Das „versteckte Koppelungsverbot“: Gibt es einen Vorrang der Einwilligung?
PSP Case Study zur DSGVO: Praxisfall 17

DSGVO: Praktischer Fall

Die Müller KG verkauft Orthopädieartikel an Endverbraucher. Frau Huber bestellt ein Paar Orthesenschuhe, die jedoch nicht auf Lager sind, sodass sie ihre Adresse hinterlässt, damit sie von der eingetroffenen Lieferung benachrichtigt werden kann. Neben einem Bestellformular mit Pflichthinweisen bezüglich der Bestellung erhält sie ein DSGVO-„Aufklärungsblatt“, aus dem sich ergibt, dass ihr Name und ihre Adresse auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO bis auf Widerspruch zu Zwecken des Direktmarketings verarbeitet werden. Entsprechend erhält Frau Huber in den Folgejahren regelmäßig Kataloge der Müller KG zugesandt.

In diesem Fall geht es nicht (wie in Fall 8) um die Frage, wie lange personenbezogene Daten zu Direktmarketingzwecken verarbeitet werden dürfen. Es geht auch nicht darum, eine „parallele“ Legitimation in zwei Grundlagen zu sehen, also eine datenschutzrechtliche Rechtfertigung „auf zwei Beine“ zu stellen (auch dazu s.  Fall 8). Vielmehr geht es um die Frage des Verhältnisses von zwei Legitimationsgrundlagen für die komplementären Zwecke A (hier: Verkauf) und B (hier: Direktwerbung).

Eingabeformulare und Pflichthinweise

Was das Bestellformular mit Pflichthinweisen angeht, hat die Müller KG schon einmal etwas richtig gemacht. Der Thüringer Landesbeauftragte für Datenschutz schreibt in seinem Tätigkeitsbericht 2018 zur Lokalisierung von Pflichtinformationen bei Formularen:

„Werden die personenbezogenen Daten beispielsweise mit einem schriftlichen oder elektronischen Formular erhoben, müssen die Informationen grundsätzlich auf diesem Formular bereitgestellt werden.“

Zweckbindung bei Verträgen

Aus der verhältnismäßig engen Zweckbindung der DSGVO ergibt sich – so wurde das Datenschutzrecht auch schon immer interpretiert –, dass bei Bestehen eines Vertrags die Daten des Vertragspartners nur für die Zwecke der Durchführung des Vertrags verarbeitet werden dürfen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO). Einfach gesagt: Wer einem Kunden etwas verkauft, darf die personenbezogenen Daten dieses Kunden nicht dafür benutzen, Werbung zu betreiben. Das klingt einleuchtend, wird aber in der Praxis häufig ignoriert und neuerdings auch – weil man sonst allen Unternehmen Bußgeldbescheide schicken müsste? – von den Datenschutzbehörden etwas aufgeweicht (s. Fall 29).

Auch hier kann man aber schon die Frage stellen, wo genau die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags endet, Stichwort Buchhaltung/Rechnungslegung/Jahresabschluss (s. dazu auch Fall 7). Der Europäische Datenschutzausschuss stellt in seinen Empfehlungen vom April 2019 sogar ausdrücklich klar, dass etwa die „Heimadresse“ nicht mehr mit der Verarbeitung zu Vertragszwecken gerechtfertigt werden kann, wenn eine Abholstation als Lieferort gewünscht ist:

„However, if the customer has opted for shipment to a pick-up point, the processing of the data subject’s home address is no longer necessary for the performance of the purchase contract and thus a different legal basis than Article 6(1)(b) is required.“

Ob für die Erhebung und Speicherung der Privatadresse eine „andere Rechtsgrundlage“ („different legal basis“) als der Vertrag gefunden werden kann, dürfte dann zweifelhaft sein.

Ähnliches würde im Übrigen auch gelten, wenn es sich um ein Produkt handelt, das digital „ausgeliefert“ wird. In diesem Fall dürfte nach einem Beispielssachverhalt in den Empfehlungen des Europäischen Datenschutzausschusses vom November 2019 zum Thema „privacy by design/by default“ nicht einmal die Adresse erhoben werden (bevor man das unterlässt, sollte man allerdings besser noch einmal mit einem Umsatzsteuerrechtler Rücksprache halten, ob nicht doch eine Rechnungsadresse des Empfängers benötigt wird):

„Moreover, there are situations where an address will not be necessary. For example, when ordering an eBook the customer can download the product and his or her address does not need to be processed by the webshop. The webshop owner therefore decides to make two web forms: one for ordering books, with a field for the customer’s address and one web form for ordering eBooks without a field for the customer’s address.“

Unabhängig aber von der Frage, was genau für den Vertragsabschluss bzw. die Vertragsabwicklung „erforderlich“ ist, lässt sich hinsichtlich der Ansprache von „Marktteilnehmern“ mithilfe von „Vertragsdaten“ zumindest sagen, dass das Wettbewerbsrecht etwas weniger streng „zweckgebunden“ ist. Für postalisch adressierte Werbung gleich welchen Inhalts gilt letztlich ein „opt-out“ – solange nicht „erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht“ (§ 7 Abs. 1 S. 2 UWG), ist sie im Grundsatz zulässig. Wer dagegen eine E-Mail-Adresse eines Kunden im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen erhalten hat, darf dem Kunden immerhin Werbung „für eigene ähnliche Waren oder Dienstleistungen“ schicken, solange der Kunde darauf hingewiesen wurde, dass er der Verwendung jederzeit widersprechen kann und der Kunde bislang nicht widersprochen hat (§ 7 Abs. 3 UWG). Datenschutzrechtlich aber ist Direktmarketing ein anderer Zweck als der ursprüngliche Vertragszweck, der hier nur in einem Kauf besteht. Genauer wird in Fall 29 auf diese wettbewerbsrechtlichen Grundsätze eingegangen.

Doppelter Zweck

Das Überschreiten der ursprünglichen Zweckgrenze (Kauf) lässt sich nun gedanklich scheinbar auf zwei Weisen lösen: Entweder man verwendet die Daten zu einem anderen Zweck als ursprünglich erhoben, dann muss ein Zweck-Kompatibilitäts-Test durchgeführt werden (Art. 6 Abs. 4 DSGVO) und der Kunde muss über den neuen Zweck benachrichtigt werden (Art. 13 Abs. 3 DSGVO). Schon dies wirft die Frage auf, ob für Vertragszwecke erhobene Daten bereits „eine logische Sekunde“ nach ihrer Erhebung in Richtung Direktmarketing „zweckverändert“ werden können; denn eigentlich beabsichtigte der Verkäufer ja schon im Moment der Erhebung, die Daten auch zu Werbezwecken zu verwenden. Es liegt daher eigentlich gar keine Zweckänderung, sondern von vornherein ein „Doppelzweck“ vor. Ohnehin bestehen Zweifel, ob der Zweck-Kompatibilitäts-Test hier erfolgreich wäre. Der Europäische Datenschutzausschuss hat in seinen Empfehlungen vom April 2019 – zumindest im Kontext von Dauerschuldverhältnissen – (ohne weitere Diskussion der Rechtsgrundlagen) ausgeführt:

„Where processing of personal data is based on Article 6(1)(b) and the contract is terminated in full, then as a general rule, the processing of that data will no longer be necessary for the performance of that contract and thus the controller will need to stop processing. The data subject might have provided their personal data in the context of a contractual relationship trusting that the data would only be processed as a necessary part of that relationship. Hence, it is generally unfair to swap to a new legal basis when the original basis ceases to exist.“

Ob dies auch für punktuelle Austauschverträge wie einen Kaufvertrag gilt, erläutern die Empfehlungen nicht weiter.

Geht man hingegen davon aus, dass der zweite Zweck – die Verwendung zum Betreiben von Direktmarketing – bereits von Anfang an besteht, so bestimmt Erwägungsgrund 47 „gesetzesgleich“, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann“. Es wäre also zulässig, die Daten von Anfang an „nur“ zu Direktmarketingzwecken zu erheben und dies datenschutzrechtlich mit dem Direktmarketinginteresse zu legitimieren. Entsprechende Transparenz – sprich Pflichtinformationen – gegenüber dem Kunden vorausgesetzt, scheint es so, als könne man die Daten „auf zwei komplementären Säulen“ erheben: einmal für den Vertrag bzw. dessen Durchführung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), einmal für Direktmarketingzwecke (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

In diese Richtung geht auch die „Orientierungshilfe“ der Datenschutzkonferenz zum Thema Direktwerbung vom November 2018: Daten, die im Rahmen einer Geschäftsbeziehung (d. h. zu vertraglichen Zwecken) erhoben wurden, können „grundsätzlich“ (daneben) für E-Mail-Werbung verwendet werden, wenn dieser Zweck „den betroffenen Personen bei Datenerhebung transparent dargelegt worden ist“ und die wettbewerbsrechtlichen Vorgaben eingehalten werden. Mit den dabei betroffenen Fragen der Interessenabwägung selbst (und dem Verhältnis zu den wettbewerbsrechtlichen Vorgaben) beschäftigt sich Fall 29. Umgekehrt ausgedrückt – so auch die Datenschutzkonferenz – können personenbezogene Daten, die ursprünglich nicht (auch) zu Zwecken der Werbung erhoben wurden, nur für Werbezwecke verwendet werden, wenn die Regelungen über die Zweckänderung (s. o.) eingehalten werden.

Vorrang der Einwilligung bei „Anwesenheit“ des Betroffenen?

Dem kritischen Leser schießt nun natürlich ein Gedanke durch den Kopf: Wenn der Betroffene ohnehin schon dabei ist, einen Vertrag abzuschließen, wenn er also „präsent“ bzw. „am Draht“ ist, dann könnte man ihn ja auch gleich nach seiner Einwilligung fragen, ob er (neben dem Vertrag) mit Direktmarketing an ihn einverstanden ist. Man könnte diesen Gedanken als „Vorrang der Einwilligung“ bezeichnen, obwohl oft betont wird, dass die verschiedenen datenschutzrechtlichen Legitimationsgründe gleichberechtigt nebeneinander stehen. Nun möchte aber ein typischer Verantwortlicher keine eigenständige Einwilligung für Direktwerbungszwecke einholen, denn eine Einwilligung („opt-in“ bzw. „Haken setzen“) werden viel weniger Betroffene erteilen wollen als später Betroffene Widerspruch gegen die Verarbeitung zu Direktwerbungszweck erheben werden („opt-out“, Art. 21 Abs. 2 DSGVO). Ein „Geschmäckle“ scheint die Sache aber dennoch zu haben: Immerhin offenbart der Betroffene seine Kontaktdaten aus seiner Sicht nur zu dem Zweck, einen Vertrag abzuschließen. Wenn man ihn nur gefragt hätte, ob er seine Daten auch zu Werbezwecken „hergibt“, hätte er vielleicht „nein“ gesagt. Von daher ist das künstliche „Aufpfropfen“ eines – für sich genommen legitimen – zweiten Verarbeitungszwecks vielleicht doch nicht so unproblematisch?

Bereits die Kommentarliteratur zum alten Datenschutzrecht war der Meinung, dass „die unmittelbare Anfrage bei den Betroffenen dem mittelbaren Zugang vorgeht“. Das Verwaltungsgericht Bayreuth hat dies in einer (lesenswerten) Entscheidung vom 8. Mai 2018, zwischenzeitlich vom Bayerischen Verwaltungsgerichtshof bestätigt, bekräftigt. Eine Interessenabwägung als Grundlage – immerhin handelt es sich ja der Sache nach um eine „mutmaßliche Einwilligung“ (s. Fall 8) – komme erst in Betracht, wenn eine Mitwirkung des Betroffenen ausscheidet. Das Verwaltungsgericht Bayreuth fügt an, wenn man die Daten im Rahmen von Bestellvorgängen erwirbt, sei es ohne unverhältnismäßig großen Aufwand möglich, im Einzelfall eine Einwilligung einzuholen. In den DSGVO-Kommentierungen kommt dieser Gedanke des „Vorrangs der Einwilligung“ bislang so gut wie gar nicht vor.

Juristischer Dreh- und Angelpunkt ist dabei übrigens das Wörtchen „erforderlich“, dessen Interpretation an vielen Stellen des Datenschutzrechts Kopfschmerzen bereitet. Eine Datenverarbeitung auf Basis einer Interessenabwägung ist nur dann zulässig, wenn die Verarbeitung zur Erreichung des in die Abwägung eingestellten Interesses des Verantwortlichen „erforderlich“ ist. Man kann dies – mit dem Verwaltungsgericht Bayreuth – so lesen, dass eine auf Interessenabwägung gestützte Verarbeitung solange nicht „erforderlich“ ist, wie der Verantwortliche sein Informationsziel anders, insbesondere durch eine Einwilligung, erreichen kann. Im Wort „erforderlich“ steckt dann die Nachrangigkeit der Interessenabwägung gegenüber der Einwilligung – die Gleichberechtigung der verschiedenen Legitimationsgründe wäre also dahin.

Das Verhältnis zum Wettbewerbsrecht

In der Praxis würde dies dazu führen, dass die DSGVO eine Fallgestaltung verbietet, die das Wettbewerbsrecht – wie oben skizziert – erlaubt. Selbst für E-Mail-Adressen, die ein Unternehmen „im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von einem Kunden erhalten hat“, geht der (deutsche) Gesetzgeber davon aus, dass die Wiederholungsansprache dieses Kunden für „eigene ähnliche Waren oder Dienstleistungen“ gerechtfertigt ist und der Kunde dazu nicht extra befragt werden muss (s. o.). Es bedarf also keines „opt-ins“ (Einwilligung), sondern nur des Hinweises auf die „opt-out“-Möglichkeit. Nach der DSGVO würde hier aber, wenn man die althergebrachte datenschutzrechtliche Interpretation unterstellt, der „Vorrang der Einwilligung“ gelten, d. h. der Kunde muss „den Haken aktiv setzen“.

Das Verhältnis zwischen Wettbewerbsrecht – § 7 UWG basierte übrigens auf der „E-Privacy-Richtlinie“ der EU, die eigentlich schon längst durch die E-Privacy-Verordnung hätte abgelöst werden sollen – und DSGVO ist ohnehin unklar. Die „Orientierungshilfe“ der Datenschutzkonferenz zum Thema Direktwerbung vom November 2018 ist der Ansicht, dass die Wertungen des UWG (im Rahmen der Interessenabwägung) in die DSGVO „hineinzulesen“ sind, also: Etwas, das wettbewerbsrechtlich erlaubt oder nicht erlaubt ist, sollte auch datenschutzrechtlich entsprechend zulässig oder verboten sein. Danach sollte es also eigentlich keine Abweichungen zwischen beiden Ebenen geben. Dass dies aber zumindest nicht uneingeschränkt gilt, zeigt Fall 29.

Vorrang der Interessenabwägung bei unbekannter Identität?

Einen vor diesem Hintergrund interessanten „Twist“ enthält nun die „Orientierungshilfe für Anbieter von Telemedien“ der Datenschutzkonferenz vom März 2019, wonach im Bereich von Tracking-Maßnahmen im Internet (Cookies etc.) der Vorrang der Interessenabwägung vor der Einwilligung mit einem ganz anderen Argument in Betracht gezogen wird: Um eine Einwilligung einzuholen und nachweisbar vorzuhalten, müsste der Webseiten-Betreiber mehr Daten erheben – nämlich die Identifizierung des Einwilligenden auf Einzelnutzerebene – als im Rahmen einer Interessenabwägung notwendig sind. Das datenschutzrechtliche Gebot der Datensparsamkeit rückt dabei in den Vordergrund. Wer nur die (pseudonymen) Daten von „identifizierbaren“ Betroffenen in Form von Geräte-IDs verarbeitet (genaugenommen natürlich nur solche, die bestimmten „Endgeräten“ zugewiesen sind, denn welche Person davor sitzt, kann nur durch Kombination mit weiteren Daten ermittelt werden), der sollte nicht mit dem Argument einer sicher beweisbaren Einwilligung den Betroffenen auch noch genau fragen, wer er eigentlich ist, und damit noch mehr Daten sammeln. Die Frage, wann die Erhebung zusätzlicher Daten in derartigen Konstellationen nicht notwendig ist, wird in Fall 39 noch eingehender erörtert. Die Orientierungshilfe präferiert jedenfalls auf der Ebene des Legitimationsgrunds selbst eine nur typisierte Interessenabwägung, die zu einer mutmaßlichen Einwilligung führt, selbst wenn der Betroffene dem Webseiten-Betreiber eigentlich virtuell „gegenübersitzt“ und auch nach seiner Einwilligung gefragt werden könnte (obwohl die Datenschutzbehörden im Zusammenhang mit der Interessenabwägung in anderen Zusammenhängen gerade auf einer dokumentierten Einzelfallentscheidung beharren).

Die Doppelzüngigkeit dieser Vorgabe wird allerdings in der Literatur so beschrieben: „Hinter der Subsidiarität der Einwilligung mag auch die Sorge stehen, dass Datenschutz als Folge des unbesehenen Wegklickens von massenhaft abgefragten Einwilligungen von den betroffenen Personen zunehmend als lästige Förmelei wahrgenommen wird und mit der Datenschutz-Ermüdung die gesellschaftliche Akzeptanz schwindet“.

Man kann dies wie folgt zusammenfassen: Kennt der Verantwortliche die Identität des Betroffenen bereits und besteht mit diesem direkter Kontakt, kann es sein, dass die Einwilligung Vorrang genießt. Kennt der Verantwortliche nur ein Pseudonym des Betroffenen – was in aller Regel gleichwohl zu einer Zurechnung der Zuordnungsinformation zum Verantwortlichen führt (s. die in der Einleitung behandelten gerichtlichen Entscheidungen zur dynamischen IP-Adresse) –, so dürfte die Interessenabwägung Vorrang genießen, denn ansonsten muss ausschließlich für eine beweisbare Einwilligung die „wahre“ Identität erfragt werden, was gegen den Grundsatz der Datenminimierung verstoßen würde. Man darf gespannt sein, bei welcher internen Datenschutzdokumentation eines Verantwortlichen man dazu Ausführungen lesen kann.

Im Falle von Cookies – also von Textdateien, die der Browser des Benutzers auf „Anweisung“ des Webseiten-Betreibers auf den Massenspeicher des Benutzers schreibt – ist allerdings ergänzend auf das Urteil des Europäischen Gerichtshofes vom Oktober 2019 in der Sache „Planet 49“ hinzuweisen. Dieses Urteil relativiert die „Orientierungshilfe für Anbieter von Telemedien“ der Datenschutzkonferenz vom März 2019, was das Setzen von Cookies angeht, denn hierfür gilt nicht (nur) das Datenschutzrecht, sondern folgende Regelung der EU-„Datenschutzrichtlinie für die elektronische Kommunikation“ (e-Privacy-Richtlinie):

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

In diesem Fall ist also, wie der Europäische Gerichtshof klargestellt hat, für das Schreiben und Lesen von Daten auf Geräten des Benutzers eine „Einwilligung“ erforderlich, und zwar – gemäß Art. 4 Nr. 11 DSGVO – eine aktive Handlung (s. dazu auch Fall 8). Eine Interessenabwägung (mutmaßliche Einwilligung) reicht nicht aus, um diesen „Hardwarezugriff“ auf das „Benutzereigentum“ zu rechtfertigen. Nicht das Datenschutzrecht – der Schutz von personenbezogenen Daten des Betroffenen – gibt also im Bereich der Cookie-Fälle den schärfsten Maßstab vor, sondern der Schutz der „informationellen Integrität des Endgeräts“, sprich: Fernzugriffe auf die lokal gespeicherten Daten des Benutzers. Dass die oben zitierte Regelung mit „Vertraulichkeit der Kommunikation“ überschrieben ist, kann nicht darüber hinwegtäuschen, dass die Speicherung von (irgendwelchen) Informationen im Endgerät des Teilnehmers bzw. Nutzers keine Kommunikation ist, deren Vertraulichkeit zu schützen ist, sondern – ohne entsprechende Aufklärung – ein „heimlicher“ Zugriff auf fremde Hardware (Besitzstörung).

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden