14.04.2021

Eine Materialisierung des datenschutzrechtlichen Koppelungsverbots (Becker, CR 2021, 230-243)

Der Beitrag erörtert, ob das Datenschutzrecht beim vertragslosen Tausch von Personendaten gegen Leistungen für materielle Gerechtigkeit und speziell für Austauschgerechtigkeit sorgen kann. Am Beispiel von Consent Management Platforms (CMP) wird untersucht, wie bei Datenerhebungen zum Targeted Advertising und seinen Profilbildungen (ausführlich Becker, CR 2021, 87) eine Materialisierung des Datenschutzrechts de lege lata aussehen und in Art. 7 Abs. 4 DSGVO die Grenze zwischen legaler und illegaler überschießender Datenverarbeitung gezogen werden könnte.

Aktuell in der CR

Zur Regulierung des vertragslosen Tauschs von Daten gegen Leistungen

INHALTSVERZEICHNIS:

I. Problemstellung

II. Neuerungen in der ePrivacy-Gesetzgebung

1. Vertraulichkeit elektronischer Kommunikationsdaten und das Abfangen elektronischer Kommunikation
2. Verarbeitung von Gerätedaten und Koppelung
3. Publikumsmessung durch Dritte
4. Metadaten

III. Auslegung Art. 7 Abs. 4 DSGVO ("Koppelungsverbot")

1. Zweck und Funktionsweise von Koppelungsverboten

2. Entwicklungsgeschichte des Art. 7 Abs. 4 DSGVO

3. Tatbestandsmerkmale
a) "Erfüllen"
b) Bestimmung der Erforderlichkeit zur Erfüllung
c) Ausweg: Daten als Gegenleistungspflicht?
d) Vertragslose Austauschbeziehungen

4. "größtmögliche Berücksichtigung" der Koppelung

IV. Erste Stufe der Materialisierung: Kompensation der Koppelung

1. Datensparsame Alternativangebote zu angemessenen Bedingungen

2. Bedeutung der Leistung

3. Consent Management Platforms
a) Unverhältnismäßige Auswahlmöglichkeiten
aa) Abschalten der Tracker sehr aufwendig
bb) Abschalten der Tracker gezielt unübersichtlich
cc) Tarnung von Einwilligungen als Auswahl berechtigter Interessen
b) Verhältnismäßige Abschaltmöglichkeiten

4. Zwischenergebnis

V. Zweite Stufe der Materialisierung: Austauschgerechtigkeit bei Datenpreisgabe

1. Personendatenschutz im Kontext der Datenwirtschaft
2. Vergleich zum deutschen Schuldvertragsrecht
a) Materialisierung des Schuldvertragsrechts
b) Formelle Gerechtigkeit des Datenschutzrechts
c) Regulierung massenhafter vertragsloser Austauschbeziehungen

3. Materielle Gerechtigkeit durch Information?
4. Materielle Gerechtigkeitskriterien für Koppelungen
a) Festlegung von "Tabuzonen"
b) Ermittlung krasser Äquivalenzstörungen
c) Beispiele für möglicherweise akzeptable Koppelungen

5. Grenzen einer Personendatenwirtschaft
6. Wege zur Materialisierung

VI. Ergebnisse

In einem vorangegangenen Aufsatz wurden die Hintergründe von Consent Management Platforms (CMP) und insbesondere die Verbindung der dort stattfindenden Datenerhebung zum Targeted Advertising dargelegt. Übergreifend handelt es sich um einen rein faktischen (nicht rechtlichen) Tausch von Personendaten gegen Leistungen (ausführlich Becker, CR 2021, 87 Rz. 41 ff. sowie passim). Der von DSGVO und ePrivacy-Gesetzgebung gezogene rechtliche Rahmen bietet keine Möglichkeit, die Datenerhebung zum Zwecke des Targeted Advertising und damit verbundener Profilbildungen über berechtigte Interessen zu legitimieren. Vielmehr bedarf es zweier Einwilligungen: einer datenschutzrechtlichen Einwilligung und einer nach der ePrivacy-Gesetzgebung. Dabei sind die Vorgaben der DSGVO auch für die ePrivacy-Gesetzgebung maßgeblich: Art. 2 lit. f) ePrivacy-RL verweist auf die DS-RL, an deren Stelle die DSGVO trat, weshalb nun Art. 4 Nr. 11 DSGVO und auch Art. 7 DSGVO als Voraussetzungen wirksamer Einwilligungen greifen.

Dabei ist es keine allzu kühne Annahme, dass Nutzer in CMP häufig auf "Alle akzeptieren" (oder einen vergleichbaren Button) klicken, um Zugang zu der Seite zu erhalten. Ein Faktor hierbei könnte sein, dass sie als Folge des strengen AGB-Rechts daran gewöhnt sind, dass bei der Zustimmung zu vorformulierten Erklärungen keine krassen Ungerechtigkeiten drohen. Doch auch mit reduzierten Einstellungen zur Datenerhebung werden in vielen Fällen zwar weniger, aber immer noch zahlreiche Daten über das Endgerät und damit den Nutzer erhoben. Ein wesentlicher Aspekt ist die Komplexität des Online-Advertising, das aus diesem Grunde zum eigenen Forschungsgegenstand der Informatik avanciert ist. Diese Komplexität und Intransparenz schützt Anbieter auch in gewissem Maße gegen Datenschutzbeschwerden.

Vor diesem Hintergrund wurde mit Blick auf CMP die Frage aufgeworfen, wo Art. 7 Abs. 4 DSGVO die Grenze zwischen legaler und illegaler überschießender Datenverarbeitung zieht. Allgemeiner formuliert: Kann das Datenschutzrecht beim vertragslosen Tausch von Personendaten gegen Leistungen für materielle Gerechtigkeit und speziell für Austauschgerechtigkeit sorgen? An diesem Punkt setzt der vorliegende Beitrag an.

	I. Problemstellung
1	Kommt es zum Austausch von Daten gegen Leistungen, hilft die DSGVO Betroffenen nach bisherigem Verständnis inhaltlich kaum weiter. Da sie Störungen des Äquivalenzverhältnisses nicht behandelt, lohnt es sich für Verantwortliche, gezielt unterhalb der Vertragsschwelle zu bleiben. Materielle Kontrollmechanismen wie §§ 138 , 242 , 305 ff. BGB greifen dann nicht. Einzig ErwGr 42 DSGVO spricht unter Verweis auf die Klausel-RL ein Missbrauchsverbot für vorformulierte Einwilligungserklärungen aus.
2	Zugunsten der Betroffenen enthält Art. 7 Abs. 4 DSGVO dafür eine komplex geratene Regelung, die durch Koppelungen "erpresste" Einwilligungen in überschießende Datenverarbeitungen tendenziell für unwirksam erklärt. Sowenig Betroffene vor einem unfairen Austausch von Daten gegen Leistungen geschützt sind, so schwer ist es damit für die Wirtschaft, an Personendaten zu gelangen.
3	Im Folgenden wird am Beispiel von CMP untersucht, wie vor dem geschilderten Hintergrund eine Materialisierung des Datenschutzrechts de lege lata aussehen könnte. Hierfür bedarf es einer eher wirtschaftsfreundlichen Auslegung des Art. 7 Abs. 4 DSGVO .
	II. Neuerungen in der ePrivacy-Gesetzgebung
4	Das vorliegend im Mittelpunkt stehende Problem der Einwilligung entfällt, wenn die Nutzung gesetzlich erlaubt ist. Hierfür wurden in der ePrivacy-Gesetzgebung jüngst neue Vorschläge unterbreitet.
5	Zunächst einmal ist aber kurz auf den Gesetzentwurf für das TTDSG hinzuweisen, bei dem es sich um die arg verspätete Umsetzung der ePrivacyRL in deutsches Recht handelt. Dieser ist Teil des Entwurfs eines "Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien". §§ 11 -15a TMG werden nach Art. 3 des Entwurfs gestrichten. Der Entwurf stellt noch einmal die parallele Anwendung der DSGVO klar, d.h. es bleibt bei dem festgestellten Erfordernis von zwei Einwilligungen, für die jeweils Art. 4 Nr. 11 und Art. 7 DSGVO maßgeblich sind. § 24 TTDSG-E setzt den Einwilligungsvorbehalt aus Art. 5 Abs. 3 ePrivacy-RL um.¹ Die Rechtsfortbildung des BGH zur Opt-out-Regelung in § 15 Abs. 3 TMG ² entfällt mit dem Inkrafttreten des TTDSG.
6	Die eigentliche Neuigkeit ist jedoch, dass unter der portugiesischen Ratspräsidentschaft nach langem Warten ein Ratsentwurf für eine ePrivacyVO verabschiedet wurde.³ Dieser verwirft die datenschutzfreundliche deutsche Position und baut auf dem finnischen Vorschlag auf. Insgesamt kommt er den zahlreichen Lobbyisten der Tech- und Medien-Industrien entgegen.⁴ Unter anderem nicht enthalten ist der Browser als zentrales Instrument zur Steuerung von Einwilligungen in Speichernutzungen (ErwGr 22, 23 bzw. 24, Art. 10 ePrivacyVO-E (Kommission), ePrivacyVO-E (Parlament)), dafür gibt es aber gewagte Ausführungen zur vorliegend besonders interessierenden Koppelung von Leistungen an Datenerhebungen und eine bedenkliche Regelung zur einwilligungslosen Nutzung von Metadaten. Doch der Reihe nach:
	1. Vertraulichkeit elektronischer Kommunikationsdaten und das Abfangen elektronischer Kommunikation
7	Art. 5 ePrivacyVO-E (Rat) enthält den für die Abgrenzung von Direktwerbung gegenüber Surveillance Capitalism wichtigen Grundsatz der Vertraulichkeit elektronischer Kommunikationsdaten. In diesen Problemkreis fällt das dem Online-Werbemarkt zugrunde liegende Nutzertracking als Abfangen elektronischer Kommunikation (ErwGr 15 ePrivacyVO-E (Rat und Kommission)). Der hierfür entscheidende Art. 5 wie ErwGr 15 sind im Ratsentwurf bis auf marginale Änderungen gegenüber dem Kommissionsentwurf gleichgeblieben. An der Bewertung des Nutzertrackings als keine Form der Direktwerbung und nicht-berechtigtes Interesse unter der DSGVO ändert sich also nichts.⁵ Wohl aber soll nach dem Ratsentwurf das Einwilligungserfordernis innerhalb der ePrivacy-Vorgaben durch industriefreundliche Ausnahmen entfallen, die im Folgenden näher zu erläutern sind.
8	Die ePrivacyVO-Entwürfe regulieren sowohl den Zugriff auf Endgerätespeicher, als auch auch die Erhebung von Informationen aus den Endgeräten der Endanwender, ("collection of information from end-users" terminal equipment, including about its software and hardware"). Das ist sinnvoll, denn die Ablösung von 3rd Party Cookies wird die Regulierung des Endgerätespeichers ein Stück weit obsolet machen. Auch das Datenschutzrecht greift nicht zuverlässig, da sich das Tracking auf die Wiedererkennung der Endgeräte stützt, um erst nachgelagert und in meist intransparenter Weise die dahinterstehenden Nutzer ins Visier zu nehmen. Freilich ist das Nutzertracking eine Verarbeitung personenbezogener Daten.⁶ Das Wiedererkennen von Endgeräten bietet aber etwas mehr argumentativen Spielraum als der Zugriff auf deren Speicher oder die direkte Abfrage personenbezogener Daten vom Nutzer (z.B. Mailadresse, Anschrift, Telefonnummer). Insbesondere sind die einzelnen Verarbeitungsschritte schwieriger nachzuvollziehen und zu beweisen. Das begründet die Bedeutung der ePrivacy-Gesetzgebung und ist bei den weiteren Ausführungen zu bedenken.
	2. Verarbeitung von Gerätedaten und Koppelung
9	Da die von einem Speicherzugriff unabhängige Sammlung von Informationen aus den Endgeräten der Nutzer häufig personenbezogene Daten seien, wird in ErwGr 20aa ff. ePrivacyVO-E (Rat) der Bogen zum Datenschutzrecht geschlagen und zunächst darauf hingewiesen, dass das Werbenetzwerk im Hintergrund die erforderlichen Einwilligungen auch von einem anderen einholen lassen könne, womit zuvorderst Websites und deren CMP gemeint sein dürften: "Such entities may request another party to obtain consent on their behalf."
10	Auffällig sind die dann folgenden ErwGr. Werde der Zutritt zu einer Website von der Einwilligung in Datenverarbeitungen abhängig gemacht, habe der Nutzer dabei aber die Wahl zwischen einem datenintensiven und einem datenerhebungsfreien Angebot desselben Anbieters, so werde dem Nutzer eine echte Wahlmöglichkeit nicht vorenthalten. Mit anderen Worten soll dann keine Koppelung vorliegen. Die Argumentation (sic!) tastet sich aber weiter vor zu der These, dass nur in einigen Fällen ("some cases") eine echte Wahlmöglichkeit vorenthalten werde. Dies sei gewöhnlich bei Angeboten von öffentlichen Stellen oder bestimmten alternativlosen Angeboten, insb. solchen marktstarker Anbieter, der Fall. Bei anderen also nicht. Das Armdrücken bei den Verhandlungen wird hier spürbar. Jedenfalls bleibt es nach dem letzten Absatz von ErwGr 20aaaa zunächst bei dem Einwilligungserfordernis, sofern überschießende Daten gesammelt werden.
11	ErwGr 21aa hingegen schlägt etwas verhalten vor, die Speichernutzung bei Online-Zeitungen zu Werbezwecken ohne Einwilligung zu gestatten. Grund für diese Privilegierung ist die Meinungs- und Informationsfreiheit ("freedom of expression and information"). ErwGr 21a ergänzt, dass Cookies außerdem ein "legitimate and useful tool" sein könnten, um die Effektivität eines Dienstes, z.B. von Website-Design und Werbung zu bewerten oder die Anzahl der Endnutzer einer Website und deren Unterseiten zu messen. Der Teil mit der Nützlichkeit stimmt jedenfalls. Es folgt der Disclaimer, dass dies natürlich nicht für Cookies und ähnliche Identifikatoren gelte, die verwendet werden, um die Benutzer der Website zu ermitteln ("the nature of who is using the site"). Genau diese Abgrenzung ist so gut wie nicht zu leisten und ein eigenes Forschungsfeld der Informatik.⁷

(...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht