09 April 2024

Paternalistische Freiwilligkeit

Grenzen einer datenschutzrechtlichen Regulierung von Pay-or-Consent-Modellen

Gegenwärtig sind verschiedene Institutionen in Europa dabei, eine rechtliche Bewertung von sog. „Pay-or-Consent“-Modellen vorzunehmen. Der Begriff steht für Geschäftsmodelle der Digitalwirtschaft, in denen die Leistung des Unternehmens dadurch finanziert wird, dass die Nutzer mit einer Entscheidungsalternative konfrontiert werden: Entweder bezahlen sie für das Medienangebot oder das Dienstleistungsangebot (z.B. sozialer Netzwerkdienst) einen monetären Preis („pay“); oder die Finanzierung erfolgt durch die Schaltung personalisierter Werbung, die – so der EuGH in der Entscheidung Meta/Bundeskartellamt – eine Einwilligung der Nutzer zur Auswertung ihrer persönlichen Daten voraussetzt („consent“). Der European Data Protection Board (EDPB) erarbeitet gegenwärtig eine Stellungnahme zur Vereinbarkeit von „Pay-or-Consent“-Modellen mit der DSGVO, die Anfang Mai veröffentlicht werden soll. Nachdem das Digitalunternehmen Meta dieses Modell im November 2023 für seinen sozialen Netzwerkdienst Facebook eingeführt hatte, riefen mehrere staatliche Datenschutzbehörden den EDPB an, um die Vereinbarkeit dieses Modells mit der DSGVO zu klären. Das Information Commissioner`s Office im UK sieht die Notwendigkeit, den betroffenen Unternehmen Rechtsicherheit zu vermitteln, und hat im März 2024 eine öffentliche Konsultation eingeleitet. Die EU-Kommission hat ebenfalls im März 2024 bekanntgeben, die Entscheidung von Meta unter dem DMA zu untersuchen.

Die Klärung erfolgt unter enormen politischem Druck von Datenschutzaktivisten und NGOs, die die Einführung eines „Pay“-Modells aus sozialpolitischen Gründen angreifen („tax on privacy“/“price for privacy“). In einer grotesken Volte soll das Datenschutzrecht als Hebel dienen, Medienunternehmen oder großen Netzwerkbetreibern das Angebot einer Leistung zu untersagen, die datenminimalistischer ist als das überkommene Geschäftsmodell. Die Datenschutzbehörden stehen damit vor der Frage, ob die Interpretation der DSGVO einen „social justice turn“ vollziehen soll und Anliegen sozialer Gerechtigkeit zum Schutzzweck gemacht werden können.

Freiwilligkeit der Einwilligung und gleichwertige Alternativangebote

Den rechtsdogmatischen Kern des Streits bildet das Freiwilligkeitskriterium des Art. 6 Abs. 1 lit. a), Art. 4 Nr. 11 DSGVO. Eine Einwilligung zur Ausweiterung persönlicher Daten zur Schaltung personalisierter Werbung ist danach nur „freiwillig“, wenn das Unternehmen den Nutzern ein „gleichwertiges“ Angebot macht und so eine Wahlfreiheit schafft. Die datenschutzrechtliche Freiwilligkeit der Einwilligung zur Nutzung persönlicher Daten für personalisierte Werbung lässt sich nach der vom EuGH bestätigten Sichtweise dadurch herstellen, dass den Nutzern ein Alternativangebot gemacht wird und so Wahlfreiheit hergestellt wird. Im Lichte der EuGH-Entscheidung Meta/Bundeskartellamt müssen dabei drei Punkte als geklärt angesehen werden:

1) Auch ein Unternehmen mit Marktmacht kann sich eines Pay-or-Consent-Modells bedienen; die gelegentlich zu vernehmende Behauptung, dass Marktmacht zur Unfreiwilligkeit aller datenschutzrechtlichen Einwilligungen führe, ist nicht nur unrichtig, sondern auch weltfremd.

2) Ebenfalls ist vom EuGH abschließend geklärt, dass „Pay-or-Consent“-Modelle grundsätzlich die für das Freiwilligkeitskriterium erforderliche Wahlmöglichkeit eröffnen können. Der EuGH spricht ausdrücklich davon, dass „that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.” (Rdnr. 150). Nach Art. 19 EUV sind die Entscheidungen des EuGH für die EU-Organe, Einrichtungen und Stellen verbindlich. Es wäre ein einmaliger, so in der Geschichte der EU noch niemals zu beobachtender Vorgang, wenn eine Verwaltungsinstitution der EU sich offen über eine Entscheidung des EuGH hinwegsetzte.

3) Der EuGH hat ebenfalls klar ausgesprochen, dass es für die Erfüllung des Freiwilligkeitskriteriums ausreicht, wenn den Nutzern eine gleichwertige Alternativoption angeboten wird. Mit der Entscheidung wäre es unvereinbar, wenn verlangt würde, dass Unternehmen insgesamt drei, vier oder noch mehr Angebote machen. Der EU-Gesetzgeber könnte in einem Regulierungsinstrument festlegen, dass an die Seite eines „Pay-or-Consent“-Modells noch ein Modell monetär kostenloser und nicht-personalisiertier Werbung gestellt werden muss. Die DSGVO trägt demgegenüber politische Wünsche, den Digitalunternehmen die Bereitstellung einer Vielzahl von Angeboten abzuverlangen und so das Geschäftsmodell durchzuregulieren, nicht. Unter Datenschutzgesichtspunkten ist das „Pay“-Modell mit datenminimierendem Verzicht auf Werbung das Optimum. Es lässt sich nicht sinnvoll begründen, dass das Datenschutzrecht darüber hinaus noch ein Angebot nicht-personalisierter Werbung erzwingen kann.

Vier Thesen

In der gegenwärtigen Diskussion ist damit zu beobachten, wie das datenschutzrechtliche Kriterium der Freiwilligkeit zur Grundlage von Forderungen gemacht wird, digitale Geschäftsmodelle zu regulieren. Dies gilt nicht nur, wie gerade angesprochen, für die Zahl der anzubietenden Optionen, sondern vor allem für die Ausgestaltung der Optionen. Die „datenschutzrechtliche Regulierung“ wird vielfach nicht von der Sorge um den Schutz informationeller Selbstbestimmung und der Durchsetzung getragen, sondern von regulierungspolitischen Interessen und Zielen jenseits des Zwecks des Datenschutzrechts. Damit wird das Datenschutzrecht missbraucht. Die Datenschutzbehörden würden ihre Kompetenzen überschreiten und ultra vires handeln, wenn sie die Auslegung der DSGVO unter sozial- oder verbraucherschutzpolitischen Aspekten vornähmen.

Der nachfolgende Beitrag will vier Thesen zur Auslegung des Freiwilligkeitskonzepts der DSGVO formulieren und so Missverständnisse ausräumen, die in der datenschutzrechtlichen Diskussion von interessierter Seite geschürt werden.

Loslösung von der Kostenlos-Mentalität von Internetangeboten

Die rechtliche Bewertung von Pay-oder-Consent-Modellen hängt wesentlich von der sozio-kulturellen Rekonstruktion der Wirklichkeit ab, in der die Modelle angeboten werden. Geht man davon aus, dass unternehmerische Leistungen in einem Markt grundsätzlich gegen Bezahlung angeboten und nur ausnahmsweise anders finanziert werden, bildet das „Pay“-Modell die Regel und ein werbefinanziertes kostenloses Angebot ein exzeptionelles Entgegenkommen. In dieser Rekonstruktion der Marktwirklichkeit im Internet drückt sich die Beobachtung aus, dass die Zeiten, in denen das ökonomische Geschehen im Internet von einer „Kostenlos“-Kultur dominiert war, zu Ende gehen. In weiten Teilen der digitalen Ökonomie haben sich reine Pay-Modelle durchgesetzt haben (Medienangebote wie FT, WSJ, NYT etc.; Streaming-Dienste wie Netflix etc.). Inzwischen ist klar erkennbar, dass die Kostenlos-Kultur gerade im Medienbereich zum Verlust an Angebotsvielfalt, zu Qualitätsverfall und zur Ausbeutung der Bereitsteller von Inhalten geführt hat. Eine Kostenloskultur lässt qualitativ hochwerte Wertschöpfung nicht zu. In der sozialen Marktwirtschaft, die der AEUV verfasst (Art. 119 AEUV), steht es jedem Unternehmen frei, sein Angebot umzustrukturieren, die Zeit der Kostenlosigkeit zu beenden und auf ein grundsätzliches Pay-Modell überzugehen. In der gegenwärtigen Diskussion wird nicht ernsthaft bestritten, dass es einem Unternehmen datenschutzrechtlich frei steht, sein Angebot am Grundsatz des „pay or leave“ auszurichten.

Bietet das Unternehmen dann parallel zu einem Angebot „Leistung gegen Geld“ noch ein werbefinanziertes und monetär kostenloses Angebot an, so erweitert dieses den Handlungsspielraum der Nutzer, die finanziell besser als im Regelfall gestellt werden, selbst wenn sie der Nutzung ihrer persönlichen Daten für die Schaltung personalisierter Werbung zustimmen. Die hohe Zahl der Nutzer, die dieses Angebot wählen, deutet auf eine Präferenzstruktur hin, die vom Datenschutzrecht hinzunehmen ist. Der Irrtum mancher Datenschutzaktivisten liegt darin, das Ende der Kostenloskultur in der Digitalökonomie für einzelne – willkürlich ausgewählte – Sektoren bestreiten zu wollen. Wird die Kostenloskultur zum Regelfall und normativen Ideal erklärt, lässt sich die Einführung eines Pay-Angebots als „privacy fee“ oder „privacy tax“ darstellen. Der DSGVO lässt sich eine derartige sozio-kulturelle Rekonstruktion der Welt digitaler Märkte aber nicht entnehmen. Es wäre überaus merkwürdig, wenn der EDPB sich einer solchen Deutung bedienen würde.

Normatives Konzept von Freiwilligkeit

Hinter Art. 6 I 1 (a), Art. 4 Nr. 11 DSGVO steht ein normatives Konzept von Freiwilligkeit. Freiwilligkeit bedeutet nicht, dass die Präferenzen der Nutzer in größtmöglichem Umfang – oder gar vollständig – erfüllt werden. Wer nach Präferenzen der Nutzer fragt, wird regelmäßig ermitteln, dass sie am liebsten gar nicht bezahlen wollen. Ein ähnliches Bild wird man erhalten, wenn man Kunden im Supermarkt fragen würde, ob sie die Waren bezahlen oder doch lieber kostenlos erhalten wollen. Die Freiwilligkeit der Zustimmung zum Kaufvertrag stellt die Beobachtung dieser Präferenz aber nicht in Frage. Die Befragung wird im Übrigen ergeben, dass die Nutzer auch persönliche Daten in geringstmöglichen Umfang für die Bereitstellung personalisierter Werbung bereitstellen wollen. Datenschutzaktivisten verwischen häufig die Differenz der Freiwilligkeit einer Einwilligung und Präferenzen. Auch das Datenschutzrecht kann an der Tatsache nicht ändern, dass man in der Welt nicht alles haben kann – und schon gar nicht alles zugleich. Es gibt keinen sinnvollen Grund, das Freiwilligkeitskriterium des Datenschutzrechts auf Präferenzen zu beziehen. Maßgeblich sind vielmehr Entscheidungsräume. Ein „Pay-or-Consent“-Modell eröffnet einen Entscheidungsräum, wenn der verlangte Preis nicht so hoch ist, dass er über der finanziellen Leistungsfähigkeit des durchschnittlichen Nutzers liegt. Die Beobachtung, dass die Zahlung eines Preises bei begrenzten finanziellen Mitteln Verzicht woanders bedeutet, stellt nicht die Freiwilligkeit der Entscheidung in Frage, sondern weist auf die Dilemmata des Umgangs mit knappen (Finanz-)Mitteln hin.

Keine Kommerzialisierung des informationellen Selbstbestimmungsrechts der DSGVO

Es wäre eine fatale Fehlentwicklung, wenn die Datenschutzbehörden dazu übergehen würden, das Kriterium der Gleichwertigkeit der Angebote am Maßstab ökonomischer Wertbetrachtungen zu interpretieren. Es wäre in diesem Fall notwendig, den Daten, die im Fall des werbefinanzierten Angebots die die Bereitstellung personalisierter Werbung verwandt werden, einen ökonomischen (Nutz- oder Markt-)Wert zuzuschreiben und diesen mit dem monetären Preis des „Pay“-Angebots zu vergleichen. Die damit verbundene Kommerzialisierung persönlicher Daten würde die Datenschutzbehörden nicht nur dazu zwingen, ihr Dogma aufzugeben, wonach persönliche Daten datenschutzrechtlich keinen Marktwert haben. Es würden sich auch schier unüberwindbare Bewertungsschwierigkeiten ergeben. Alternativansätze, die stattdessen auf den Werbeumsatz pro Kunde oder die Kostenstruktur des Digitalunternehmens abstellen und hieraus Vergleichsmaßstäbe ableiten wollen, sind datenschutzrechtlich gar vollständig inkohärent, weil sie nichts mit informationeller Selbstbestimmung und Privatheitsschutz zu tun haben. Es ist auffällig, wie NGOs und andere Datenschutzaktivisten plötzlich mit Fragen der Marktfairness oder mit Kriterien eines „angemessenen Gewinns“ argumentieren – und dass alles auf der Grundlage von Art. 4 Nr. 11 DSGVO (!).

Würden sich die Datenschutzbehörden behaupten, dass die „Pay“-Option nur dann eine „gleichwertige“ Alternative darstellte, wenn der Preis „vernünftig“, marktangemessen oder sozial verträglich ist, würden sie sich zu Preiswächtern der Datenökonomie machen. Sie würden die Befugnis in Anspruch nehmen, auf der Grundlage der DSGVO eine Regulierung des Preises digitaler Leistungen vorzunehmen. Die DSGVO würde zu einem Instrument der Preiskontrolle gemacht, und das auf der Grundlage des Konzepts digitaler Autonomie.

Der dadurch bewirkte Schaden wäre groß.

Erstens liefe dies den freiheitlichen Grundprinzipien zuwider, die die Marktverfassung des EU-Rechts kennzeichnen. Die EU verdankt der Orientierung an dieser Marktverfassung ihre größten Erfolge und ihre politische Legitimation. Der ideelle, politische und ökonomische Schaden wäre enorm, wenn sich EU-Behörden der DSGVO bedienten, um Preisregulierung zu betreiben, ohne dass sie über ein vernünftiges Konzept der Effektivität von Märkten verfügen. Die DSGVO ist kein planwirtschaftliches Instrument, mit dem – über Kriterien wie „Vernünftigkeit“ oder „Angemessenheit“ – die Regulierung des im „Pay“-Modell verlangten Preises erfolgen könnte.

Zweitens fehlt dem EDPB nicht nur die Zuständigkeit, sich auf das Feld der Festlegung von Höchstgrenzen des im Pay-Modells verlangten Preises zu begeben. Es ist auch nicht ersichtlich, dass er über das für die Beurteilung von Preiseingriffen erforderliche Sachwissen verfügte.

Drittens würde die Umdeutung der DSGVO zu einem Instrument der Kontrolle von Preisen von Pay-Modellen das Schutzkonzept der DSGVO zerstören, das in der Gewährleistung von informationeller Selbstbestimmung und informationeller Privatheit besteht.

Viertens würde der Schutzansatz der DSGVO entindividualisiert, wenn er nicht mehr die individuelle Autonomie der Empfänger einer Leistung betrachtete, sondern die Äquivalenz des Ertrags, den ein Digitalunternehmen aus der Schaltung personalisierter Werbung erzielt, mit dem Ertrag vergleicht, den es durch die monetäre Bepreisung seiner Leistung erzielt. Aus einem Rechtsinstrument, das Menschen schützt, würde ein Instrument gemacht, das unternehmerische Kennzahlen vergleicht.

Die Umdeutung der DSGVO zu einem Instrument der Preisregulierung würde – auch wenn sie unter dem Vorwand erfolgt, die „Gleichwertigkeit“ der Gegenleistung von Nutzern eines digitalen Angebots sicherzustellen, die Grundrechte der Unternehmen verletzen (Art. 16 GRCh). Bedarf für diesen interventionistischen Paternalismus gibt es nicht.

DSGVO erlaubt keine sektorielle Regulierung

Das Freiwilligkeitskriterium ist ein dogmatisches Zentralkriterium der DSGVO. Die DSGVO verfolgt einen allgemeinen Regelungsansatz, der im Grundsatz identische Anforderungen für alle Verantwortlichen (Art. 4 Nr. 7 DSGVO) formuliert („one size fits all“-Ansatz). Der EU-Gesetzgeber hat sich im Datenschutzrecht (anders als beim DMA) bewusst gegen sektorielle Regelungsansätze entschieden. Die Anforderungen, denen ein „Pay-or-Consent“-Modell genügen muss, um eine echte Wahlmöglichkeit zu eröffnen, müssen daher auch für alle Wirtschaftssektoren einheitlich formuliert werden. Was für Medienunternehmen gilt, muss auch für Betreiber sozialer Netzwerke gelten, und umgekehrt. Würden Datenschutzbehörden versuchen, sektorspezifische Anforderungen formulieren, würden sie die Grundarchitektur der DSGVO zerstören. Sie würden auch den Gleichbehandlungsanspruch des Art. 20 GRCh verletzen. Ein sektorspezifischer und diskriminierender Ansatz wäre Industriepolitik, Unternehmensregulierung und damit rechtswidrig.