Aktuell in der CR

Eine Materialisierung des datenschutzrechtlichen Koppelungsverbots (Becker, CR 2021, 230-243)

Der Beitrag erörtert, ob das Datenschutzrecht beim vertragslosen Tausch von Personendaten gegen Leistungen für materielle Gerechtigkeit und speziell für Austauschgerechtigkeit sorgen kann. Am Beispiel von Consent Management Platforms (CMP) wird untersucht, wie bei Datenerhebungen zum Targeted Advertising und seinen Profilbildungen (ausführlich Becker, CR 2021, 87) eine Materialisierung des Datenschutzrechts de lege lata aussehen und in Art. 7 Abs. 4 DSGVO die Grenze zwischen legaler und illegaler überschießender Datenverarbeitung gezogen werden könnte.

Zur Regulierung des vertragslosen Tauschs von Daten gegen Leistungen

INHALTSVERZEICHNIS:

I. Problemstellung

II. Neuerungen in der ePrivacy-Gesetzgebung


1. Vertraulichkeit elektronischer Kommunikationsdaten und das Abfangen elektronischer Kommunikation
2. Verarbeitung von Gerätedaten und Koppelung
3. Publikumsmessung durch Dritte
4. Metadaten

III. Auslegung Art. 7 Abs. 4 DSGVO („Koppelungsverbot")

1. Zweck und Funktionsweise von Koppelungsverboten

2. Entwicklungsgeschichte des Art. 7 Abs. 4 DSGVO

3. Tatbestandsmerkmale
a) „Erfüllen"
b) Bestimmung der Erforderlichkeit zur Erfüllung
c) Ausweg: Daten als Gegenleistungspflicht?
d) Vertragslose Austauschbeziehungen

4. „größtmögliche Berücksichtigung" der Koppelung

IV. Erste Stufe der Materialisierung: Kompensation der Koppelung

1. Datensparsame Alternativangebote zu angemessenen Bedingungen

2. Bedeutung der Leistung

3. Consent Management Platforms
a) Unverhältnismäßige Auswahlmöglichkeiten
aa) Abschalten der Tracker sehr aufwendig
bb) Abschalten der Tracker gezielt unübersichtlich
cc) Tarnung von Einwilligungen als Auswahl berechtigter Interessen
b) Verhältnismäßige Abschaltmöglichkeiten

4. Zwischenergebnis

V. Zweite Stufe der Materialisierung: Austauschgerechtigkeit bei Datenpreisgabe

1. Personendatenschutz im Kontext der Datenwirtschaft
2. Vergleich zum deutschen Schuldvertragsrecht
a) Materialisierung des Schuldvertragsrechts
b) Formelle Gerechtigkeit des Datenschutzrechts
c) Regulierung massenhafter vertragsloser Austauschbeziehungen

3. Materielle Gerechtigkeit durch Information?
4. Materielle Gerechtigkeitskriterien für Koppelungen
a) Festlegung von „Tabuzonen"
b) Ermittlung krasser Äquivalenzstörungen
c) Beispiele für möglicherweise akzeptable Koppelungen

5. Grenzen einer Personendatenwirtschaft
6. Wege zur Materialisierung

VI. Ergebnisse
 


 

In einem vorangegangenen Aufsatz wurden die Hintergründe von Consent Management Platforms (CMP) und insbesondere die Verbindung der dort stattfindenden Datenerhebung zum Targeted Advertising dargelegt. Übergreifend handelt es sich um einen rein faktischen (nicht rechtlichen) Tausch von Personendaten gegen Leistungen (ausführlich Becker, CR 2021, 87 Rz. 41 ff. sowie passim). Der von DSGVO und ePrivacy-​Gesetzgebung gezogene rechtliche Rahmen bietet keine Möglichkeit, die Datenerhebung zum Zwecke des Targeted Advertising und damit verbundener Profilbildungen über berechtigte Interessen zu legitimieren. Vielmehr bedarf es zweier Einwilligungen: einer datenschutzrechtlichen Einwilligung und einer nach der ePrivacy-Gesetzgebung. Dabei sind die Vorgaben der DSGVO auch für die ePrivacy-​Gesetzgebung maßgeblich: Art. 2 lit. f) ePrivacy-​RL verweist auf die DS-​RL, an deren Stelle die DSGVO trat, weshalb nun Art. 4 Nr. 11 DSGVO und auch Art. 7 DSGVO als Voraussetzungen wirksamer Einwilligungen greifen.

Dabei ist es keine allzu kühne Annahme, dass Nutzer in CMP häufig auf „Alle akzeptieren" (oder einen vergleichbaren Button) klicken, um Zugang zu der Seite zu erhalten. Ein Faktor hierbei könnte sein, dass sie als Folge des strengen AGB-​Rechts daran gewöhnt sind, dass bei der Zustimmung zu vorformulierten Erklärungen keine krassen Ungerechtigkeiten drohen. Doch auch mit reduzierten Einstellungen zur Datenerhebung werden in vielen Fällen zwar weniger, aber immer noch zahlreiche Daten über das Endgerät und damit den Nutzer erhoben. Ein wesentlicher Aspekt ist die Komplexität des Online-​Advertising, das aus diesem Grunde zum eigenen Forschungsgegenstand der Informatik avanciert ist. Diese Komplexität und Intransparenz schützt Anbieter auch in gewissem Maße gegen Datenschutzbeschwerden.

Vor diesem Hintergrund wurde mit Blick auf CMP die Frage aufgeworfen, wo Art. 7 Abs. 4 DSGVO die Grenze zwischen legaler und illegaler überschießender Datenverarbeitung zieht. Allgemeiner formuliert: Kann das Datenschutzrecht beim vertragslosen Tausch von Personendaten gegen Leistungen für materielle Gerechtigkeit und speziell für Austauschgerechtigkeit sorgen? An diesem Punkt setzt der vorliegende Beitrag an.

 

I. Problem­stellung

1

Kommt es zum Austausch von Daten gegen Leistungen, hilft die DSGVO Betrof­fenen nach bishe­rigem Verständnis inhaltlich kaum weiter. Da sie Störungen des Äquiva­lenz­ver­hält­nisses nicht behandelt, lohnt es sich für Verant­wort­liche, gezielt unterhalb der Vertrags­schwelle zu bleiben. Materielle Kontroll­me­cha­nismen wie §§ 138 , 242 , 305 ff. BGB greifen dann nicht. Einzig ErwGr 42 DSGVO spricht unter Verweis auf die Klausel-RL ein Missbrauchs­verbot für vorfor­mu­lierte Einwil­li­gungs­er­klä­rungen aus.

2

Zugunsten der Betrof­fenen enthält Art. 7 Abs. 4 DSGVO dafür eine komplex geratene Regelung, die durch Koppe­lungen „erpresste“ Einwil­li­gungen in überschie­ßende Daten­ver­ar­bei­tungen tenden­ziell für unwirksam erklärt. Sowenig Betroffene vor einem unfairen Austausch von Daten gegen Leistungen geschützt sind, so schwer ist es damit für die Wirtschaft, an Perso­nen­daten zu gelangen.

3

Im Folgenden wird am Beispiel von CMP unter­sucht, wie vor dem geschil­derten Hinter­grund eine Materia­li­sierung des Daten­schutz­rechts de lege lata aussehen könnte. Hierfür bedarf es einer eher wirtschafts­freund­lichen Auslegung des Art. 7 Abs. 4 DSGVO .

 

II. Neuerungen in der ePrivacy-Gesetz­gebung

4

Das vorliegend im Mittel­punkt stehende Problem der Einwil­ligung entfällt, wenn die Nutzung gesetzlich erlaubt ist. Hierfür wurden in der ePrivacy-Gesetz­gebung jüngst neue Vorschläge unter­breitet.

5

Zunächst einmal ist aber kurz auf den Gesetz­entwurf für das TTDSG hinzu­weisen, bei dem es sich um die arg verspätete Umsetzung der ePrivacyRL in deutsches Recht handelt. Dieser ist Teil des Entwurfs eines „Gesetzes zur Regelung des Daten­schutzes und des Schutzes der Privat­sphäre in der Telekom­mu­ni­kation und bei Telemedien“. §§ 11 –15a TMG werden nach Art. 3 des Entwurfs gestrichten. Der Entwurf stellt noch einmal die parallele Anwendung der DSGVO klar, d.h. es bleibt bei dem festge­stellten Erfor­dernis von zwei Einwil­li­gungen, für die jeweils Art. 4 Nr. 11 und Art. 7 DSGVO maßgeblich sind. § 24 TTDSG-E setzt den Einwil­li­gungs­vor­behalt aus Art. 5 Abs. 3 ePrivacy-RL um.1 Die Rechts­fort­bildung des BGH zur Opt-out-Regelung in § 15 Abs. 3 TMG 2 entfällt mit dem Inkraft­treten des TTDSG.

6

Die eigent­liche Neuigkeit ist jedoch, dass unter der portu­gie­si­schen Ratsprä­si­dent­schaft nach langem Warten ein Ratsentwurf für eine ePrivacyVO verab­schiedet wurde.3 Dieser verwirft die daten­schutz­freund­liche deutsche Position und baut auf dem finni­schen Vorschlag auf. Insgesamt kommt er den zahlreichen Lobby­isten der Tech- und Medien-Indus­trien entgegen.4 Unter anderem nicht enthalten ist der Browser als zentrales Instrument zur Steuerung von Einwil­li­gungen in Speicher­nut­zungen (ErwGr 22, 23 bzw. 24, Art. 10 ePrivacyVO-E (Kommission), ePrivacyVO-E (Parlament)), dafür gibt es aber gewagte Ausfüh­rungen zur vorliegend besonders inter­es­sie­renden Koppelung von Leistungen an Datener­he­bungen und eine bedenk­liche Regelung zur einwil­li­gungs­losen Nutzung von Metadaten. Doch der Reihe nach:

 

1. Vertrau­lichkeit elektro­ni­scher Kommu­ni­ka­ti­ons­daten und das Abfangen elektro­ni­scher Kommu­ni­kation

7

Art. 5 ePrivacyVO-E (Rat) enthält den für die Abgrenzung von Direkt­werbung gegenüber Surveil­lance Capitalism wichtigen Grundsatz der Vertrau­lichkeit elektro­ni­scher Kommu­ni­ka­ti­ons­daten. In diesen Problem­kreis fällt das dem Online-Werbe­markt zugrunde liegende Nutzer­tracking als Abfangen elektro­ni­scher Kommu­ni­kation (ErwGr 15 ePrivacyVO-E (Rat und Kommission)). Der hierfür entschei­dende Art. 5 wie ErwGr 15 sind im Ratsentwurf bis auf marginale Änderungen gegenüber dem Kommis­si­ons­entwurf gleich­ge­blieben. An der Bewertung des Nutzer­trackings als keine Form der Direkt­werbung und nicht-berech­tigtes Interesse unter der DSGVO ändert sich also nichts.5 Wohl aber soll nach dem Ratsentwurf das Einwil­li­gungs­er­for­dernis innerhalb der ePrivacy-Vorgaben durch indus­trie­freund­liche Ausnahmen entfallen, die im Folgenden näher zu erläutern sind.

8

Die ePrivacyVO-Entwürfe regulieren sowohl den Zugriff auf Endge­rä­te­speicher, als auch auch die Erhebung von Infor­ma­tionen aus den Endge­räten der Endan­wender, („collection of infor­mation from end-users’ terminal equipment, including about its software and hardware“). Das ist sinnvoll, denn die Ablösung von 3rd Party Cookies wird die Regulierung des Endge­rä­te­spei­chers ein Stück weit obsolet machen. Auch das Daten­schutz­recht greift nicht zuver­lässig, da sich das Tracking auf die Wieder­er­kennung der Endgeräte stützt, um erst nachge­lagert und in meist intrans­pa­renter Weise die dahin­ter­ste­henden Nutzer ins Visier zu nehmen. Freilich ist das Nutzer­tracking eine Verar­beitung perso­nen­be­zo­gener Daten.6 Das Wieder­er­kennen von Endge­räten bietet aber etwas mehr argumen­ta­tiven Spielraum als der Zugriff auf deren Speicher oder die direkte Abfrage perso­nen­be­zo­gener Daten vom Nutzer (z.B. Mailadresse, Anschrift, Telefon­nummer). Insbe­sondere sind die einzelnen Verar­bei­tungs­schritte schwie­riger nachzu­voll­ziehen und zu beweisen. Das begründet die Bedeutung der ePrivacy-Gesetz­gebung und ist bei den weiteren Ausfüh­rungen zu bedenken.

 

2. Verar­beitung von Geräte­daten und Koppelung

9

Da die von einem Speicher­zu­griff unabhängige Sammlung von Infor­ma­tionen aus den Endge­räten der Nutzer häufig perso­nen­be­zogene Daten seien, wird in ErwGr 20aa ff. ePrivacyVO-E (Rat) der Bogen zum Daten­schutz­recht geschlagen und zunächst darauf hinge­wiesen, dass das Werbe­netzwerk im Hinter­grund die erfor­der­lichen Einwil­li­gungen auch von einem anderen einholen lassen könne, womit zuvor­derst Websites und deren CMP gemeint sein dürften: „Such entities may request another party to obtain consent on their behalf.“

10

Auffällig sind die dann folgenden ErwGr. Werde der Zutritt zu einer Website von der Einwil­ligung in Daten­ver­ar­bei­tungen abhängig gemacht, habe der Nutzer dabei aber die Wahl zwischen einem daten­in­ten­siven und einem datener­he­bungs­freien Angebot desselben Anbieters, so werde dem Nutzer eine echte Wahlmög­lichkeit nicht vorent­halten. Mit anderen Worten soll dann keine Koppelung vorliegen. Die Argumen­tation (sic!) tastet sich aber weiter vor zu der These, dass nur in einigen Fällen („some cases“) eine echte Wahlmög­lichkeit vorent­halten werde. Dies sei gewöhnlich bei Angeboten von öffent­lichen Stellen oder bestimmten alter­na­tiv­losen Angeboten, insb. solchen markt­starker Anbieter, der Fall. Bei anderen also nicht. Das Armdrücken bei den Verhand­lungen wird hier spürbar. Jeden­falls bleibt es nach dem letzten Absatz von ErwGr 20aaaa zunächst bei dem Einwil­li­gungs­er­for­dernis, sofern überschie­ßende Daten gesammelt werden.

11

ErwGr 21aa hingegen schlägt etwas verhalten vor, die Speicher­nutzung bei Online-Zeitungen zu Werbezwecken ohne Einwil­ligung zu gestatten. Grund für diese Privi­le­gierung ist die Meinungs- und Infor­ma­ti­ons­freiheit („freedom of expression and infor­mation“). ErwGr 21a ergänzt, dass Cookies außerdem ein „legitimate and useful tool“ sein könnten, um die Effek­ti­vität eines Dienstes, z.B. von Website-Design und Werbung zu bewerten oder die Anzahl der Endnutzer einer Website und deren Unter­seiten zu messen. Der Teil mit der Nützlichkeit stimmt jeden­falls. Es folgt der Disclaimer, dass dies natürlich nicht für Cookies und ähnliche Identi­fi­ka­toren gelte, die verwendet werden, um die Benutzer der Website zu ermitteln („the nature of who is using the site“). Genau diese Abgrenzung ist so gut wie nicht zu leisten und ein eigenes Forschungsfeld der Infor­matik.7

(...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht

 

 

 



Verlag Dr. Otto Schmidt vom 14.04.2021 10:52

zurück zur vorherigen Seite