Einführung 

Es ist bereits ständige Praxis, dass Social Media Angebote oder andere digitale Inhalte als “umsonst” oder “kostenlos” ausgeschildert werden, da kein Geld für die Leistungen verlangt wird.

Dennoch generieren die Anbieterinnen und Anbieter teils sehr große Umsätze im Zusammenhang mit diesen Angeboten. Das liegt daran, dass die Konsumenten zwar kein Geld für die Leistungen zahlen, aber ihre personenbezogenen Daten zur Verarbeitung freigeben. Sie zahlen also mit ihren Daten, welche die Unternehmen weiterveräußern oder anderweitig kommerzialisieren, um das Geschäft profitabel zu machen. Verarbeitung und Weiterveräußerung dienen meist der Platzierung von passgenauer Werbung.  

Bislang war die Rechtslage in solchen Fällen umstritten; es bestand weitgehend Uneinigkeit darüber, wie solche Verträge zivil- und auch datenschutzrechtlich einzuordnen waren, insbesondere ob und inwieweit das Verbraucherschutzrecht Anwendung finden sollte.

Die Rechtsunsicherheit rührte vor allem daher, dass es keine ausdrücklichen gesetzlichen Regelungen gab. Dies ändert sich nun mit der Umsetzung der europäischen Richtlinie zu digitalen Inhalten und Dienstleistungen (DIDRL (EU) 2019/770), welche am 01. Januar 2022 zur Umsetzung in nationales Recht in Kraft tritt.

Demnach ist das Bezahlen mit Daten künftig in §§ 312 Abs. 1a, 327 Abs. 3 BGB n.F. gesetzlich geregelt und sorgt vor allem für einen besseren Verbraucherschutz, da das gesamte Verbraucherschutzrecht nun Anwendung findet. Gleichzeitig wirft die neue Regelung aber auch einige datenschutzrechtliche Fragen auf.   

Auf die Neuregelungen und die von ihr aufgeworfenen datenschutzrechtlichen Fragen soll in diesem Beitrag eingegangen werden. 

Gleichstellung von Daten und Geld 

§ 312 Abs. 1a BGB n.F. besagt, dass Verbraucherinnen und Verbraucher als vertragliche Gegenleistung personenbezogene Daten bereitstellen können, also die Herausgabe der Daten die Gegenleistung zur Bereitstellung einer Dienstleistung oder eines Produktes ist.

Demnach wird eine Geldzahlung mit der Herausgabe von Daten künftig gleichgestellt. Unternehmen unterliegen in diesen Fällen dann aber auch allgemeinen Informationspflichten gegenüber den Konsumenten ihrer digitalen Inhalte. Sie müssen die Hauptleistungspflichten des Vertrages genau benennen, also zuvor explizit darauf hinweisen, dass mit personenbezogenen Daten bezahlt wird. Darüber hinaus muss für Verbraucherinnen und Verbraucher klar erkennbar sein, zu welchen Zwecken ihre Daten verwendet werden. 

Aus der Neuregelung folgt zudem, dass das Verbraucherschutzrecht beim Bezahlen mit Daten unmittelbare Anwendung findet. Das heißt, dass die Verträge seitens der Verbraucherinnen und Verbraucher beispielsweise innerhalb einer 14-tägigen Frist auch ohne Grund widerrufen werden können; gleichzeitig stehen Anbieterinnen und Anbietern aber auch Kündigungsrechte zu.

Die zivilrechtlichen Normen zum Verbraucherschutz finden allerdings keine Anwendung in Fällen, in denen die Bereitstellung der personenbezogenen Daten für die Erfüllung des Vertrages erforderlich ist und die Daten zu keinem anderen Zweck verarbeitet werden, vgl. § 327 Abs. 3 i.V.m. § 312 Abs. 1a S. 2 BGB n.F. 

Wahrung des Datenschutzes 

Neuregelungen bezüglich des Datenschutzes ergeben sich nicht aus der DIDRL. Der Datenschutz ist also anhand der Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) zu wahren.  

Bedürfnis einer Einwilligung oder einer anderen Erlaubnisgrundlage für die Datenverarbeitung? 

Offen ist, ob beim Bezahlen mit Daten eine Einwilligung oder eine andere Erlaubnisgrundlage zur Verarbeitung der personenbezogenen Daten im Sinne des Art. 6 Abs. 1 S. 1 lit. b-f DS-GVO einzuholen ist. Zur Datenverarbeitung bedarf es immer einer konkreten Erlaubnis beziehungsweise eines konkreten erlaubten Anlasses, sodass dies auch für Verträge gilt, bei denen die Bereitstellung der Daten die vertragliche Gegenleistung darstellt.

Das neue Vertragsmodell stellt für sich also keinen eigenen Erlaubnistatbestand dar. In Betracht kommen in Fällen vom Bezahlen mit Daten vor allem die Verarbeitung zur Vertragserfüllung gem. Art. 6 Abs. 1 S.1 lit. b DS-GVO, die Verarbeitung aufgrund berechtigter Interessen des Unternehmens gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO oder eine Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO. 

Zunächst könnte im Falle des Bezahlens mit Daten daran gedacht werden, die Verarbeitung der personenbezogenen Daten der Konsumenten als für die Vertragserfüllung erforderlich und somit gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO als gerechtfertigt anzusehen. Nach Einschätzung des Europäischen Datenschutzausschusses (EDSA) ist dies jedoch grundsätzlich zu verneinen (vgl. EDSA Guidelines 2/2019).

Es könne kaum argumentiert werden, dass der Vertrag über die Bereitstellung und Nutzung des jeweiligen Onlinedienstes nicht erfüllt worden sei, wenn bspw. keine personalisierte Werbung stattgefunden habe. Dem stehe auch nicht entgegen, dass die Bereitstellung der Dienstleistung oder des Produktes mit der gezielten Werbung finanziert werde. Damit Art. 6 Abs. 1 S.1 lit. b DS-GVO greife, müsse ein enger sachlicher Zusammenhang zwischen der Datenverarbeitung und dem Zweck des Vertrages zur Bereitstellung des Onlinedienstes bestehen.

Daran fehle es ist den meisten Fällen jedoch, da die Unternehmen die personenbezogenen Daten gerade nicht benötigen, um ihre vertraglich vereinbarten Leistungen zu erbringen, namentlich eine Plattform oder einen anderen Onlinedienst zur Verfügung zu stellen. Anbieterinnen und Anbieter würden die personenbezogenen Daten der Konsumenten lediglich als Gegenleistung annehmen.

Die Herausgabe der Daten sei also das Äquivalent zur Geldleistung, die ebenfalls für eine Vertragserfüllung seitens des Unternehmens nicht erforderlich sei; die Leistung könne auch ohne die Datenverarbeitung erfolgen und gehe nicht notwendig mit ihr einher. Nach Ansicht des EDSA ist der Erlaubnistatbestand der Erforderlichkeit zur Vertragserfüllung also restriktiv auszulegen. Dem schließen sich auch viele Stimmen in der Literatur an. Art. 6 Abs. 1 S. 1 lit. b DS-GVO dürfte somit in der Regel keine ausreichende Erlaubnisgrundlage darstellen.

Beim Bezahlen mit Daten könnte die Datenverarbeitung ein berechtigtes Interesse des Unternehmens begründen und deshalb erlaubt sein. Dies wäre anhand einer Interessenabwägung im Einzelfall zu bestimmen. Die Interessen der Anbieterinnen und Anbieter müssen demnach die Interessen der Betroffenen überwiegen. Daraus folgt, dass eine Datenverarbeitung nicht ohne Weiteres auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden kann, sondern es stets vom Einzelfall anhängt, was zu einer erheblichen Rechtsunsicherheit führt.   

In der Praxis wird die Verarbeitung personenbezogener Daten bisher in den meisten Fällen auf eine Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a DS-GVO gestützt. Das heißt, dass die Unternehmen die Nutzerinnen und Nutzer der digitalen Inhalte vor Vertragsschluss darüber informieren müssen, dass sie im Anschluss die personenbezogenen Daten verarbeiten und auch zu welchen Zwecken sie dies tun.

Verbraucherinnen und Verbraucher müssen dieser Verarbeitung sodann aktiv und freiwillig zustimmen, damit die konkrete Datenverarbeitung seitens des Unternehmens rechtmäßig ist. Daraus folgt erneut, dass die Unternehmen einige substantiierte Informationspflichten über die Datenverarbeitung und deren Zwecke treffen, da eine Einwilligung nur freiwillig sein kann, wenn die Betroffenen genau wissen, was mit ihren Daten geschieht, also welchen Verwendungen sie im Endeffekt zustimmen.  

Vereinbarkeit mit dem Kopplungsverbot? 

Es fragt sich zudem, ob eine Einwilligung im Rahmen eines Vertragsschlusses bei dem mit personenbezogenen Daten gezahlt wird, mit dem Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO vereinbar ist. Das Kopplungsverbot besagt, dass eine Einwilligung der betroffenen Person nicht freiwillig, also damit unwirksam ist, wenn sie an einen Vertrag gekoppelt ist, das heißt für einen Vertragsschluss vorausgesetzt wird.  

Deshalb stellt sich die Frage, ob eine Einwilligung in die Verarbeitung personenbezogener Daten freiwillig sein kann, wenn der oder die Betroffene dafür eine vertraglich vereinbarte Leistung erhält. Hierfür spricht der Grundsatz der Privatautonomie, wonach jede Person die Freiheit besitzt, einen Vertrag mitsamt seiner rechtlichen Konsequenzen nach seinem Belieben zu schließen oder eben nicht.

Da ein Verbraucher oder eine Verbraucherin sich im Fall des § 312 Abs. 1a BGB n.F. aktiv dafür entscheidet mit personenbezogenen Daten zu bezahlen, liegt eine Freiwilligkeit der Einwilligung nahe. Dies ist vor allem dann der Fall, wenn die Nutzerinnen und Nutzer auf die digitalen Inhalte und Dienstleistungen nicht angewiesen sind, also eine freiwillige Entscheidung in jedem Fall möglich bleibt.

Ein Widerspruch zu den Vorgaben der DS-GVO besteht vom Wortlaut her also erst einmal nicht. 

Gegenstimmen führen jedoch an, dass das Persönlichkeitsrecht der Betroffenen hierdurch stark kommerzialisiert wird. Genaueres dazu wird sich allerdings erst ab Inkrafttreten der neuen Regelungen des BGB ergeben. Rechtsprechung zu diesem Thema ist also abzuwarten um die Fragestellung letztlich abschließend klären zu können.  

Was darf der Unternehmer mit den erlangten Daten tun?  

Wenn mit Daten für digitale Inhalte bezahlt wird, stimmen die Konsumenten dieser Inhalte in der Regel auch einer etwaigen Verarbeitung ihrer personenbezogen Daten zu (s.o.). Berechtigt sind die Unternehmen dann zu allem, worin zuvor im Wege der Einwilligung zugestimmt wurde.

Pflicht der Anbieterinnen und Anbieter ist dann aber auch eine umfassende vorherige Information der Verbraucherinnen und Verbraucher darüber, zu welchen Zwecken die personenbezogenen Daten verarbeitet und verwendet werden (s.o.).  

In der Praxis erfolgt die Datenverarbeitung meist zur Platzierung personalisierter Werbung oder zur Entwicklung neuer Angebote und Inhalte. Außerdem werden die Daten auch häufig an Drittanbieter weiterveräußert. 

Auswirkungen bei Angabe falscher Daten 

Sofern zur Bezahlung falsche Daten angegeben wurden, haben die Betroffenen ihre vertraglichen Hauptleistungspflichten verletzt. Nach Erwägungsgrund 24 der DIDRL bestehen dann die vertraglichen Rechtsbehelfe. Es wäre also denkbar, dass das Unternehmen auf Vertragserfüllung, also auf Angabe der richtigen Daten klagen könnte.

Dies wäre aber etwas umständlich und wenig interessengerecht, da die Verbraucherin oder der Verbraucher mit der falschen Angabe zuvor deutlich macht, dass sie oder er mit der Datenverarbeitung nicht einverstanden ist. Eine Kündigung des Vertrages scheint in solchen Fällen einfacher und auch angemessener zu sein. Dasselbe gilt, wenn Daten gegen Ware, anstatt gegen den Zugang zu einem Onlinedienst herausgegeben werden. 

Anbieterinnen und Anbieter können den Vertrag mit Inkrafttreten der Neuregelungen nach dem Verbraucherrecht kündigen, wenn ihnen ein Festhalten am Vertrag gem. § 327q Abs. 2 BGB n.F. nicht zumutbar ist. Das dürfte insbesondere dann der Fall sein, wenn die Daten gar nicht herausgegeben wurden, also die vertraglich zugesagte Gegenleistung nicht erfolgt ist.

Gleiches gilt, wenn eine Einwilligung zur Verarbeitung widerrufen und eine weitere Verarbeitung damit explizit untersagt wurde. Dies könnte auch bei der Verwendung falscher Daten gelten, weil es den Unternehmen durch die falschen Daten kaum gelingen wird, ihr vertragsgemäßes Ziel, namentlich die Schaltung personalisierter Werbung, zu erreichen.  

Auswirkungen eines Widerrufs durch die Betroffenen  

Gem. § 355 BGB können Verbraucherinnen und Verbraucher sich ohne einen bestimmten Grund innerhalb der gesetzlich festgelegten Frist von 14 Tagen vom Vertrag lösen. Macht der oder die Betroffene von seinem oder ihrem Widerrufsrecht Gebrauch, wandelt der einstige Vertrag sich in ein Rückgewährschuldverhältnis um, sodass die erbrachten Leistungen zurückzugewähren sind.

Das bedeutet im konkreten Fall, dass Verbraucherinnen und Verbraucher keinen Zugang mehr zu den Onlinediensten erhalten, aber dafür auch ihre personenbezogenen Daten von dem jeweiligen Unternehmen nicht mehr verarbeiten werden dürfen; mit dem Widerruf des Vertrages wurde also auch die Einwilligung zur Datenverarbeitung zurückgenommen. Darüber hinaus müssen die Unternehmen die Daten der widerrufenden Partei auch löschen.  

Fazit 

Die Neuregelung im BGB bringt vor allem Klarheit in die zuvor sehr umstrittene und deshalb unsichere Rechtslage. Dies gilt insbesondere in Bezug auf die Anwendbarkeit des Verbraucherschutzrechtes. Bezüglich des Verhältnisses zum Kopplungsverbot der DS-GVO besteht derzeit noch Uneinigkeit, vom Wortlaut her dürfte es aber mit dem Bezahlen mit Daten vereinbar sein.  

Für Verbraucherinnen und Verbraucher dürften die Änderungen erfreulich sein, da sie durch die Anwendbarkeit der Verbraucherschutzvorschriften besser geschützt werden. Dies zeigt sich vor allem in der erhöhten Transparenz und Datensouveränität. Betroffene können künftig gezielt entscheiden, inwiefern sie ihre Daten herausgeben und damit bezahlen wollen, oder ob sie die Verarbeitung eher ablehnen und für die digitalen Inhalte eine Geldzahlung leisten möchten.

Außerdem können sie sich nun durch einen Widerruf gem. § 355 BGB leichter vom Vertrag lösen. Auf der anderen Seite können aber auch Unternehmen profitieren, da ihnen nun Kündigungsrechte zustehen und sie im Falle eines Widerrufs der Einwilligung ihre Produkte und Dienstleistungen nicht weiterhin kostenlos zur Verfügung stellen müssen.