Aus Sicht der Stiftung Datenschutz 04/22: Zahlen Sie bar oder mit Daten?

Zum Jubiläum der DSGVO-­Anwendung fragten wir bei der Stiftung Datenschutz in diesem Jahr einmal nicht, wie es mit der Compliance so läuft. Wir wandten den Blick stattdessen auf einen anderen Punkt und fragten, wie es eigentlich zu werten ist, wenn immer öfter Menschen in die Nutzung ihrer Daten einwilligen, um in den Genuss kostenloser Dienstleistungen zu gelangen. Es ging um die Verfügungsmacht über eigene Daten und das ganz legale Handeln mit ihnen mit Hilfe der Einwilligung. Wir eröffneten diese Diskussion zu einer Zeit, in welcher der Datenschutz von der Bevölkerung als nicht sehr effektiv wahrgenommen wird. Einer zum Zeitpunkt unserer Tagung veröffentlichen repräsentativen Umfrage zufolge empfanden gerade einmal 9% der Befragten einen deutlich besseren Schutz durch die DSGVO, während 38% von ihnen keine Verbesserung gegenüber der alten deutschen Rechtslage sahen. Nun lässt sich trefflich diskutieren, wie Betroffene dies überhaupt kompetent beurteilen können. Aber unabhängig davon kann eine solche Stimmung in der Bevölkerung den engagierten Datenschützenden kaum gefallen.

Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.

Wenn wir über das Bild von der DSGVO bei den Bürgerinnen und Bürgern sprechen, dann müssen wir daher nicht nur über die Erfüllung kleinteiliger rechtlicher Vorgaben bei den Verantwortlichen sprechen. Sondern wir müssen auch über die tatsächliche „Datenkontrolle“ sprechen, die die DSGVO der einzelnen Person bietet: All die vielen Bausteine der Datenschutz-­Compliance, an denen sich Datenschutz­-Profis mit so viel Energie, Zeit und Aufwand abarbeiten – was nützen sie den Betroffenen nicht nur abstrakt, sondern auch konkret? Wenn die Leute das Gefühl haben, sie seien nicht verhandlungsmächtig und ihre Daten würden ihnen im Wege der allfälligen Einwilligungsprozeduren mit leichter Hand abgenommen, dann nützt ihnen auch das schönste Verzeichnis über Verarbeitungstätigkeiten beim Verantwortlichen nichts.

Außer Compliance nichts gewesen?

Für die Betroffenen zählt nicht nur, inwieweit der Datenschutz sie vor Risiken schützt, sondern auch, inwieweit er ihre Entscheidungsfreiheit stärkt. Denn sie haben das Narrativ im Ohr: „Der Datenschutz schützt und fördert die informa­tionelle Selbstbestimmung“. Überzeugte Europa­-Fans rufen dann meist erbost, dass die Leute das Ziel des Datenschutzrechts nicht in Urteilen des Bundesverfassungsgerichts suchen dürften, sondern allein in Artikel 8 der EU­-Grundrechtecharta. Doch an der Erwartungshaltung ändert das wenig. Wenn schon nicht juristisch, so sollte zumindest kommunikativ mit einer verbreiteten Erwartung offen umgegangen werden, der zufolge der Datenschutz die persönliche (Ver­)handlungsmacht stärken würde. Und in welchem Maße er das wirklich kann, darum geht es auch beim „Bezahlen mit Daten“.

Der alltägliche Tauschhandel lautet: „Gestatte mir die Nutzung deiner Daten, und ich gebe dir meine Dienstleistung ohne Zahlung“. Datenschutzrechtlich abbilden lässt sich diese Nutzung auf Basis einer Einwilligung oder eines Vertrages. Bei einer vertraglichen Lösung stellt sich die Frage, inwieweit das Datenschutzrecht überhaupt Anforderungen an den Inhalt eines Vertrages aufstellen darf. Es ist dann zu klären, wie weit die Privatautonomie reicht: Darf tracking­gestützte Personalisierung von Werbung freihändig als Leistungsgegenstand definiert werden, oder hat der Datenschutz ein Mitspracherecht im Zivilrecht? Wenn es nach dem Europäischen Datenschutzausschuss geht, dann wäre sogar ausschließlich aus Sicht des Datenschutzes zu bewerten, wann eine Datenverarbeitung für die Durchführung eines Vertrages objektiv erforderlich ist.  

Soll der persönliche Datenhandel nicht vertragsbasiert, sondern einwilligungsbasiert stattfinden, stellen sich Fragen zur Freiwilligkeit. Zu deren Vorliegen verlangt Artikel7 der DSGVO, dass die Vertragserfüllung nicht von der Einwilligung in eine zur Vertragserfüllung „nicht erforderliche“ Datenverarbeitung abhängig gemacht wird. Einwilligungen in zwar wirtschaftlich notwendige, rein technisch jedoch nicht erforderliche Datenverarbeitungen dürfen nach dieser Norm nicht erzwungen werden. Drängen also womöglich alternative Bezahlangebote die Datensubjekte unterschwellig zur Abgabe einer Einwilligung in Tracking­Maßnahmen, um in den Genuss von Gratisangeboten zu gelangen? Für die Beurteilung dessen ist sicherlich der für die Bezahlvariante geforderte Preis von Belang. Doch wann ist dieser angemessen und ab welchem Wert wäre er überhöht? Belastbar beantworten ließe sich diese Frage erst dann, wenn sich ein Schema für Preise von personenbezogenen Daten herausgebildet hat.

Es kann nicht sein, was nicht sein darf

Für die erwähnte strenge Sicht des Europäischen Datenschutzausschusses hinsichtlich zulässiger Vertragsinhalte hegt sicher auch der Europäische Datenschutzbeauftragte Sympathie. Er hatte bereits in seiner Stellungnahme zum ersten Entwurf der Digitale­-Inhalte-­Richtlinie Zweifel angemeldet, ob Daten als Gegenleistung betrachtet werden könnten. Zwar gebe es aus seiner Sicht einen Markt für personenbezogene Daten, doch sollte man diesen besser nicht regulieren, da man „ein Grundrecht nicht zu Geld und zum Gegenstand einer einfachen geschäftlichen Transaktion machen“ könne. Auch die von der Bundesregierung eingesetzte Datenethikkommission hatte in ihrem Gutachten von 2019 dafür plädiert, von der Bezeichnung von „Daten als Gegenleistung“ abzusehen.

Unabhängig von der künftigen Auslegung des sog. Koppelungsverbots durch Aufsichten oder Gerichte forderte die Kommission zudem, dass Verbrauchern zumutbare Alternativen gegenüber der Freigabe von Daten angeboten werden, z.B. Bezahlmodelle. Dieser Forderung wird mittlerweile von vielen Medienseiten entsprochen. Auch dem erwähnten Plädoyer der Datenethikkommission kommen diese Angebote nach – bei der Variante ohne Zahlungspflicht, die sich über die Verwertung der Nutzerdaten finanziert, wird vermieden, den wahren Kern des Modells zu nennen, nämlich die Entgegennahme von Daten als Gegenleistung.

Lasst uns ehrlich sein

Aus meiner Sicht wäre mehr Ehrlichkeit angebracht. Wenn Daten in bedeutendem Umfang als Gegenleistung gehandelt werden, dann kann der Datenschutz nicht die Augen davor verschließen, weil er es nicht wahrhaben will. Dann sollte lieber die Diskussion geführt werden, ob und inwieweit es eines Datenschuldrechts bedarf.  Oder aber es wird kritisch über das System der Einwilligung an sich nachgedacht. Die Tatsache des weitverbreiteten persönlichen Datenhandels jedoch zu verdammen und zu ignorieren, ist keine Lösung. Es mag unkritische Verbraucher zu der Fehlvorstellung verleiten, eine Leistung würde ihnen geschenkt. Kritischere Verbraucherinnen und Verbraucher wiederum, die die wahre Konstellation durchblicken, mögen sich fühlen, als sollten Tatsachen weggeredet werden. Beides passt nicht zum Wunschbild von aufgeklärter Verbrauchersouveränität.