Bezahlen mit Daten

Was ab dem 1. Januar 2022 gilt, wenn die eigenen Daten zur Währung werden

Seit langem bereits werden etliche Online-Angebote den Nutzern ohne Zahlung eines Geldbetrages angeboten. Beispiele hierfür sind Social Media Plattformen wir Facebook, Spiele-Apps oder auch die Artikel der diversen Zeitungsverlage. All diese Unternehmen erzielen dennoch teils erhebliche Umsätze und Gewinne. Diese werden in vielen Fällen (auch) mit der Weiterverwendung der Nutzerdaten erzielt. Beispielsweise werden im Rahmen der Nutzung ermittelte persönliche Interessen für passgenaue Werbung genutzt, diese Werbeplätze werden entsprechende vergütet.

Die Nutzer „bezahlen“ die Angebote in den beschriebenen Fällen mit ihren Daten, die den Anbietern wirtschaftlichen Erfolg bringen. Diese personenbezogenen Informationen werden so zur Währung. Das BGB regelt dies ab dem 1. Januar 2022 nun auch ausdrücklich und stellt die Überlassung von Daten einer Geldzahlung gleich. Diese Neuregelung bringt für Unternehmen einige Fallstricke und birgt Risiken gerade im Datenschutzrecht. Betroffene Verbraucher werden dagegen künftig besser geschützt.

Neuregelungen im BGB

Unternehmen werben mit Schlagworten wie „umsonst“ oder „kostenlos“, gerade für Online-Angebote und Apps, Soziale Medien oder Gewinnspiele. Nutzer sind dabei schon daran gewohnt, sich im Gegenzug Werbeeinblendungen anzusehen oder Einblicke in ihr Nutzungsverhalten zu geben. Ein „Klassiker“ unter derartigen Angeboten ist Payback, denen Nutzer für geldwerte „Punkte“ Informationen über ihr Einkaufsverhalten zukommen lassen.

Unternehmen erhalten in all diesen Fällen von ihren Nutzern keine Geldzahlung für die bereitgestellten digitalen Produkte. Erfolgreich sind diese Geschäftsmodelle dennoch in den meisten Fällen. Der Gesamtumsatz von Facebook belief sich im Jahr 2020 auf rund 86 Milliarden US-Dollar. Payback erwirtschaftete im Jahr 2019 über 300 Millionen Euro.

Erzielt werden diese Umsätze nicht mit dem Verkauf der digitalen Produkte, sondern mit einem bisweilen deutlich wertvolleren Gut als Geld: Mit den Daten, die diese Unternehmen von den Nutzern erhalten. Diese Daten verkaufen die Unternehmen weiter oder nutzen sie, um etwa personalisierte Werbeplätze zu vermarkten.

Der Gesetzgeber hat vor dieser langjährigen Praxis in der Vergangenheit die Augen verschlossen. Zivilrechtlich war seit langem umstritten, wie der Austausch „Leistung gegen Daten“ zu behandeln ist. Im Datenschutzrecht schwelen die Diskussionen um die Zulässigkeit dieser Kopplung nicht erst seit Inkrafttreten der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO).

Kurz vor der Sommerpause ist der Gesetzgeber aktiv geworden und hat zwei Neuregelungen im BGB zum „Bezahlen mit Daten“ auf den Weg gebracht. Diese Neuregelungen dienen der Umsetzung der Digitale Inhalte Richtlinie (EU) 770/2019. Beide Neuregelungen stellen klar: Wenn ein Verbraucher für den Erhalt einer Leistung personenbezogene Daten bereitstellt, dann ist das so, als wäre es die Zahlung eines Geldbetrages. Unmittelbare Folge dieser Ergänzung in § 312 Abs. 1a und § 327 Abs. 3 BGB ist, dass das Verbraucherschutzrecht anwendbar ist.

Zum Datenschutzrecht schweigt der deutsche Gesetzgeber dagegen: Wann danach ein „Bezahlen mit Daten“ zulässig ist, richtet sich nach der DSGVO und dem Bundesdatenschutzgesetz (BDSG). In der Praxis bedeutet dies, dass auf Unternehmen einige Aufgaben zukommen, um ein „Bezahlen mit Daten“ rechtssicher zu gestalten.

Anwendungsbereich der Neuregelungen

Das Verbraucherschutzrecht gilt nach den Neuregelungen dann, wenn ein Verbraucher dem Anbieter personenbezogene Daten i.S.d. DSGVO bereitstellt oder sich dazu verpflichtet. Ausgenommen sind personenbezogene Daten, die der Anbieter braucht, um seine Leistung zu erbringen. Wenn der Anbieter die bereitgestellten Daten nur zur Vertragserfüllung oder zur Erfüllung anderer rechtlicher Pflichten verarbeitet, ist das Verbraucherschutzrecht nicht anwendbar. Beispiele hierfür sind etwa die überlassene E-Mail-Adresse, um ein digitales Angebot zuzuschicken. Oder die Angabe von Rechnungsdaten, die der Anbieter zur Erfüllung von steuerrechtlichen Pflichten benötigt.

Der Verbraucher kann die Daten aktiv bereitstellen, dem Anbieter also mitteilen. Oder der Verbraucher lässt es passiv zu, dass der Anbieter die Daten bei ihm erhebt. Beide Fälle sind erfasst. Der Gesetzgeber will sogar die Einwilligung in das Setzen von Cookies oder ein Werbetracking auf Webseiten ausreichen lassen, wenn darüber ein Vertrag geschlossen wird.

Die Neuregelungen in § 312 Abs. 1a und § 327 Abs. 3 BGB führen dazu, dass bei einem „Bezahlen mit Daten“ das gesamte Verbraucherschutzrecht Anwendung findet. Unternehmen müssen die Anforderungen also vollumfänglich einhalten. Verbraucher können sich darauf berufen. Auch Verbraucherschutzverbände können das nun durchsetzen.

Die Einführung der Neuregelungen war hoch umstritten. Kritiker befürchteten einen „Ausverkauf der Daten“. Durchgesetzt haben sich die Befürworter der Regelungen: Die Normierung und Regulierung der ohnehin seit Jahren gelebten Praxis Leistung gegen Daten schützt Verbraucher.

Risiken beim Datenschutz

Zum Datenschutzrecht hat sich der Gesetzgeber beim Erlass der Neuregelungen nicht geäußert: Was datenschutzrechtlich zulässig ist, richtet sich nach DSGVO und BDSG.

Unternehmen stehen damit einer erheblichen Herausforderung gegenüber: Wenn Nutzer ihre Angebote mit ihren Daten bezahlen, ist es kommerziell essentiell, dass die Unternehmen diese Daten auch verwerten dürfen. Das setzt voraus, dass die personenbezogenen Daten der Nutzer im Einklang mit dem anwendbaren Datenschutzrecht erhoben werden. Zentrale Voraussetzung dafür ist das Vorliegen einer Erlaubnisgrundlage. Fehlt eine datenschutzrechtliche Erlaubnisgrundlage, dürfen die personenbezogenen Daten nicht verarbeitet werden. Der mit dem Verbraucher abgeschlossene Vertrag bleibt aber regelmäßig wirksam. Der Unternehmer muss also seine Leistung erbringen. Die dafür erhaltene Gegenleistung darf er aber u.U. nicht verwerten.

Um diese missliche Situation zu vermeiden, ist eine datenschutzkonforme Ausgestaltung des Bezahlvorgangs unabdingbar. Das Risiko der richtigen Wahl liegt dabei allein beim Unternehmen.

Einwilligung, Vertragserfüllung oder berechtigte Interessen?

Dafür muss sich ein Unternehmen zunächst entscheiden, auf welcher Erlaubnisgrundlage der DSGVO die erhaltenen Daten erhoben und verarbeitet werden sollen. Zur Auswahl steht ein ganzer Blumenstrauß an Optionen. Einer näheren Betrachtung sollten die Einwilligung, Vertragserfüllung und berechtigte Interessen unterzogen werden (Art. 6 Abs. 1 lit. a, b, f DSGVO):

  • Die Vertragserfüllung deckt die Erhebung und Verarbeitung der als Bezahlung erhaltenen Daten regelmäßig nicht ab. Von einem „Bezahlen mit Daten“ spricht das Gesetz nur, wenn das Unternehmen die erhaltenen Daten gerade nicht für die eigentliche Vertragserfüllung oder wegen gesetzlicher Pflichten benötigt. Dann aber greift die Erlaubnisgrundlage nicht.
  • Interessen des Unternehmens an der Verarbeitung der Daten können ein „berechtigtes Interesse“ begründen. Das gilt jedenfalls dann, wenn die gegen eine Verarbeitung sprechenden Betroffeneninteressen diese Unternehmensinteressen nicht überwiegen. Schon diese Zusammenfassung zeigt: Die Erlaubnisgrundlage „berechtigte Interessen“ setzt eine umfassende Interessenabwägung voraus, die auch den Einzelfall beachten muss. In der Praxis bringt dies einen erheblichen Aufwand und viel Rechtsunsicherheit mit sich.
  • In der Praxis wird daher regelmäßig auf die Einwilligung gesetzt. Dafür muss ein Unternehmen den Nutzer beim Vertragsschluss fragen, ob er seine Daten für einen konkreten Zweck bereitstellt. Wirksam und damit belastbar ist eine solche Einwilligung nur, wenn sie freiwillig abgegeben wird.

Wann eine Einwilligung „freiwillig“ abgegeben wurde und damit wirksam ist, ist Gegenstand endloser Debatten. Für Unternehmen ist beim „Bezahlen mit Daten“ besonders wichtig, auf drei Anforderungen zu achten:

  1. Der Nutzer muss aktiv bestätigen, dass er mit dem „Bezahlen mit Daten“ einverstanden ist. Diese Anforderungen können Unternehmen z.B. mit einer eigenen „Klickbox“ umsetzen, die noch leer ist und in der vom Nutzer aktiv ein Haken gesetzt werden muss. Aber auch innovativere Lösungen sind zulässig, z.B. das „Swipen“ auf dem Smartphone, wenn der Nutzer darüber aufgeklärt wird, welche Wirkung sein „Wischen“ nun hat.
  • Das Unternehmen muss den Nutzer umfassend darüber informieren, welche Daten wozu erhoben und wie diese Daten verarbeitet werden. Nur, wer weiß, was mit seinen Daten geschieht, kann auch freiwillig darüber entscheiden. Den Informationspflichten aus dem Datenschutzrecht kommt damit eine erweiterte kommerzielle Bedeutung zu. Sie sind nicht mehr nur wichtig, um einen Datenschutzverstoß zu vermeiden. Die Erfüllung der Informationspflichten wird auch elementar für die kommerzielle Verwertung der erhaltenen Daten.
  • Die größte Herausforderung liegt schließlich für Unternehmen in einem scheinbaren Widerspruch zwischen den Neuregelungen im BGB und der DSGVO: dem sog. Kopplungsverbot.

Nach dem sog. Kopplungsverbot des Art. 7 Abs. 4 DSGVO soll ein wirksame Einwilligung regelmäßig ausgeschlossen sein, wenn die Einwilligung Bedingung für die Erfüllung eines Vertrages ist. Genau darum geht es aber beim Bezahlen mit Daten: Nur, wenn ein Nutzer diese Daten bereitstellt, ist das Unternehmen bereit zu leisten.

Überzeugend ist allerdings ohnehin nur ein relatives Verständnis des Kopplungsverbots: Nicht jede Verbindung einer Einwilligung mit einer Leistung ist unzulässig. Erst und nur, wenn keine freiwillige Entscheidung mehr möglich ist, scheidet eine freiwillige Einwilligung aus. Wenn ein Betroffener nicht auf die Nutzung einer Leistung angewiesen ist, kann er auch freiwillig entscheiden, ob er mit seinen Daten zahlen möchte.

Verarbeiten Unternehmen Daten auf Grundlage einer Einwilligung, kann der Betroffene dies jederzeit mit seinem Widerruf beenden. Auch, wenn ein Nutzer mit Daten bezahlt hat, kann er seine dabei abgegebene Einwilligung widerrufen. Für den Unternehmen ist das riskant: Er gibt seine Leistung gegen Bezahlung mit Daten. Ob er diese Daten ausreichend lange verarbeiten darf, gleicht aber einem Glücksspiel: Der Nutzer kann dies jederzeit beenden, indem er seine Einwilligung widerruft. Auf den Vertrag und die Leistung hat dies zunächst keinen Einfluss.

Das neue digitale Vertragsrecht im BGB schützt das Unternehmen vor einer solchen Situation: Wenn die Leistungserbringung durch den Einwilligungswiderruf für das Unternehmen unzumutbar wird, kann das Unternehmen den Vertrag kündigen (§ 327q BGB).

Was sich künftig ändern wird

Die Neuregelungen im BGB sind ab dem 1. Januar 2022 für Verbraucherverträge zu beachten. Spätestens ab dann sollten Unternehmen besonderen Wert auf eine transparente Information legen, wenn sie personenbezogene Daten als Gegenleistung nutzen und verwerten wollen.

Die Neuregelungen bringen dabei nicht nur mehr Rechte für Verbraucher. Sie schützen auch Unternehmen, da sie einen ersten Beitrag zu mehr Rechtssicherheit leisten. Gerade im Datenschutzrecht ist für eine echte Rechtssicherheit aber noch viel zu tun. Nachdem der Gesetzgeber hier nicht geholfen hat, bleibt die Hoffnung, dass dies demnächst die Rechtsprechung übernehmen wird.