Zum Inhalt springen Zur Navigation springen
Bezahlen mit Daten im Verhältnis zur DSGVO und TTDSG

Bezahlen mit Daten im Verhältnis zur DSGVO und TTDSG

Artikel von Dr. Datenschutz·6. Februar 2023

Dieser Beitrag beschäftigt sich damit, wie das zivilrechtlich ausgestaltete „Bezahlen mit Daten“ zu der DSGVO und dem TTDSG steht. Was darf der Unternehmer, welche Rechtsgrundlagen gibt es und wie wird der Verbraucher datenschutzrechtlich geschützt?

Vorab zur Einführung

In dem Beitrag Bezahlen mit Daten kann nachgelesen werden, wie die dID-Richtlinie (Digitale-Inhalte-Richtlinie) im BGB umgesetzt wurde und ob diese neue Regelung ein Widerspruch zum Koppelungsverbot aus der DSGVO darstellt.

Das Verhältnis des TTDSG zur DSGVO und wie sich dieses Verhältnis auf die Cookie-Policy auswirkt, hatten wir in dem Beitrag zu Cookies und Datenschutz besprochen.

Der Hintergrund der Datenökonomie

Verbraucher und Unternehmen erzeugen Daten, wenn sie Produkte und Dienstleistungen nutzen. Die sog. Datenökonomie oder Datenwirtschaft bedeutet, dass Daten ein Wirtschaftsgut sind und sich monetarisieren lassen.

Laut der Europäischen Datenstrategie dürften die Mitgliedstaaten bis 2028 einen BIP-Zuwachs in Höhe von 270 Mrd. EUR verzeichnen.

Inzwischen hat jeder Werbetreibende verstanden, dass sich mit Daten Geld machen lässt. Viele Branchen haben das lukrative Schalten von personalisierter Werbung durch das gezielte Setzen von Cookies schon früh erkannt und perfektioniert.

Zahlen mit Daten und das BGB

Durch die Umsetzung der dID-Richtlinie scheint der Gesetzgeber in § 312 Abs. 1a und § 327 Abs. 3 BGB eine Gleichstellung der Zahlung eines Entgelts mit der Bereitstellung bzw. der Verpflichtung der Bereitstellung von personenbezogenen Daten geregelt zu haben.

Gleichzeitig schaffen die neuen Normen ein Mängelgewährleistungsrecht für digitale Produkte, indem die direkte Anwendung der bestehenden verbraucherschützenden Vorschriften der §§ 312 bis 312h BGB auf Verträge über digitale Produkte angeordnet wird.

Diese Regelungen bleiben nur auf Verbraucherverträge, also dem Verhältnis zwischen Verbraucher und Unternehmer anwendbar, § 310 Abs. 3 BGB.

Bestes Praxisbeispiel hierfür ist die Website einer Zeitung, die nach Aufruf den Besucher fragt, ob er/sie den Artikel wahlweise mit Werbung und Tracking oder gegen ein Entgelt (meistens im Abo) lesen möchte.

Der EDSA spricht sich hingegen deutlich gegen das Konzept der Daten als Zahlungsmittel aus:

„Da Datenschutz ein Grundrecht ist, das in Artikel 8 der Charta der Grundrechte der Europäischen Union verankert ist, und unter Berücksichtigung der Tatsache, dass eines der Hauptziele der DSGVO darin besteht, betroffenen Personen Kontrolle über die sie betreffenden Informationen zu verschaffen, können personenbezogene Daten nicht als Handelsware betrachtet werden. Selbst wenn die betroffene Person der Verarbeitung personenbezogener Daten zustimmen kann, kann sie ihre Grundrechte nicht im Rahmen dieser Vereinbarung eintauschen.“ (Rn. 54)

Da die §§ 312 Abs. 1a, 327 Abs. 3 BGB bei Bereitstellung von personenbezogenen Daten für Verbraucher nur die Anwendung der Vorschriften der Kapitel 1 und 2 dieses Untertitels anordnet, wie bei der Zahlung eines Entgelts, aber etwa Bereicherungsansprüchen in § 327q Abs. 3 BGB ausschließt, generell auf den Terminus (Gegen-)leistung in der Regelung verzichtet und auch keine Vorgaben zur Leistungsstörung, z.B. bei der Angabe von falschen Daten macht, könnte die Meinung vertreten werden, dass personenbezogene Daten durch diese Umsetzung der dID-Richtlinie nicht als gleichwertiger Ersatz für eine Geldleistung etabliert werden sollen. Dies bleibt jedenfalls umstritten.

Zahlen mit Daten und die DSGVO

Zunächst muss immer gefragt werden, für welchen Zweck die Daten verarbeitet werden. Entscheidend ist beim Modell Zahlen-mit-Daten die saubere Unterscheidung zwischen Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und anderen Zwecken, wie zum Beispiel dem Marketingzweck. Wenn wir beim Beispiel des Zeitungsartikels bleiben, will der Verlag die Daten meist auch für Marketingzwecke nutzen. Entsprechend § 312 Abs. 1a S. 2 BGB braucht es dann aber einer anderen rechtlichen Grundlage als Art. 6 Abs. 1 lit. b DSGVO, wenn die Daten als Entgelt nicht nur zur Vertragserfüllung bereitgestellt werden.

Unternehmer haben hierbei zu beachten, dass der Europäischen Datenschutzausschuss (EDSA) den Art. 6 Abs. 1 lit. b DSGVO eng auslegt. Verarbeitet der Unternehmer im Rahmen eines Zahlen-mit-Daten-Modells die Daten für andere Zwecke als für die Vertragserfüllung oder Vertragsanbahnung, muss er mit einem Verstoß gegen Verbraucherrechte und den damit zusammenhängenden Konsequenzen rechnen.

Bei der Frage, ob die Personalisierung von Inhalten und Werbung eine geschuldete Leistung (Facebook Timeline) und damit notwendig für Vertragserfüllung ist, ist aktuell noch als Frage im Rechtsstreit Schrems gegen Facebook anhängig.

Sofern die Werbung erforderlich für die Vertragserfüllung ist, weil dadurch die Leistung refinanziert wird, die ansonsten unwirtschaftlich wäre, sagt der EDSA ganz klar nein:

„Darüber hinaus kann Artikel 6 Absatz 1 Buchstabe b keine Rechtsgrundlage für verhaltensbasierte Werbung im Internet bieten, nur, weil die Erbringung des Dienstes indirekt mit einer solchen Werbung finanziert wird. Auch wenn eine solche Verarbeitung die Erbringung eines Dienstes unterstützen kann, reicht dies allein nicht aus, um zu begründen, dass sie für die Erfüllung des betreffenden Vertrags erforderlich ist. Der Verantwortliche müsste die unter Punkt 33 genannten Faktoren berücksichtigen.“ Rn. 53

Geht der Zweck also über die Vertragserfüllung hinaus, ist es auch Sicht des Unternehmers mit Blick auf die „heilige Kuh“ namens Verbraucher sicherer den Weg der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO zu wählen. Art. 6 Abs. 1 lit. a DSGVO sollte als Rechtsgrundlage gewählt werden, wenn wie in dem Onlineangebot einer Zeitung, diese nach Aufruf den Besucher fragt, ob er/sie den Artikel wahlweise mit Werbung und Tracking oder gegen ein Entgelt (meistens im Abo) lesen möchte. Selbstverständlich muss die Einwilligung freiwillig und ausdrücklich abgegeben werden, was an dieser Stelle kritisiert werden kann, hier aber nicht weiter ausgeführt werden soll.

Darüberhinaus soll nicht unerwähnt bleiben, dass Art. 6 Abs. 1 lit. f DSGVO auch als Rechtsgrundlage in Betracht kommen kann, da der § 327q Abs. 2 BGB auch den Widerspruch ausdrücklich erwähnt.

Art. 6 Abs. 1 lit. a DSGVO wäre die Rechtsgrundlage, die beim Beispiel Onlineangebot einer Zeitung, die nach Aufruf den Besucher fragt, ob er/sie den Artikel wahlweise mit Werbung und Tracking oder gegen ein Entgelt (meistens im Abo) lesen möchte, genutzt werden sollte. Problematisch ist hier das Verhältnis zum Koppelungsverbot, dessen Reichweite noch ungeklärt ist. Außerdem ist das auch Teil der aufsichtsbehördlichen Beschwerdeverfahren zu den „Pay oder Okay“-Lösungen die noyb gerade führt.

Zahlen mit Daten und das TTDSG

Das TTDSG ergänzt die Datenschutzvorschriften für Telekommunikations- und Telemediendienste aus der DSGVO. Werden bei dem Einsatz von Technologien keine personenbezogenen Daten verarbeitet, sind nur die Vorgaben des TTDSG, nicht aber diejenigen der DSGVO anzuwenden.

Bei Verarbeitungsprozessen, bei denen auch personenbezogene Daten verarbeitet werden, sind sowohl Normen aus dem TTDSG als auch der DSGVO zu beachten. Gemäß Art. 95 DSGVO sind die Regelungen des TTDSG bei den Telemediendiensten vorrangig anzuwenden, sofern sie dasselbe Schutzziel wie die DSGVO verfolgen.

Nach § 25 Abs. 1 TTDSG gilt grundsätzlich, dass eine Einwilligung in die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, notwendig ist.

Hiervon finden sich in § 25 Abs. 2 TTDSG Ausnahmen, wenn z. B. die Daten- und Informationsverarbeitung unbedingt erforderlich ist, unter anderem

„damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“, § 25 Abs. 2 Nr. 2 TTDSG.

Liegt in unserem Beispiel eine solche Ausnahme aus § 25 Abs. 2 Nr. 2 TTDSG vor, wenn der Nutzer den Artikel lesen will, indem er mit seinen Daten zahlt und der Verlag den Nutzer mit Cookies auf dem Endgerät trackt?

Einerseits ist der DSK zu § 25 Abs. 2 Nr. 2 TTDSG etwas verklausuliert der Auffassung, dass der Vertrag über digitale Produkte keine Auswirkungen auf die Anwendung des § 25 TTDSG hat. Noch deutlicher ist der EDSA, der in Rn. 55 für Cookies zur personalisierten Werbung immer eine Einwilligung fordert.

Wird andererseits eine Anwendung des § 25 TTDSG bejaht, hängt es davon ab, zu welchem Zeitpunkt eine solche Ausnahme aus Nr. 2 greifen würde:

Bietet der Unternehmer auf seiner Webseite eine Leistung an und kann der Verbraucher im nächsten Schritt ausdrücklich wählen, ob er die Leistung mit Geld oder mit seinen personenbezogenen Daten bezahlen möchte, liegt ein Verbrauchervertrag vor. Ab Abschluss dieses Vertrages kann die Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG in Betracht gezogen werden, da das Setzen von Cookies ab jetzt als unbedingt technisch notwendig erachtet werden könnte. Einer Einwilligung für das Setzen von Cookies bräuchte es jetzt nicht mehr.

Vor Vertragsschluss muss denklogisch eine Einwilligung in das Setzen von Tracking-Cookies abgegeben werden, da sie zu dem Zeitpunkt noch nicht technisch notwendig sind.

Was sagen die Gerichte?

Bisher gibt es keine richtungsweisende Entscheidung eines Gerichts, das sich mit dem „Datenschuldrecht“ oder dem „Datenschutzprivatrecht“ befasst hat. Es bleibt also abzuwarten, wie die Gerichte mit der Verflechtung Datenschutz und Schuldrecht umgehen werden, wie sie welche Norm überhaupt anwenden und auslegen. Bis dahin ist es umso wichtiger, rechtssichere und praktikable Lösungen zu wählen, die bei sorgfältiger Prüfung nicht zulasten des Verbrauchers gehen, da dieser nun einmal schützenswerter ist.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Wir verzichten inzwischen gänzlich auf Cookies und stützen das Tracking zur Website-Optimierung (keine Werbung!) auf das berechtigte Interesse nach Art. 6 Abs. 1) Lit f). Das geht derzeit leider nur mit EU-Anbietern, die dafür zertifiziert sind. Der große Vorteil: Besucher:innen sehen kein Einwilligungsbanner und kommen schneller zum Ziel. Unser Erfolg nach der Umstellung zeigt, dass es sich es sich lohnen kann auf datenbasiertes Re-Marketing zu verzichten.

    • Ich bin skeptisch, inwieweit Tracking überhaupt ohne Einwilligung möglich sein soll.
      Natürlich ist bei EU-Anbietern keine Einwilligung in die Drittlandübermittlung und den Kontrollverlust aufgrund der US-Gesetzgebung mehr nötig.
      Auch ist bei Verwendung „echter“ Auftragsverarbeiter (also nicht Google Analytics), keine Einwilligung in die Übermittlung an einen Dritten mehr nötig.
      Dann bliebe aber immer noch die Legitimierung der eigenen Verarbeitung und § 25 TTDSG, also der Zugriff und/oder das Speichern auf dem Endgerät.

      Die reine Statistik-Erfassung über ein lokal gehostetes MATOMO ließe sich ggf. mit einem Opt-Out realisieren, bei allem anderen über die simple Statistik-Erfassung hinaus sehe ich kein wirkliches „berechtigtes Interesse“ (DSGVO) und keine „essenzielle“ Verarbeitung i.S.d. TTDSG.

      Hinzu kommt m.E., dass beim „berechtigten Interesse“ auch ein Opt-Out angeboten werden müsste, so dass der komplette Verzicht auf das Consent-Banner so nicht möglich sein dürfte.

      Ansonsten:
      Spannendes Thema, das den großen Medienunternehmen noch einige schlaflose Nächte bereiten dürfte.

  • Prima, dann kann der EDSA ja gleich auch mal gegen Payback vorgehen. Ich freu‘ mich schon, dass die Kassiererin mich dann nicht mehr mit der blöden Frage nervt.

  • Verstehe dne Beitrag nicht. Wenn Daten zur Erfüllung des Vertrages erforderlich sind, ist man im 6b. Die zivilrechtlichen Regelungen sehen Daten gerade als „Zahlungsmittel“ vor. Geld hat auch nichts mit der Friseurleistung an sich zu tun. Wenn ich den Friseur nun mit Daten bezahle, muss ein Zusammenhang zum Haarschnitt bestehen? Das kann wohl kaum Hintergrund des Gesetzes sein…

    • Die neuen Regelungen im BGB bewirken eine Gleichstellung der Zahlung eines Entgelts mit der Bereitstellung bzw. der Verpflichtung der Bereitstellung von personenbezogenen Daten. Grundsätzlich kommt ein Vertrag zustande und es wird mit Daten „gezahlt“. Jedoch werden die erhobenen Daten in der Regel nicht nur für die Vertragsdurchführung verarbeitet, sondern für einen weiteren Zweck. Der weitere Zweck ist hier die Schaltung von Werbung und das Tracking des users. Hierfür wird eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO benötigt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.