Immer wieder sieht man Seiten oder Unternehmen, die bestimmte Goodies, wie ein Download von irgendwas, davon abhängig machen, dass sich der Nutzer beispielsweise bei einem Newsletter anmeldet. Aber ist das zulässig?
Der Nutzer wird dadurch gezwungen mit der Einwilligung in die Nutzung seiner personenbezogenen Daten zu Werbezwecken zu bezahlen.
Dies ist jedoch durchaus problematisch, denn die DSGVO hat ein sogenanntes Koppelungsverbot kodifiziert. Dieses gab es zwar schon in zu Zeiten des Bundesdatenschutzgesetzes. Es wurde jedoch mit der DSGVO verschärft. Und die entsprechende Norm ist durchaus unglücklich formuliert.
Aktuell gilt Artikel 7 Absatz 4 DSGVO:
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Das bedeutet also, dass eine Koppelung, wenn überhaupt, nur dann möglich ist, wenn die Datenerhebung, Datenspeicherung und Datenverarbeitung für die Erfüllung des Grundvertrages zwingend erforderlich ist. Was vielleicht bei der Adresse für eine DHL Lieferung noch der Fall ist, ist bei Werbeemails sicherlich nicht gegeben.
Der Erwägungsgrund zu der Norm bringt ein wenig Licht in die Sache:
Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Die Anmeldung zu einem Werbenewsletter, im Rahmen beispielsweise eines Bestellprozess, wäre also nicht “freiwillig”. Hier muss also auf eine saubere Formulierung des Bestellprozesses geachtet werden, damit der Nutzer/Käufer stets nur freiwillig sein Daten zur Verfügung stellt und sich nicht genötigt fühlt, dies zu tun, um die Bestellung abschließen zu können oder einen Vorteil auf der Seite zu erhalten. Während es hier also eine große Grauzone gibt, sind komplette Verbindungen sicherlich nicht zulässig. Ein “Gib uns deine Emails und du erhältst Zugang zu unserem Infovideo/Download/PDF” ist nicht zulässig. Dies kann nur dann als zulässig konstruiert werden, wenn ein gesamter Vertrag vorliegt, beispielsweise weil der Download per Abo möglich ist und die Daten für Abrechnungszwecke benötigt werden oder wenn die Anmeldung für eine Community erfolgt, in deren Rahmen “angemeldete” Nutzer Vorteile haben, wie den Download von bestimmten Dokumenten. Leider kann man hier schnell in eine Haftungsfalle kommen, die im Zweifel auch abmahnbar wäre.
Auch sind sich Datenschutzbehörden inzwischen wohl einig, dass die DSGVO nicht grundsätzlich ein “Bezahlen mit Daten” unmöglich machen wollte. Im Gegenteil. Die konkrete Umsetzung muss aber den neuen Anforderungen an Freiwilligkeit, Informiertheit und Willensbetätigung nachkommen, weswegen es auf Details ankommen kann.