Das datenschutzrechtliche Kopplungsverbot wird immer dann angesprochen, wenn z. B. für den Download eines Whitepapers eine Einwilligung für den Empfang eines Newsletters oder werblicher E-Mails verlangt wird. Doch ist diese Kopplung von Angebot und Einwilligung wirklich rechtswidrig? Oder fordert die europäische Datenschutz-Grundverordnung (DSGVO) nicht eher eine gründliche Abwägung – besteht also ein Kopplungsprüfungsgebot?
Was besagt das Kopplungsverbot?
Auch das jüngste europäische Datenschutzrecht verbietet jede Art von Verarbeitung personenbezogener Daten, sofern keine Rechtsgrundlage für diese Verarbeitung besteht. Das Prinzip nennt sich „Verbot mit Erlaubnisvorbehalt“. Eine der möglichen Rechtsgrundlagen für die Verarbeitung von Daten, die eine Person identifizieren oder identifizierbar machen, ist die Einwilligung.
Das Kopplungsverbot soll die Verarbeitung personenbezogener Daten bei Einwilligungen verbieten, wenn die Verarbeitung dieser Daten zur Erfüllung eines Vertrags oder der Bereitstellung einer Dienstleistung nicht erforderlich ist. Die in diesem Artikel beschriebenen Rechtsgrundlagen werden durch das Kopplungsverbot direkt oder indirekt beeinflusst.
Die Rechtgrundlagen Erfüllung eines Vertrags und Einwilligung
Im Kontext des Kopplungsverbots muss zwischen den Rechtsgrundlagen Erfüllung eines Vertrags (gem. Art. 6 Abs. 1 lit. b DSGVO) und Einwilligung (gem. Art. 6 I lit. a DSGVO) unterschieden werden.
Meist kann die Rechtsgrundlage zur Erfüllung eines Vertrags von Firmen als Datenschutz-Wunderwaffe eingesetzt werden. Diese Grundlage erlaubt die Verarbeitung allerdings nur, wenn sie auch erforderlich ist, um Waren oder Services anzubieten. Zur Bereitstellung von Leistungen müssen immer personenbezogene Daten verarbeitet werden. Sei es zur Versendung von Gütern oder bei Dienstleistungen – ohne menschliche Kontaktpersonen oder Informationen zu Personen, auf die eine Leistung zugeschnitten werden soll, geht es in aller Regel nicht. Damit können sich Unternehmen meist auf diese Rechtsgrundlage stützen.
In Fällen, in denen die Verarbeitung von personenbezogenen Daten nicht erforderlich ist, um den Vertrag auszuführen, kann sich ein Verantwortlicher auf die Einwilligung als alternative Rechtsgrundlage stützen. Klassische Beispiele sind die Weitergabe von Kundendaten an Dritte für zusätzliche Zwecke oder Zusendung von Newslettern. Für diese Verarbeitungen holen sich Verantwortliche Einwilligungen ein, die vom Betroffenen freiwillig erteilt werden müssen.
Art. 7 Abs. 4 DSGVO konkretisiert die Freiwilligkeit der Einwilligung und stellt die Brücke zum Kopplungsverbot her. Er besagt, dass eine Einwilligung eventuell nicht freiwillig erteilt wurde, wenn
- die Erfüllung eines Vertrags oder die Bereitstellung einer Dienstleistung von einer Einwilligung zur Verarbeitung von bestimmten personenbezogenen Daten abhängt und
- diese Daten nicht erforderlich sind um den Vertrag auszuführen.
Warum sollte beispielsweise eine Banking-App nur unter der Bedingung funktionieren, dass der Nutzerstandort jederzeit ausgelesen werden kann? Mit anderen Worten: Stellt ein Anbieter sein Produkt oder seine Dienstleistung ausschließlich unter der Bedingung zur Verfügung, Daten verarbeiten zu dürfen, die er eigentlich nicht zur Leistungserbringung benötigt, könnte die Einwilligung unfreiwillig erteilt worden sein. Im Ergebnis wäre die Einwilligung unwirksam und dem Anbieter würde die Rechtsgrundlage zur Verarbeitung der Daten fehlen. Das macht eine Verarbeitung illegal.
Demnach gilt das Erforderlichkeitskriterium neben der Erfüllung eines Vertrags auch für die Einwilligung. Die Gegenüberstellung der Rechtsgrundlagen Vertragserfüllung und Einwilligung zeigt: Eine auf strikter Erforderlichkeit beruhende Einwilligung könnte die Handlungsmöglichkeiten für Unternehmen bei der Verarbeitung von Daten deutlich einschränken. Denn die Einwilligung wird allzu gerne als Rechtsgrundlage benutzt, wenn nicht erforderliche Daten doch noch irgendwie rechtmäßig verarbeitet werden sollen.
Das Kopplungsverbot ist ein Schaf im Wolfspelz
Bei genauem Lesen des Art. 7 Abs. 4 DSGVO fällt jedoch auf, dass die fehlende Erforderlichkeit der Verarbeitung nicht zwangsläufig dazu führt, dass eine Einwilligung unfreiwillig erteilt wurde. Anders ausgedrückt: Die DSGVO setzt nicht fest, dass eine Einwilligung bei fehlender Erforderlichkeit unwirksam ist. Viel mehr spricht sie davon, dass bei der Bewertung, ob eine Einwilligung freiwillig erteilt wurde, der Erforderlichkeit „Rechnung getragen“ werden soll. Es gibt demnach viele Kriterien, die die Wirksamkeit bestimmen. Erforderlichkeit ist nur eines davon, ohne spezielles Gewicht zu tragen.
Im Ergebnis handelt es sich um eine Pflicht zur Prüfung, anstelle eines klassischen Verbots. Wir sprechen also eher von einem Kopplungsprüfungsgebot. In vielen Fällen wird dem Verantwortlichen in Zukunft nicht erspart bleiben, eine Abwägung zu treffen, die die Erforderlichkeit der fragwürdigen Datenverarbeitung zumindest analysiert. Es kann aber auch davon ausgegangen werden, dass die Unwirksamkeit der Einwilligung mangels Erforderlichkeit nur in Extremfällen zum Tragen kommt.
Zur Veranschaulichung sei ein Fall genannt, in dem neben Erforderlichkeit zusätzlich die Wahlfreiheit für Betroffene fehlt. Eine Versicherung mit Monopolstellung ist ein Extremfall, wenn sie ihre Leistung nur gegen dauerhafte Überwachung der Vitalfunktionen nebst Beitragszahlung anbietet.
Der Erforderlichkeitsmaßstab für die Erfüllung eines Vertrags gem. Art. 6 Abs. 1 lit. b DSGVO
Doch was passiert mit dem Erforderlichkeitsmaßstab für die Rechtsgrundlage Erfüllung eines Vertrags? Unternehmen ist diese Rechtsgrundlage lieber, weil sie nicht widerrufen werden kann. Die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags ist auch hier der Dreh- und Angelpunkt zur Bewertung, ob die Verarbeitung der Daten nötig ist, um die vereinbarte Vertragsleistung zu erfüllen.
Strikt gesehen könnte man davon ausgehen, dass jede Datenverarbeitung, die nicht direkt mit dem Produkt oder der Dienstleistung verwandt ist, auch nicht erforderlich ist. Zum Beispiel wäre ein Nagelstudiobesuch immer auf Bargeld gegen Nagelmodellage beschränkt. Jedem ist aber klar, dass eine Erinnerung zum nächsten Studiobesuch sehr angenehm sein kann. Würde der Erforderlichkeitsmaßstab strikt ausgelegt, dürften die Nagelstudios unseres Beispiels Kunden aber nicht mehr zur Terminerinnerung kontaktieren, da es schlichtweg nicht erforderlich ist, um Nägel aufzuhübschen. Logische Folge so einer strikten Betrachtung ist, dass sich Geschäftsmodelle und Leistungen niemals weiterentwickeln könnten.
Der gegenteilige Ansatz ist es zu sagen, dass alles erforderlich zur Erfüllung des Vertrags ist, was die Parteien vertraglich vereinbart haben. Demnach würden Verantwortliche alle möglichen Verarbeitungen in den Vertrag integrieren und dadurch rechtfertigen. Hier entsteht das Problem, dass Verbraucher bei nicht verhandelbaren Verträgen die Kontrolle über ihre Daten verlieren.
Bisher ist noch unklar welcher der beiden Ansätze vorherrschen wird. In der Regel liegt die Wahrheit in der Mitte. Deshalb ist ein vorläufiger Handlungsvorschlag, die Vertragsgestaltung auf die geplanten Datenverarbeitungen anzupassen. Wenn die Verarbeitungen Teil der versprochenen Vertragsleistung sind, ist nämlich eher davon auszugehen, dass sie für die Erfüllung des Vertrags erforderlich sind.
Bei dem Vorgehen sind einige Dinge zu beachten:
- Leistungen, die Sie in den Vertrag aufnehmen, müssen auch dauerhaft erbracht werden. Z. B. wären Sie zur Erinnerung an den nächsten Studiobesuch vertraglich verpflichtet, weil davon ausgegangen wird, dass der Kunde dafür bezahlt.
- Berufen Sie sich immer nur auf eine Rechtsgrundlage. Es ist davon abzuraten, zusätzliche Einwilligungen einzuholen.
- Erforderlichkeit in Beschäftigungsverträgen: Es gelten spezielle Regeln für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (Bewerber und Mitarbeiter). Diese finden sich in § 26 BDSG (Bundesdatenschutzgesetz).
Service gegen Daten im Internet
Neben den zuvor beschriebenen klassischen Vertragsverhältnissen (Produkt gegen Bezahlung), ist in den vergangenen Jahren ein alternatives Zahlungsmodell aufgekommen. Meist werden im Internet Dienstleistungen gegen personenbezogene Daten angeboten. Das kann reine Kontaktdaten betreffen oder bis zur Auslesung von Kaufverhalten oder sozialen Aktivitäten eines Betroffenen reichen. Payback und Facebook sind Beispiele für das Servicemodell gegen Daten, aber auch das Angebot eines Whitepaper-Downloads gegen zwingende Anmeldung zum Newsletter eines Unternehmens.
Das Kopplungsverbot spricht grundsätzlich nicht gegen dieses Servicemodell. Knifflig wird es, wenn Betroffene deutlich weniger aus dem Austauschverhältnis ziehen, als der Anbieter oder wenn die Wahl fehlt, einen alternativen Service zu benutzen. Die Freiwilligkeit ist aber in jedem Fall gegeben, solange vom Anbieter oder anderen Anbietern eine gleichwertige Leistung gegen Geld angeboten wird und eine Ausweichmöglichkeit ohne Nachteile für Betroffene besteht. Das Whitepaper-gegen-Newsletter-Modell bietet Betroffenen genügend Ausweichmöglichkeiten (z. B. Bezahlliteratur) und einen angemessenen Gegenwert zur Subscription (Whitepaper). Zudem hat das Bayerische Landesamt für Datenschutzaufsicht zur Thematik eindeutig Stellung bezogen (siehe S. 72 im PDF). Es sieht den Austausch von Online-Dienstleistungen gegen Newsletter-Subscription als vertragliches Verhältnis, das von Art. 6 Abs. 1 lit. b DSGVO gedeckt ist und demnach keiner Einwilligung bedarf. Voraussetzung sei aber, dass der Nutzer über die verpflichtende Preisgabe von Daten vor Vertragsschluss ausreichend informiert wird.
Ob ein Anbieter bei der Auslesung von Kaufverhalten oder sozialen Aktivitäten eine Monopolstellung innehat, also ein klares Ungleichgewicht besteht, wird zur Kopplungsbeurteilung entscheidender sein, als das Alternativangebot gegen Bezahlung. Das ist der Tatsache geschuldet, dass es in aller Regel schwierig ist, die Höhe der Geldzahlung festzusetzen, die anstatt einer Datenüberlassung fällig wäre. Der Wert der Daten hängt nämlich von der Art und Größe der Datenbank insgesamt ab. Diese Faktoren ändern sich mit der Zeit und sind nicht vorhersehbar.
Fest steht, dass der Beeinträchtigung der Freiwilligkeit der Einwilligung gem. Art. 7 Abs. 4 DSGVO Rechnung zu tragen ist, sobald der eingesetzte Preis eindeutig zu hoch ausfällt. Darüber hinaus steht fest, dass vermeintlich kostenlose Angebote nicht mehr als gratis deklariert werden können, weil transparent auf das Austauschverhältnis Daten gegen Leistung hingewiesen werden muss. Das Ende der Services gegen Daten ist mit dem Kopplungsprüfungsgebot jedenfalls nicht eingeläutet.
Update November 2018
Am 31. August 2018 fällte der Oberste Gerichtshof in Wien (Österreichs höchste Instanz in Zivil- und Strafsachen) ein Urteil in bzgl. des Kopplungsverbots. Dieses ist zwar nicht bindend für Gerichte anderer Mitgliedstaaten, könnte aber zumindest richtungsweisend sein.
Die Richter entschieden, dass eine an die Hauptdienstleistung gekoppelte Einwilligung zur Werbedatenverarbeitung inklusive Datenweitergabe an Dritte nicht mit den Voraussetzungen des Art. 7 Abs. 4 DSGVO vereinbar seien. Eine entsprechende Klausel war in den AGB eines TV-Dienstleisters enthalten, die er Kunden bei Vertragsschluss anerkennen ließ. Das Gericht stellte eine unerlaubte Kopplung der Dienstleistungserbringung mit der Einwilligung zu Werbezwecken fest, weil Werbung zur Erbringung der Dienstleistung nicht erforderlich sei. Zur Entscheidung trug zudem bei, dass Kunden nicht ausreichend transparent auf die Einwilligung in den AGB hingewiesen wurden.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.