Das Bezahlen mit personenbezogenen Daten – etwa für einen Download oder eine Gewinnspielteilnahme – unterliegt zumindest im Hinblick auf Verbraucher in Deutschland mehr gesetzlichen Anforderungen als weithin bekannt. Eine Klarstellung im Gesetz erlaubt Bezahlen mit Daten nun eindeutig, stuft das Ganze aber als Verbrauchervertrag ein, was für Verantwortliche jedoch zu etlichen neuen Pflichten führt – und zu einigen neuen Rechtsunsicherheiten.
Bezahlen mit Daten und das datenschutzrechtliche Kopplungsverbot
Mit der Datenschutz-Grundverordnung (DSGVO) erfuhr das sogenannte Koppelungsverbot in Art. 7 Abs. 4 DSGVO eine deutliche Verschärfung. Dies führt immer wieder zu Diskussionen, inwieweit es noch möglich ist, im Rahmen von Aktionen – meist Gewinnspielen – die Preisgabe von personenbezogenen Daten zu verlangen, um diese zu verarbeiten und regelmäßig für Marketingzwecke zu verwenden.
Mittlerweile ist weitgehend anerkannt, dass es möglich ist, eine Leistung von der Bereitstellung personenbezogener Daten als Gegenleistung abhängig zu machen. Entsprechende Geschäftsmodelle, bei denen statt mit Geld mit personenbezogenen Daten bezahlt wird, sind grundsätzlich erlaubt.
Entscheidend ist, dass Sie Betroffenen transparent und unmissverständlich klarmachen, dass ein vertragliches Austauschverhältnis begründet wird. Bereits bei der Bezeichnung des Angebots sollten Sie daher Worte wie „kostenlos“, „umsonst“ oder „gratis“ vermeiden. Betroffenen ist vielmehr leicht verständlich zu vermitteln, dass eine bestimmte Verarbeitung personenbezogener Daten die Gegenleistung für eine erbrachte Leistung darstellt.
Darüber, welche Daten Sie zu welchen Zwecken unter welchen Umständen verarbeiten, haben Sie die Betroffenen detailliert zu informieren. Denn Betroffene müssen schließlich zu diesem Austauschvertrag ausdrücklich ja sagen. Wie bei einer sonstigen Bestellung auch, hat also klar zu sein, dass Betroffene etwas bestellen und dafür – in diesem Fall mit Daten – bezahlen.
Tipp: In unserem ausführlichen Ratgeber erfahren Sie mehr über das Kopplungsverbot in der DSGVO.
Verschärfung der Rechtslage bei Verbraucherverträgen
Die Beachtung der datenschutzrechtlichen Aspekte allein reicht nun allerdings seit Mitte 2022 nicht mehr aus. Mit dem Gesetz für faire Verbraucherverträge wurde auch § 312 BGB (Bürgerliches Gesetzbuch) geändert, der nunmehr in seinem Absatz 1a Satz 1 vorsieht:
„Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet.“
Ausgenommen hiervon sind nach Satz 2 nur die Fälle, in denen die bereitgestellten Daten ausschließlich zur Erfüllung der mit den Daten bezahlten Leistung verwendet werden; also beispielsweise der Teilnahme am Gewinnspiel oder dem Zugang zu Informationen.
Im Ergebnis ist damit gesetzlich klargestellt, dass ein Bezahlen mit Daten möglich ist. Aber, sofern es um Daten von Verbrauchern geht, gilt das Ganze nun eben auch als vollwertiger Verbrauchervertrag. Einfacher ist es danach nur für Angebote ausschließlich im B2B-Bereich, die sich nicht an Verbraucher richten.
Diese Einordnung des Bezahlens mit Daten als Verbraucherverträge hat erhebliche Auswirkungen, wobei viele Details leider noch ungeklärt sind. Die folgenden Punkte sind daher nur Beispiele, über was Verantwortliche sich nun Gedanken machen sollten:
Neue Informationspflichten
Zusätzlich zu den Pflichten, über die Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO zu informieren, müssen Sie weitere Informationen bereitstellen. Art. 246a § 1 des Einführungsgesetzes zum BGB sieht 19 Unterpunkte vor, von denen einige deutlich über die Mindestangaben zum Datenschutz hinausgehen. Um nur einige auszugsweise zu nennen:
- wesentliche Eigenschaften der Waren oder Dienstleistungen,
- den Gesamtpreis der Waren oder der Dienstleistungen, einschließlich aller Steuern und Abgaben, oder in den Fällen, in denen der Preis auf Grund der Beschaffenheit der Waren oder der Dienstleistungen vernünftigerweise nicht im Voraus berechnet werden kann, die Art der Preisberechnung,
- gegebenenfalls den Hinweis, dass der Preis auf der Grundlage einer automatisierten Entscheidungsfindung personalisiert wurde,
- im Falle eines unbefristeten Vertrags oder eines Abonnement-Vertrags den Gesamtpreis; dieser umfasst die pro Abrechnungszeitraum anfallenden Gesamtkosten und, wenn für einen solchen Vertrag Festbeträge in Rechnung gestellt werden, ebenfalls die monatlichen Gesamtkosten; wenn die Gesamtkosten vernünftigerweise nicht im Voraus berechnet werden können, ist die Art der Preisberechnung anzugeben,
- die Zahlungs-, Liefer- und Leistungsbedingungen, den Termin, bis zu dem der Unternehmer die Waren liefern oder die Dienstleistung erbringen muss, und gegebenenfalls das Verfahren des Unternehmers zum Umgang mit Beschwerden,
- das Bestehen eines gesetzlichen Mängelhaftungsrechts für die Waren oder die digitalen Produkte,
- gegebenenfalls das Bestehen und die Bedingungen von Kundendienst, Kundendienstleistungen und Garantien,
- gegebenenfalls die Laufzeit des Vertrags oder die Bedingungen der Kündigung unbefristeter Verträge oder sich automatisch verlängernder Verträge,
- gegebenenfalls die Mindestdauer der Verpflichtungen, die der Verbraucher mit dem Vertrag eingeht,
- gegebenenfalls die Funktionalität der Waren mit digitalen Elementen oder der digitalen Produkte, einschließlich anwendbarer technischer Schutzmaßnahmen,
- gegebenenfalls, soweit wesentlich, die Kompatibilität und die Interoperabilität der Waren mit digitalen Elementen oder der digitalen Produkte, soweit diese Informationen dem Unternehmer bekannt sind oder bekannt sein müssen, und
- gegebenenfalls, dass der Verbraucher ein außergerichtliches Beschwerde- und Rechtsbehelfsverfahren, dem der Unternehmer unterworfen ist, nutzen kann, und dessen Zugangsvoraussetzungen.
Achtung: Die gerade genannten Vertragsbedingungen müssen auf einem dauerhaften Datenträger zur Verfügung gestellt werden (§ 312 f Abs. 2 BGB). Hierfür genügt der Link auf andere Informationen im Internet nicht mehr. Notwendig ist eine E-Mail oder ein zum Download bereitgestelltes PDF.
Die Haftung des Anbieters wird verschärft
Es gelten die Regelungen zur Haftung für digitale Produkte (§ 327 Abs. 3 BGB), womit insbesondere eine Beweislastumkehr zu Lasten des Anbieters verbunden ist (§ 327k BGB). Im Streitfall wird ggf. vermutet, dass das Produkt einen Mangel aufweist.
Bei Mängeln können Schadensersatzansprüche geltend gemacht werden und dies noch zwei Jahre über das Ende der Produktbereitstellung hinaus.
In diesem Zusammenhang kommt erschwerend dazu, dass der Anbieter auch verpflichtet ist, das Produkt aktuell zu halten, insbesondere was dessen Sicherheit angeht (§ 327f BGB). Diese Verpflichtung lässt sich auch nicht durch AGB einschränken. Hier lauert ggf. ein nicht unerhebliches Risiko!
Vertragsbeendigung
Dass sich mit der Einordnung als echtem Vertrag auch die Frage nach einer juristisch korrekten Beendigung desselben stellt, dürfte ebenfalls manchen überraschen. Wie sich die Dinge aber genau verhalten, ist unklar. In § 327q geht das BGB auf den Widerruf einer Einwilligung ein. Allerdings dürfte diese gar nicht relevant oder möglich sein, wenn Daten als Gegenleistung auf Basis eines Vertrages bereitgestellt werden. Verträge werden nicht widerrufen, sondern gekündigt und über die Kündigungsumstände ist ja schließlich auch aufzuklären (siehe oben).
Welche konkreten Regelungen aber für solche Kündigungen gelten, ist offenbar ungeklärt. Richtet sich alles nach den gesetzlichen Regelungen? Sind abweichende Regelungen zulässig, insbesondere längere Kündigungsfristen? Und falls ja, in welchem Rahmen? Es kann sicher angenommen werden, dass bei einer rechtlichen Wertung recht genau abgewogen wird, ob Qualität, Quantität und Dauer der eingeforderten Datennutzung dem angebotenen Produkt angemessen sind.
Fazit: Rechtliche Erleichterung nur auf den ersten Blick
Bezahlen mit Daten ist nur auf den ersten Blick eine einfache Lösung. Datenschutzrechtlich wenig kompliziert, sind die Fernwirkungen doch erheblich. Ob sich das Geschäftsmodell bei korrekter Umsetzung unterm Strich noch lohnt, ist sehr fraglich.
Allerdings sind die konkreten Anforderungen – wie so oft – in der Praxis weitläufig noch gar nicht bekannt und Verantwortlichen daher gar nicht bewusst. Und selbst wenn, sind oft die Lösungen nicht erprobt und unsicher. Dementsprechend werden aktuell sehr viele Angebot auch noch nicht korrekt umgesetzt, mit allen damit verbundenen Risiken: Haftung, Abmahnung, negative Aufmerksamkeit und Reputationsverlust.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!