Daten werden heute als das Gold des 21. Jahrhunderts gehandelt. Die Zurverfügungstellung von Kundendaten oder die Bezahlung damit ist wesentlicher Bestandteil zahlreicher Unternehmenskonzepte. Die Onlineangebote von Facebook und Google bilden dabei lediglich die Spitze des Eisbergs. Kunden nutzen bestimmte Services unentgeltlich, erklären sich aber gleichzeitig mit der Nutzung ihrer im Rahmen der Services erhobenen personenbezogenen Daten einverstanden. Die Unternehmen analysieren diese Daten dann und machen sie zu Geld - etwa durch zielgerichtete Werbeschaltungen.

Aus datenschutzrechtlicher Sicht bedarf es in solchen Fällen stets vorab der Einwilligung der betroffenen Kunden. Bei zahlreichen europäischen Datenschutzbehörden hat sich jedoch die Rechtsansicht verfestigt, dass bei den beschriebenen Geschäftsmodellen "Service gegen Daten" eine Einwilligung mangels gegebener Freiwilligkeit gar nicht wirksam erteilt werden kann. Das neue Gewährleistungsrecht wird hier zu einer Änderung der Entscheidungspraxis führen müssen. Doch der Reihe nach.

Randolph Schwab ist Rechtsanwaltsanwärter im Team von Sascha Jung, der das IP/IT & Data Protection Team von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal leitet. - © Deloitte feelimage
Randolph Schwab ist Rechtsanwaltsanwärter im Team von Sascha Jung, der das IP/IT & Data Protection Team von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal leitet. - © Deloitte feelimage

Es ist unbestritten, dass datenschutzrechtliche Einwilligungen freiwillig erteilt werden müssen, um wirksam zu sein. Wenn es an einer echten Wahlmöglichkeit mangelt, so die bislang landläufige Meinung, kann jedoch keine Freiwilligkeit vorliegen. Wem etwa der Zugang zu einer Website nur dann gewährt wird, wenn er die Cookies akzeptiert, hat keine freie Wahl. Eine erteilte Einwilligung kann somit nicht freiwillig und wirksam sein, so der Europäische Datenschutzausschuss ausdrücklich. Folgt man dieser Ansicht, wären natürlich auch Geschäftsmodelle wie Facebook in ihrer aktuellen Form (Service gegen Daten) nicht zulässig, da es den Nutzern auch hier an alternativen Teilnahmemöglichkeiten fehlt.

Sascha Jung leitet das IP/IT & Data Protection Team von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal. - © Deloitte feelimage
Sascha Jung leitet das IP/IT & Data Protection Team von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal. - © Deloitte feelimage

Neues Gewährleistungsrecht als Game Changer?

Das neue Gewährleistungsgesetz bietet hier valide Gegenargumente, die eine Abkehr von der bisherigen Argumentationslinie geradezu erzwingen. Bis 1. Juli 2021 werden durch das Verbrauchergewährleistungsgesetz (VGG) sowie Anpassungen des Allgemeinen Bürgerlichen Gesetzbuches (ABGB) und des Konsumentenschutzgesetzes (KSchG) die Digitale-Inhalte-Richtlinie (EU 2019/770) und die Warenkauf-Richtlinie (EU 2019/771) in österreichisches Recht umgesetzt. Das neue Verbrauchergewährleistungsgesetz (VGG) erkennt im Einklang mit der Digitale-Inhalte-Richtlinie ausdrücklich auch "Verträge über die Bereitstellung digitaler Leistungen gegen die Hingabe personenbezogener Daten", die nicht bloß zur Vertragserfüllung oder zur Erfüllung rechtlicher Verpflichtungen verarbeitet werden, an. Gleichzeitig geben das VGG und die Digitale-Inhalte-Richtlinie unmissverständlich vor, dass bei der Verarbeitung personenbezogener Daten die Regeln der EU-Datenschutzgrundverordnung (DSGVO) einzuhalten sind.

Wenn also Geschäftsmodelle zur Monetarisierung von Kundendaten auf unionsrechtlicher Ebene ausdrücklich anerkannt und für zulässig erachtet werden, kann und darf nicht gleichzeitig das DSGVO-Regime in einer Weise ausgelegt werden, welche die Umsetzung genau dieser Geschäftsmodelle praktisch unmöglich machen würde. Jede andere Ansicht würde zu unlösbaren Wertungswidersprüchen führen. Das gilt umso mehr, nachdem der Unionsgesetzgeber bei der Ausgestaltung des neuen Gewährleistungsrechts die datenschutzrechtliche Thematik ausdrücklich vor Augen hatte.

Da Geschäftsmodelle zur Monetarisierung von Kundendaten fast ausnahmslos auf dem Take-it-or-leave-it-Konzept basieren, kann alleine dieser Umstand vor dem Hintergrund des neuen Gewährleistungsrechts somit nicht zu deren datenschutzrechtlichen Unzulässigkeit führen. Dies wäre im Übrigen auch kaum mit der Vertragsfreiheit vereinbar. Warum soll es einem mündigen Kunden nicht erlaubt sein, mit seinen Daten zu bezahlen? Entscheidend kann nur sein, dass dieser ausreichend aufgeklärt wird.

Auf den Einzelfall kommt es an

Es mag andere Gründe geben, eine datenschutzrechtliche Einwilligungserklärung im Einzelfall für unwirksam zu erachten - beispielsweise, wenn es im konkreten Fall an einer inhaltlich hinreichenden und verständlichen Aufklärung mangelt. Und gerade in diesem Punkt gibt es bei vielen Unternehmen mit Sicherheit noch reichlich Verbesserungsbedarf. Die Hingabe von Daten im Austausch gegen Services ist aber selbst in Take-it-or-leave-it-Konstellationen nicht unfreiwillig. Die bislang vertretene Gegenmeinung kann spätestens mit der Gesetzwerdung des neuen europäischen Gewährleistungsrechts nicht sinnvoll aufrechterhalten werden.