Festschrift für Jürgen Taeger

Aus datenschutzrechtlicher Sicht unproblematisch sind schließlich Geschäftsmodelle, die eine auf einen einmaligen Zweck bezogene Einwilligung des Kunden in die Datenverarbeitung als Gegenleistung für eine ebenfalls lediglich punktuelle Leistung des Anbieters vorsehen („Einmal-Einwilligung gegen Einmal-Leistung“). In diesen Fällen erledigt sich die Einwilligung sogleich durch Erreichung des Verarbeitungszwecks, sodass sich die Frage eines späteren Widerrufs (ex nunc, Art. 7 Abs. 3 Satz 2 DSGVO) nicht mehr stellen würde.

Sobald personenbezogene Daten (Art. 4 Nr. 1 DSGVO) als „Gegenleistung“ für Waren oder Dienstleistungen zugewendet werden sollen, genügt die bloße Generierung von Daten bzw. ihre Übertragung an den Anbieter nicht. Vielmehr muss er zu deren Verarbeitung auch rechtlich befugt sein. Nach dem, die DSGVO beherrschenden, Grundsatz des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt14 setzt das voraus, dass entweder ein gesetzlicher Erlaubnistatbestand besteht oder der Kunde eingewilligt hat. In der datenschutzrechtlichen Einwilligung liegt daher der Kern der „Leistung“ des Kunden.15

Nach Art. 6 Abs. 1 lit. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person „ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“ hat. Dabei handelt es sich nach h.M. um eine Willenserklärung,16 die die grundsätzlich rechtswidrige Verarbeitung personenbezogener Daten rechtmäßig macht.17 Allerdings ist die Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO jederzeit widerruflich; diese Widerrufsmöglichkeit kann auch vertraglich nicht ausgeschlossen werden.18 Der Widerruf berührt zwar die Rechtmäßigkeit der bereits erfolgten Datenverarbeitung nicht; er wirkt nur ex nunc (Art. 7 Abs. 3 Satz 2 DSGVO).19 Für die Zukunft wird die Datenverarbeitung allerdings rechtswidrig, sofern kein gesetzlicher Erlaubnistatbestand erfüllt ist, etwa nach Art. 6 Abs. 1 lit. b (Erforderlichkeit für die Erfüllung eines Vertrags) oder lit. c DSGVO (Erforderlichkeit für die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen).20

In den beschriebenen Geschäftsmodellen hat der Widerruf der Einwilligung zur Folge, dass der Anbieter die aus seiner Sicht für sein Geschäftsmodell erforderlichen Daten nicht mehr verarbeiten darf, sodass das aus Sicht des Anbieters vorausgesetzte Äquivalenzverhältnis gestört wird. Infolge der Widerrufsmöglichkeit hat der Anbieter daher in allen Modellen, die auf einer Einwilligung zur dauerhaften Datenverarbeitung basieren, von vornherein keine Planungssicherheit hinsichtlich der Frage, ob er die Datenverarbeitung während der gesamten Vertragslaufzeit fortsetzen kann.21

Die Möglichkeit der Einwilligung im Kontext von Verträgen ist durch das sogenannte Koppelungsverbot des Art. 7 Abs. 4 DSGVO eingeschränkt. Ausgangspunkt hierfür ist zunächst Art. 4 Nr. 11 i.V.m. Erwägungsgrund 43 DSGVO: Die Einwilligung muss „freiwillig“ erfolgen, um wirksam zu sein. Diese Anforderung geht nach h.M. über das Erfordernis einer wirksamen Willenserklärung und auch über das Fehlen von Anfechtungsgründen nach deutschem Recht (z.B. § 123 Abs. 1 BGB) oder der fehlenden Sittenwidrigkeit wegen Ausbeutung einer Zwangslage22 hinaus: Die Einwilligung muss vielmehr Ausdruck einer „echten Wahl“ des Betroffenen hinsichtlich des Ob, des Umfangs und des Adressaten der Datennutzung sein.23 Abgeleitet wird das Einwilligungserfordernis der DSGVO letztlich aus dem Grundrecht auf informationelle Selbstbestimmung (Art. 8 Abs. 2 EU-GRCh),24 das wiederum eine Ausprägung des Rechts auf Privatleben (Art. 7 EU-GRCh) ist. Diese Grundrechte schützen die Betroffenen vor jedem Zwang zur Preisgabe personenbezogener Daten – auch vor einem solchen, der in der Durchsetzung einer früher gegebenen vertraglichen Vereinbarung besteht –, weil sie dem Betroffenen das Recht geben, zu jeder Zeit darüber zu bestimmen, wer welche personenbezogenen Daten von ihnen zu welchem Zweck verarbeiten darf.

Art. 7 Abs. 4 DSGVO bestimmt in der Folge, dass bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, im größtmöglichen Umfang dem Umstand Rechnung getragen werden muss, ob die Erfüllung eines Vertrages von der Einwilligung in die Verarbeitung von Daten abhängig gemacht wurde, die für die Erfüllung nicht erforderlich sind. Etwas strenger formuliert der Erwägungsgrund 43 der DSGVO: „die Einwilligung gilt nicht als freiwillig erteilt, wenn ... die Erfüllung eines Vertrags ... von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“ Würde man dies eng verstehen, würde jede vertragliche Verpflichtung zur Erteilung einer datenschutzrechtlichen Einwilligung diese zugleich unwirksam machen, weil die Einwilligung dann nicht mehr freiwillig erteilt würde, sondern unter dem Eindruck der rechtlichen Pflicht. Der Anbieter hätte dann keine Möglichkeit sicherzustellen, dass er die Daten des Kunden tatsächlich rechtmäßig verarbeiten darf. Bei dieser Auslegung würde Art. 7 Abs. 4 DSGVO die datengetriebenen Geschäftsmodelle, bei welchen die von den Nutzern überlassenen Daten nicht nur unmittelbar der Vertragserfüllung dienen, datenschutzrechtlich ausschließen.25 Denn dort ist die Erteilung der Einwilligung gerade nicht für die bloße Erfüllung des Vertrags erforderlich, sondern dient darüber hinausgehenden Zwecken, etwa der Refinanzierung des Angebots durch gezielte Werbung, der Erzielung zusätzlicher Einnahmen, die wiederum niedrigere Angebotspreise ermöglichen,26 oder der Optimierung der angebotenen Dienstleistungen anhand der Nutzerpräferenzen.27

Diese strenge Auslegung des Art. 7 Abs. 4 DSGVO ist allerdings aus gesetzessystematischen Gründen nicht überzeugend: Dürfte die Vertragserfüllung nicht von einer Einwilligung abhängig gemacht werden, wenn die Einwilligung zur Erfüllung nicht erforderlich ist, wäre die Einwilligung im vertraglichen Kontext neben Art. 6 Abs. 1 lit. b DSGVO sinnlos. In allen Fällen, in denen die Datenverarbeitung zur Vertragserfüllung erforderlich ist, ergibt sich die Befugnis zur Datenverarbeitung ohnehin bereits aus Art. 6 Abs. 1 lit. b DSGVO, ohne dass es auf das Vorliegen einer Einwilligung ankäme. Der Sinn einer Einwilligung im vertraglichen Kontext kann nur darin bestehen, die Befugnisse des Unternehmers zur Datenverarbeitung gegenüber dem gesetzlichen Erlaubnistatbestand zu erweitern. Allein dieser Umstand darf daher nicht dazu führen, dass die Einwilligung ihrerseits unwirksam wird. Der Kern des Art. 7 Abs. 4 DSGVO dürfte – auch im Lichte des Erwägungsgrunds 43 zur DSGVO – vielmehr darin liegen, dass lediglich der Druck auf den Kunden missbilligt wird, der darin liegt, dass die Erfüllung eines bereits abgeschlossenen Vertrages, also einer bestehenden Rechtspflicht, zusätzlich von einer (zur Abwicklung nicht erforderlichen) datenschutzrechtlichen Einwilligung abhängig gemacht wird. Nur eine dergestalt „erpresste“ Einwilligung wäre unwirksam.

Darüber hinaus kann bei den oben dargestellten Geschäftsmodellen sogar argumentiert werden, dass die Datenverarbeitung erforderlich ist, um die angestrebte Qualität des Dienstes – einschließlich ihrer Orientierung an individuellen Nutzerpräferenzen – sicherzustellen: Ein soziales Netzwerk etwa ist für seine Benutzer gerade dann attraktiv, wenn aus der Vielzahl der vorgehaltenen Inhalte gerade diejenigen angezeigt werden, an denen der jeweilige Benutzer (mutmaßlich) besonders interessiert ist; das ist wiederum nur auf der Grundlage einer Einwilligung in die Datenverarbeitung möglich. Insofern ist die datenschutzrechtliche Einwilligung jedenfalls für den Betrieb des Dienstes in seiner konkreten Gestalt erforderlich und wäre in dieser Auslegung immun gegen Art. 7 Abs. 4 DSGVO. Soweit die Datenverarbeitung der Refinanzierung des Angebots durch Werbung dient, kann die Einwilligung ebenfalls als „für die Erfüllung erforderlich“ angesehen werden, weil nur so das Angebot nachhaltig aufrechterhalten werden kann.28