Aufgrund neuer gesetzlicher Regelungen ist das Bezahlen mit Daten nun anerkannt. Dies erfolgte im Zuge der Umsetzung einer Richtlinie der Europäischen Union zu Verbraucherverträgen über digitale Produkte im Bürgerlichen Gesetzbuch, wie Rechtsanwalt Dr. Jens Eckhardt im Gespräch erläutert.
Herr Dr. Eckhardt, können Sie die neuen Regelungen zu den Verbraucherverträgen kurz beschreiben?
DR. ECKHARDT: Diese neuen Regelungen zielen in erster Linie auf die Erweiterung des Verbraucherschutzes ab. Durch sie wird aber auch das Bezahlen mit Daten im BGB erstmals explizit anerkannt, was diese Regelungen für die datenschutzrechtliche Diskussion über die Kopplung von Leistungen an Werbeeinwilligungen interessant macht. Allerdings kann diese Kopplung auch dazu führen, dass erstmals rechtliche Anforderungen an die gekoppelte Leistung, etwa ein sogenanntes Freemium, bestehen.
Was sind die wesentlichen Bestandteile der Neuregelung?
Das Bereitstellen von Daten durch einen Verbraucher als Bezahlung für eine Leistung wird nun anerkannt. Der Gesetzgeber tauschte dafür die Anforderung der Entgeltlichkeit einer Leistung gegen die sperrige Formulierung Zahlung eines Preises im Rahmen der Verbraucherschutzbestimmungen im BGB aus. In § 312 Abs. 1a S. 1 BGB ist nun klargestellt, dass ein derartiges Bezahlen auch dann vorliegt, wenn der Verbraucher dem Unternehmen personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Der Gesetzgeber hat damit die Vorgaben in der Digitale-Inhalte-Richtlinie (EU) 2019/770 umgesetzt. Das Bezahlen mit Daten ist damit im EU-Recht und im deutschen BGB anerkannt.
Was versteht man unter der Kopplung von Einwilligung und Leistung?
Für das Datenschutzrecht ist zunächst festzuhalten, dass Art. 7 Abs. 4 DS-GVO die Kopplung für die datenschutzrechtliche Einwilligung regelt. Eine Kopplung ist danach bei der Bewertung der Freiwilligkeit einer Einwilligung zu berücksichtigen. Datenschutzaufsichtsbehörden und allen voran der Europäische Datenschutzausschuss, kurz EDSA, wollen diese Regelung als Kopplungsverbot ausgelegt sehen. Der EDSA stellt auch heraus, dass Daten keine Handelsware seien. Dieses Verständnis ist mit Blick auf die Wertung des EU-Gesetzgebers in der Digitale-Inhalte-Richtlinie (EU) 2019/770, wie sie auch im BGB ihren Niederschlag gefunden hat, nun endgültig in dieser apodiktischen Absolutheit nicht mehr haltbar. Die Auslegung und Anwendung muss sich an diese Wertung anpassen.
Die neuen Regelungen sind aber nicht als Freibrief zu einer Kopplung zu verstehen?
Sowohl die Digitale-Inhalte-Richtlinie (EU) 2019/770 als auch das BGB stellen klar, dass die Regelungen der DS-GVO durch die neuen Vorschriften unberührt bleiben. Das bedeutet, dass ein Bezahlen mit einer Einwilligung in die Verarbeitung personenbezogener Daten, etwa zu Werbezwecken, weiterhin an Art. 7 Abs. 4 DS-GVO zu messen ist und – dies ist entscheidend – jedenfalls nicht mehr per se ausgeschlossen werden kann. Es muss ein Anwendungsbereich für das Bezahlen mit Daten auch im Rahmen des Art. 7 Abs. 4 DS-GVO bestehen. Gleichwohl werden die Karten für die Auslegung, Anwendung und Zulässigkeit eines Bezahlens mit Daten für die Praxis neu gemischt.
Hat die Neuregelung auch eine Schattenseite?
Ja, denn ein Bezahlen mit Daten führt grundsätzlich zur Anwendung der Verbraucherschutzbestimmungen gemäß den §§ 312 ff. BGB. Diese Verbraucherschutzbestimmungen müssen grundsätzlich in Bezug auf die Leistung angewendet werden, an die die Einwilligung in die Verarbeitung der Daten gekoppelt ist. Neben den Regelungen über Fernabsatzverträge mit ihren Hinweispflichten und Widerrufsreglungen kommen vor allem die neuen Regelungen über sogenannte digitale Produkte, wie in den §§ 327 ff. BGB, in Betracht. Diese Neuregelungen gelten gerade für die besonders leicht reproduzierbaren und damit gerne für Kopplungen eingesetzten digitalen Inhalte und Leistungen.
Wann ist der Anwendungsbereich ausgeschlossen?
Wenn ein Unternehmer die von einem Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet, begründet dies keine Anwendung der Verbraucherschutzbestimmungen – so ausdrücklich in § 312 Abs. 1a S. 2 BGB geregelt. Die datenschutzrechtliche Abgrenzung der Zwecke einer Verarbeitung kann damit auch für die Verbraucherschutzbestimmungen Bedeutung erlangen. Hierbei wird sich die Abgrenzung zwischen Art. 6 Abs. 1 S. 1 lit. b DS-GVO und Art. 6 Abs. 1 S. 1 lit. a DS-GVO, also Vertragserfüllung und Einwilligung, auswirken.
Gibt es hierzu schon eine einschlägige Rechtsprechung?
Die Frage dieser Abgrenzung hat jüngst der Oberste Gerichtshof Österreich dem Europäischen Gerichtshof vorgelegt. Das wird sich auch auf die Frage auswirken, ob eine Verarbeitung zum Marketing im Einzelfall als Verarbeitung zur Vertragserfüllung bewertet werden kann oder ob eine Einwilligung erforderlich ist.
Diese Diskussion wird im Marketing aber doch schon seit rund zwei Jahrzehnten immer wieder geführt?
Ja, aber neu ist nun, dass sich an eine Verneinung der Verarbeitung zur Vertragserfüllung gesetzliche Anforderungen zum Verbraucherschutz knüpfen können. Die Unterscheidung zwischen Verarbeitung von personenbezogenen Daten zur Vertragserfüllung und aufgrund einer Einwilligung hat also nicht nur eine datenschutzrechtliche Implikation, sondern entscheidet auch über die Pflicht zur Einhaltung weiterer rechtlicher Anforderungen.
Wie sind die neuen Regelungen im Kontext der DS-GVO einzuordnen?
Personenbezogene Daten, die nach der DS-GVO zur reinen Erfüllung der Pflicht gegenüber dem Kunden sowie gegebenenfalls zur Erfüllung von Aufbewahrungspflichten nach dem Handels- und Steuerrecht verarbeitet werden, gelten nicht als Zahlung. Dies muss ebenso für personenbezogene Daten gelten, die zwar nicht nach Art. 6 Abs. 1 S. 1 lit. b und lit. c DS-GVO, sondern insbesondere nach Art. 6 Abs. 1 S. 1 lit. f und Abs. 4 DS-GVO verarbeitet werden, obgleich kein Eigeninteresse des Unternehmens an der Verarbeitung dieser Daten besteht. Hier wird die Grenzziehung im Einzelfall genau zu prüfen sein.
Und wie verhält es sich mit personenbezogenen Daten, die hingegen für eigene Zwecke des Unternehmers, etwa eine personalisierte Werbung, verwendet werden?
Diese Daten laufen Gefahr, als Zahlung eines Preises bewertet zu werden. Die Geltung der Verbraucherschutzregelungen wird daher bei Konstellationen der unmittelbaren und mittelbaren Verwendung von Daten für Marketingzwecke zu hinterfragen sein. Die Anonymisierung kann hier jedoch eine wesentliche Rolle spielen, wenn dadurch überhaupt keine personenbezogenen Daten verarbeitet werden.
Was ist erfasst, was gilt?
Bei Anwendung der neuen Regelungen müssen im Kern drei Voraussetzungen vorliegen: Ein digitales Produkt, ein Vertrag zwischen Unternehmer und Verbraucher sowie die Zahlung eines Preises müssen gegeben sein. Digitale Produkte ist der Oberbegriff für digitale Inhalte und digitale Dienstleistungen. Digitale Inhalte sind Daten, die in digitaler Form bereitgestellt werden.
Es kommt also auf die Art und Weise der Bereitstellung an?
Ja, erfasst sind etwa Computerprogramme, Video- oder Audiodateien, digitale Spiele, elektronische Bücher und andere elektronische Publikationen. Derartige Inhalte werden häufig auch als Freemium im Gegenzug zu Werbeeinwilligungen bereitgestellt. Digitale Dienstleistungen sind zum einen solche, die dem Verbraucher entweder die Erstellung, die Verarbeitung oder die Speicherung von Daten in digitaler Form oder den Zugang zu derartigen Daten ermöglichen. Zum anderen fallen darunter aber auch die gemeinsame Nutzung einer Dienstleistung, die vom Verbraucher oder von anderen Nutzern in digitaler Form hochgeladene werden oder bei denen sonstige Interaktionen mit diesen Daten ermöglicht werden. Das sind beispielsweise Social-Media-Angebote, Verkaufs-, Vergleichs-, Vermittlungs- oder Bewertungsplattformen oder auch Cloud-Anwendungen.
Die neuen Regelungen haben einen weitreichenden Anwendungsbereich, oder?
Ja, die Spezialregelungen der §§ 327 ff. BGB gelten grundsätzlich auch für die Bereitstellung von körperlichen Datenträgern, die ausschließlich als Träger digitaler Inhalte dienen. Die Regelungen sind also nicht auf Online-Sachverhalte beschränkt. Sogar dann, wenn die digitalen Produkte nach den Spezifikationen des Verbrauchers entwickelt werden, greifen die Sonderregelungen. Ausnahmen sieht § 327 Abs. 6 BGB für eine Reihe von Leistungen vor, etwa Telekommunikationsdienste im Sinne des § 3 Nr. 61 Telekommunikationsgesetz (TKG), die grundsätzlich nicht erfasst sind. Aber aufgrund einer Ausnahme von der Ausnahme für sogenannte nummernunabhängige, interpersonelle Telekommunikationsdienste nach § 3 Nr. 40 TKG – also OTT – over the top – wie Webmail- oder Messenger-Dienste – bleibt es für diese bei der Geltung der §§ 327 ff. BGB.
Open Source Software soll grundsätzlich aber nicht erfasst sein?
Doch, aber bei der Bereitstellung von Daten bestehen spezielle Anforderungen. Unter dem Stichwort Paketverträge wird der Anwendungsbereich auf Verbraucherverträge erweitert, bei denen zwischen denselben Vertragsparteien neben der Bereitstellung digitaler Produkte die Bereitstellung anderer Sachen oder die Bereitstellung anderer Dienstleistungen vorgesehen ist. Die Sonderregelungen gelten auch für Sachen, die digitale Produkte enthalten oder mit ihnen verbunden sind, – allerdings sind diese dann nur auf die Teile des Vertrags anzuwenden, die die digitalen Produkte betreffen. Ausgenommen sind allerdings Waren mit digitalen Elementen. Das sind Waren, die ein digitales Produkt benötigen, um ihre Funktion erfüllen zu können. Sie sind entsprechend der Warenkauf-Richtlinie im BGB im Recht über Kaufverträge geregelt. Daran zeigt sich wieder einmal, dass es im Detail kompliziert wird, wenn EU-Recht in nationales Recht umgesetzt wird.
18 neue Paragrafen im BGB enthalten also Sonderregelungen für Defizite bei der Bereitstellung von digitalen Produkten?
Die Regelungen in den §§ 327b bis 327s BGB betreffen zunächst die Bereitstellung digitaler Produkte einschließlich der Verbraucherrechte bei einer Nichtbereitstellung. Des Weiteren gelten sie für Anforderungen der digitalen Produkte mit Blick auf Mangelfreiheit – einschließlich der Pflicht zu Aktualisierungen sowie der Rechte bei Mängeln, also Nacherfüllung, Schadenersatz und Minderung. Schließlich betreffen die Regelungen auch die Vertragsbeendigung, die Verjährung sowie die Beweislast, die an die bereits bisher geregelten Ansprüche und Gestaltungen im BGB angelehnt sind, aber Spezialregelungen enthalten. Welche Befugnisse ein Unternehmer nicht hat, wenn die betroffene Person ihr Datenschutzrecht einschließlich des Widerrufs einer Einwilligung ausübt, mit der bezahlt wurde, regelt § 327q BGB.
Wie lautet Ihr Fazit, Herr Dr. Eckhardt?
Ohne auf die Details der neuen Regelungen einzugehen, zeigt sich, dass die unbeschwerte Zeit einer Bereitstellung digitaler Produkte als Incentive, Goodie oder sonstigen Anreiz für Einwilligungen in die Verarbeitung von personenbezogenen Daten sowie die Bereitstellung von personenbezogenen Daten für Werbemaßnahmen vorbei ist. Zusätzlich müssen nämlich jetzt die Anforderungen an die digitalen Produkte gemäß den §§ 327 ff. BGB erfüllt werden.