31. Juli 2008 - Die Gestaltung von Einverständniserklärungen

Der Kunde – extrem schutz­bedürftig oder souverän?

Vor Gericht und auf See bist du in Gottes Hand. Dass dieser volkstümliche Spruch manchmal mehr als nur ein Körnchen Wahrheit enthält, mussten der Payback-Rabattverein und die im Düsseldorfer Kreis zusammengeschlossenen Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft erfahren. Das Landgericht München I kassierte nämlich eine Einwilligungsklausel, auf die sich der Verein und der Düsseldorfer Kreis in einem langwierigen Abstimmungsverfahren geeinigt hatten.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die Payback-Karte gibt es seit dem Jahr 2000. Wie sie datenschutzrechtlich zu beurteilen ist, war dabei schon vom ersten Tag an umstritten.

Vor allem die Einverständniserklärung war Stein des Anstoßes

Schon am 1. Februar 2001 erklärte das Landgericht München I die damals verwendete Einverständniserklärung für rechtswidrig (Urteil unter www.jurpc.de).

Payback suchte zusammen mit den Aufsichtsbehörden eine Lösung

In der Folgezeit trat der Payback-Verein, der von interessierten Unternehmen getragen wird, in Gespräche mit den deutschen Datenschutzaufsichtsbehörden ein. Rechtlich maßgebend war dabei nur die Haltung der bayerischen Datenschutzaufsicht, da der Verein seinen Sitz in München hat.

Das Abstimmungsgremium der Aufsichten ist der Düsseldorfer Kreis

Da Payback inzwischen über 30 Millionen Rabattkarten ausgegeben hat und bundesweite Bedeutung besitzt, kam es allerdings zu einem Gedankenaustausch zwischen allen deutschen Datenschutzaufsichtsbehörden, die für die Privatwirtschaft zuständig sind.

Das Forum hierfür ist seit nunmehr fast 30 Jahren der „Düsseldorfer Kreis“, ein gesetzlich nicht geregeltes Gremium, in dem sich die Aufsichtsbehörden bei grundlegenden Fragen abstimmen. Ziel der Gespräche in diesem Gremium ist es, unterschiedliche Handhabungen bei den einzelnen Aufsichtsbehörden zu vermeiden.

Payback sammelt Daten für personalisierte, gezielte Werbung beim Kunden

Ziel des Payback-Systems ist, Daten aus konkreten einzelnen Transaktionen wie etwa Käufen, bei denen der Kunde die Rabattkarte vorlegt, für persönlich adressierte Werbung sowie für Zwecke der Marktforschung zu verwenden.

Dazu bedarf es – darüber besteht vom Grundsatz her keinerlei Streit – einer Einwilligung des Betroffenen.

Was, wenn der Payback-Kunde seine Daten nicht weitergegeben sehen will?

Was ist nun, wenn der Kunde zwar eine Rabattkarte möchte, aber weder Werbung erhalten will noch damit einverstanden ist, dass seine Daten für Marktforschung verwendet werden?

Seit 2005 wählte Payback diesen Weg:

  • Wenn der Kunde eine Rabattkarte will, muss er einen entsprechenden Antrag ausfüllen.
  • In diesen Antrag „eingebaut“ ist eine Einverständniserklärung.
  • In ihr ist im Einzelnen dargestellt, wer welche Daten über ihn für Werbung und Marktforschung erhalten darf.
  • Der Antrag ist insgesamt am Ende zu unterschreiben. Eine gesonderte Unterschrift unter die Einwilligungsklausel ist nicht vorgesehen.
  • Unterschreibt der Interessent den Antrag und tut ansonsten nichts, ist damit die Einwilligung erteilt.
  • Will er dagegen vermeiden, dass seine Daten für Werbung oder Marktforschung verwendet werden, kann er ein Kästchen im Antragstext ankreuzen, neben dem folgender Text steht: „Hier ankreuzen, falls die Einwilligung nicht erteilt wird.“

Der Düsseldorfer Kreis stimmte dieser geänderten Einverständnisklausel zu

Mit dieser Ausgestaltung waren sowohl die bayerische Datenschutzaufsicht als auch die anderen im Düsseldorfer Kreis vertretenen Aufsichtsbehörden einverstanden. Damit konnte der Payback-Verein davon ausgehen, dass diese Lösung allgemein mitgetragen wird.

Opt-In contra Opt-Out

Worin besteht nun die rechtliche Besonderheit und damit allerdings auch zugleich die rechtliche Tücke dieser Ausgestaltung einer Einwilligung?

Dies lässt sich an dem Begriffspaar Opt-In und Opt-Out festmachen:

  • Opt-In bedeutet, dass eine Einwilligung durch ausdrückliches aktives Handeln erteilt wird. Diese Variante läge vor, wenn die Einwilligung erst dadurch erteilt würde, dass der Interessent dafür ein Kästchen ankreuzen müsste. Tut er es dagegen nicht – gleich, ob bewusst oder nicht –, liegt keine Einwilligung vor.
  • Bei einer Opt-Out-Lösung gilt dagegen eine Einwilligung als erteilt, es sei denn, der Kunde erklärt sich ausdrücklich dagegen. Im vorliegenden Fall haben wir es mit einer Variante des Opt-Out zu tun. Sobald der Kunde den Antrag insgesamt unterschreibt, gilt die Einwilligung als erteilt. Entspricht das nicht seinem Willen, muss er aktiv werden und ankreuzen, dass er nicht einwilligen will.

Payback tendiert zu Opt-Out, um an so viele Daten wie möglich zu kommen

Der Grund dafür liegt auf der Hand. Payback möchte viele Einwilligungen erhalten, damit es möglichst viele Daten vermarkten kann. Daran ist an sich nichts Verwerfliches. Allerdings stellt sich die Frage, womit der Kunde rechnen muss und womit nicht.

Payback vermutet, dass der „typische Kunde“ einwilligen möchte, und will ihm das möglichst einfach machen. Wahrscheinlich trifft die Sicht von Payback sogar zu.

Viele Kunden sehen den Deal „Daten gegen Rabatt“ als unkritisch an

Es ist erstaunlich, wie unwichtig vielen Kunden die eigenen Daten sind. Und vielen wird tatsächlich klar sein, dass kaum jemand einfach etwas nur verschenkt. Diese Kunden empfinden – wenn es sie überhaupt interessiert – die Nutzung ihrer Daten für die Werbung als etwas, womit sie die Rabattkarte quasi bezahlen.

Das Landgericht München I will vom Opt-Out jedoch nichts wissen

Das Landgericht folgt diesen Überlegungen allerdings nicht. Auf die Klage eines Verbrauchervereins erklärte es das Kernstück der Einwilligungsklausel für unwirksam. Dabei störten das Gericht vor allem folgende Punkte:

Die Einwilligung beruht nicht auf der freien Entscheidung des Kunden, wie es § 4a Abs. 1 Satz 1 BDSG fordert. Denn die Einwilligung gilt auch dann als erklärt, wenn der Kunde die Möglichkeit des „Auskreuzens“ schlicht übersehen hat.

Dass er das Kästchen hätte ankreuzen können, ändert daran nichts. Wenn der Kunde die Wahlmöglichkeit gar nicht erkennt, beruht seine Einwilligung nicht auf einer freien Entscheidung.

Damit, dass er in eine Verwendung von Daten für Werbezwecke einwilligt, muss er nicht rechnen. Denn ihm geht es nur um eine Rabattkarte.

Durch die Ausgestaltung der Klausel wird der Kunde unter Druck gesetzt. Für ihn wirkt es so, als sei die Einwilligung der Regelfall und das Versagen der Einwilligung die Ausnahme. Nach dem BDSG verhält es sich jedoch gerade umgekehrt.

Das Menschenbild wird entscheiden

Geht man davon aus, dass das Gesetz vor allem den unaufmerksamen, unbeholfenen Kunden schützen soll, wird man der Entscheidung zustimmen. Man kann es aber auch anders sehen. Wer unterschreibt, ist sich in der Regel darüber im Klaren, dass damit etwas rechtlich Relevantes erreicht werden soll. Dann aber liegt es an ihm, den unterschriebenen Text auch zu lesen.

Das Verfahren geht in die nächste Instanz. Dort wird entschieden, welcher Sichtweise der Vorrang gebührt.

Update: Die Entscheidung ist mittlerweile gefallen. Das Urteil des Bundesgerichtshofs finden Sie hier.


Das Ergebnis ist für viele relevant

Das Ergebnis ist für alle Unternehmen wesentlich, die Einwilligungen von Kunden einholen. Deshalb reicht die Bedeutung des Verfahrens weit über Rabattkartensysteme hinaus.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Datenschutzbeauftragter des Bayerischen Landesamts für Gesundheit und Lebensmittelsicherheit.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln