gesetz des US-Bundesstaates können Unternehmen unterschiedliche Preise anwenden, wenn die Unterschiede in einem angemessenen Verhältnis zu dem Wert stehen, den die Daten des Verbrauchers für ihn haben.
Die Rechtsgültigkeit einer solchen Lösung im Rahmen der Datenschutz-Grundverordnung ist jedoch noch nicht geklärt und wird wahrscheinlich Gegenstand von Rechtsstreitigkeiten sein. Äußerungen des EDPB deuten darauf hin, dass die Behörden diesen Ansatz nicht akzeptieren werden und stattdessen darauf drängen, dass kostenlose Dienste generell kostenpflichtig werden. Das Urteil des Oberlandesgerichts Frankfurt deutet in eine andere Richtung. Die Zuständigkeit für endgültige Entscheidungen liegt weiterhin bei den Gerichten, insbesondere dem Europäischen Gerichtshof. Wir bleiben am Ball.
