Der weiße Schimmel der DSGVO - ein Plädoyer für progressiven Datenschutz
Es ist grotesk: auf Twitter feiern Politiker wie Saskia Esken den Kampf einer österreichischen Initiative – "None of Your Business", initiiert von Max Schrems - gegen "super-nervige Cookie-Banner". Die seien "rechtswidrig".
Das ist eine gehörige Portion Chuzpe für die Co-Vorsitzende einer Regierungspartei, die für diese Situation verantwortlich ist. Dahinter steht das Narrativ, dass Cookie-Einwilligungen unlauter oder gar gesetzeswidrig wären. Das ist natürlich nicht der Fall, sondern schlichte Folge des gesetzlichen Einwilligungserfordernisses. Kurz: Hier beklagt sich jemand, dass einem selbst geschaffenen Gesetz Folge geleistet wird. Das zeigt ein Problem des Datenschutzrechts insgesamt. Doch es gibt eine einfache, alle Belange vollständig befriedigende Lösung. Aber von vorn:
Symptom eines tiefer liegenden Problems
Man mag über diesen etwas unbeholfenen Versuch schmunzeln, die negativen Folgen der eigenen Regelung ihren Adressaten unterzuschieben. Aber der Hintergrund ist ernster. Er ist das Symptom einer um sich greifenden Sichtweise, wonach nicht erst der Missbrauch von Daten zum Schaden einzelner oder der Gesellschaft, sondern bereits ihre Verarbeitung zu kommerziellen Zwecken als solche zu bekämpfen und das Datenschutzrecht an dieser Maxime entlang auszulegen sei. Diese Sicht kann man in einer freiheitlich-demokratischen Gesellschaft getrost als verfassungsfeindlich beschreiben. Menschen sind soziale Wesen: Sie interagieren, sie betreiben Unternehmen und sie prosperieren (nur) deshalb. Ausfluss der in den europäischen Verfassungen geronnenen Aufklärung ist dabei zugleich, dass der Mensch in der Entfaltung seiner Persönlichkeit frei und weitgehend allein dazu berufen ist, über sein Persönlichkeitsrecht zu verfügen. Das gilt auch und insbesondere für die Entscheidung über die Monetarisierung eines Teils seines Persönlichkeitsrechts (s. Rixeker in: MüKoBGB, BGB Anh. § 12 Rn. 38 m.w.N.).
Folge ist, dass dem Datenschutzrecht eine natürliche Grenze gesetzt ist: Der Wille des Einzelnen. Es ist verfassungskonform unmöglich, Betroffenen die Möglichkeit zu entreißen, anderen die Kenntnisnahme und Verarbeitung von Daten zu gestatten, die einen Bezug zu ihm haben. Will der Gesetzgeber daher Verarbeitungsvorgänge eindämmen oder verbieten, was aus Gemeinwohlgründen selbstverständlich möglich ist, kann er dafür nicht bei dem Recht des Einzelnen ansetzen, in die Verarbeitung seiner Daten einzuwilligen. Er muss den Verarbeitungsvorgang selbst regulieren und gegebenenfalls verbieten. Der Gesetzgeber befindet sich damit in einer unbequemen Lage: Werbung und insbesondere auch Online-Werbung fördert das Gemeinwohl. Ihre Einschränkung unterliegt engen verfassungsrechtlichen Grenzen, weil auch die Berufsausübungsfreiheit grundrechtlich europaweit garantiert wird.
Damit kann als Zwischenergebnis festgehalten werden: Mit Einwilligung des Betroffenen geht (fast – bis zur Grenze des Zwergenwerfens, s. VG Neustadt, 21.05.1992 - 7 L 1271/92.NW, NVwZ 1993, 98) alles und die Einwilligung als solche kann nicht untersagt werden.
Einwilligung ohne Wille?
In dieser Situation hat sich der Verordnungsgeber entschieden, die Grenzen des rechtlich Möglichen über einen Umweg zu erweitern: Er hat sich überlegt, dass im Vorfeld angesetzt werden müsse, wenn er die Freiheit zur Einwilligung schon zähneknirschend akzeptieren muss und ihm auch kein vernünftiger Gedanke kommt, wie negative Auswüchse von Online-Marketing unmittelbar reguliert werden könnten. Hier fiel die Wahl auf die Konstruktion eines Machtgefälles, vor dem Betroffene geschützt werden müssten (s. Ewg. 43 DSGVO). Die Willensentscheidung Betroffener sei nämlich nur dann durch den Gesetzgeber zu akzeptieren, wenn diese "freiwillig" erfolge. Da zwischen dem Verantwortlichen und dem Betroffenen aber nun mal regelmäßig ein Machtgefälle bestehe, sei das ebenso regelmäßig nicht der Fall. Im Ergebnis soll der Betroffene so seines Rechts, über die Verwendung seiner Daten selbst bestimmen zu können, beraubt werden. Es soll nämlich nicht auf seinen tatsächlichen Willen ankommen ("Die Einwilligung gilt nicht als freiwillig erteilt..."). Das Unwohlsein des Verordnungsgebers ob dieser schlecht kaschierten Grundrechtsverkürzung hat Niederschlag in der verunglückten Regelung des Art. 7 Abs. 4 DSGVO gefunden. Sie lautet:
"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind."
Der aus der Norm folgende Auftrag ist überhaupt nur im Lichte der vorstehenden Ausführungen verständlich. Sie soll die Verarbeitung von Daten auch dann eindämmen, wenn der Betroffene dies selbst will. Der verbrämte Verbotscharakter wird dabei exemplarisch auch dadurch deutlich, dass dem Umstand, dem "größtmögliche" Bedeutung zukommen soll, keine Relevanz für die Freiwilligkeit eines Willensentschlusses zukommt. Gar keine. Die Frage, wozu die Daten "erforderlich" sind, ob die Einwilligung in einem vertraglichen Kontext erteilt wird oder außerhalb: Für die Willensbildung Betroffener hat all dies keinerlei Bedeutung. Insbesondere sind diese Umstände kein Indiz für ein wie auch immer geartetes Machtgefälle – im Gegenteil: Sie beschreiben ausschließlich und neutral den Inhalt und den Umfang der Einwilligung sowie – nebenbei – ihren Anlass. Worüber die Kriterien dagegen keinen, nicht ein Jota, nicht auch nur einen Hauch einer Aussage treffen: Die Motivation für die Willensäußerung. Hier wird ein unauflösliches Paradoxon der DSGVO deutlich. Sie will anhand abstrakter Merkmale und gegen ihren klaren Wortlaut einer Einwilligung absprechen, dass sie einen Willen enthalte. Eine Einwilligung ist immer freiwillig. Das vermeintliche zusätzliche Tatbestandsmerkmal der "Freiwilligkeit" ist in Wahrheit eine Tautologie. Damit wird klar, dass Anknüpfungspunkt nicht äußere Umstände und schon gar nicht die mütterliche Beurteilung dieser Umstände durch den Verordnungsgeber oder einen anwendenden Richter sein können, sondern nur die innere Tatsache des faktischen Willens des einzelnen Betroffenen. Dieser allerdings braucht die Unterstützung durch die zusätzlichen Kriterien gar nicht. Ein Betroffener kann seine Einwilligung jederzeit widerrufen, Art. 21 DSGVO, und es stehen ihm im Fall von Willensmängeln die nationalstaatlichen Anfechtungstatbestände zur Verfügung.
Was Art. 7 Abs. 4 DSGVO daher tatsächlich sagt: Die Verarbeitung personenbezogener Daten zu kommerziellen Zwecken ("Vertrag") wird missbilligt und diese Wertung soll es Gerichten gestatten, den unzweideutig geäußerten Willen Betroffener zu missachten und missbilligte Verarbeitungsvorgänge zu untersagen. Nach welchen Kriterien das geschehen soll, ist völlig unklar. Man kann getrost davon ausgehen, dass es nicht hilfreich ist, wenn man das europäische Tochterunternehmen eines US-Konzerns ist. Alles andere bleibt im Nebel. Führt man sich jedoch vor Augen, dass es sich um Nebenstrafrecht handelt, wird einem mit Blick auf Art. 103 Abs. 2 GG schwindelig. Zusammenfassend kann gesagt werden, dass der Anwendungsbereich von Art. 7 Abs. 4 DSGVO aus zwingenden verfassungsrechtlichen Gründen auf Null reduziert ist. Das ist in "größtmöglichem Umfang" zu berücksichtigen.
Selbst Max Schrems kann die Cookie-Banner nicht abschaffen
Was folgt daraus für die "super-nervigen rechtswidrigen Cookie-Banner" von Frau Esken? Nicht viel. Website-Betreiber unterliegen keinem wie auch immer gearteten (tatsächlich wie gezeigt inexistenten) "Koppelungsverbot". Sie gehen nämlich bereits keine Verträge mit ihren Nutzern ein und liegen damit außerhalb des Tatbestands der Norm.
Aber auch sonst verfängt die Kritik, wie sie auch von "None of Your Business" geäußert wird, nicht. Die Kampagne zeigt vielmehr ein Dilemma des Datenschutzrechts: Kein Websitebetreiber kann gezwungen werden, seine Website und den darauf enthaltenen, meist urheberrechtlich geschützten Inhalt öffentlich zugänglich zu machen. Daraus folgt, dass auch niemand gezwungen werden kann, dies einschränkungslos zu tun. Der Betreiber kann den Besuch einer Internetseite davon abhängig machen, dass der Begünstigte beim Werkgenuss auf einem Bein steht. Niemand – nicht mal Max Schrems – kann etwas dagegen tun. Und aus diesem Grund kann der Betreiber den Werkgenuss auch davon abhängig machen, dass eine datenschutzrechtliche Einwilligung erteilt wird. Die – auch von "None of Your Business" angeführte – Auffassung, es müsse auch eine Möglichkeit zur Nutzung ohne Erteilung einer Einwilligung eingeräumt werden, zerschellt am Persönlichkeits- und Eigentumsrecht des Leistungserbringers. Sie liefe auf eine gesetzgeberisch sanktionierte Pflicht zur Erbringung von Gratisleistungen hinaus. Dem steht in Deutschland Art. 12 Abs. 3 GG entgegen, der Zwangsarbeit nur bei einer gerichtlich angeordneten Freiheitsentziehung gestattet. Das hat auch der Unionsgesetzgeber erkannt, der folgerichtig die Existenz und die Rechtmäßigkeit des Geschäftsmodells "Bezahlen mit persönlichen Daten" in Art. 3 dID-Richtlinie anerkennt.
Damit können keine Zweifel bestehen, dass eine – unter den übrigen gesetzlichen Einschränkungen, insbesondere der Informiertheit – abgegebene Einwilligungserklärung beim Besuch einer Website nicht etwa deshalb unwirksam ist, weil er andernfalls unmöglich ist. Im Gegenteil: Freiwilliger wird es nicht. Der Nutzer kann vollkommen einschränkungslos entscheiden, ob er die fremden Leistungen in Anspruch nimmt oder nicht. Nicht weniger klar ist, dass es aus den gleichen Gründen entgegen Erwägungsgrund 43 nicht darauf ankommen kann, ob der Umfang der Einwilligung für mehrere Verarbeitungstätigkeiten pauschal verlangt wird. Man muss in einer Demokratie auch nicht "nur ein bisschen" zwangsarbeiten. Wem das nicht behagt, kann vollkommen freiwillig auf die Erteilung einer weiten, mehrere Verabredungsvorgänge umfassenden Einwilligungserklärung verzichten. Und auf den Besuch der Website. Damit sind auch Gestaltungen unangreifbar, bei denen die Einwilligungserklärung nahegelegt wird. Selbstverständlich darf ein Unternehmen für sein Produkt – die Website – werben. Die Tatsache, dass man das Fenster schließen und auf die Abgabe irgendwelcher Erklärungen verzichten kann, muss dabei nicht gesondert erwähnt werden, sondern steht selbst einem Sechsjährigen (und erst recht dem durchschnittlich informierten, situationsadäquat aufmerksamen Durchschnittsbesucher, auf den es ankommt) klar vor Augen.
Etwas anderes mag sich bei einem in seltenen Ausnahmefällen bestehenden Kontrahierungszwang ergeben. Der Besuch einer Internetseite kann einer solchen Fallgruppe allerdings schon deshalb nicht unterfallen, weil – wie bereits erwähnt – bereits kein Vertragsschluss angestrebt wird, der den Betreiber der Website einem Kontrahierungszwang unterwerfen könnte. Damit verbleibt als einzig denkbare Ausnahme des geschilderten Grundsatzes das Verlangen einer Einwilligung durch die öffentliche Hand bei essenziellen Angeboten der Daseinsvorsorge. Das allerdings ist praktisch zu vernachlässigen.
Schäden – kein Nutzen
Die Kampagne von "None of Your Business" wirkt sich damit kontraproduktiv aus: Sie wird die "super-nervigen Cookie-Banner" nicht etwa abschaffen, sondern nur noch nerviger machen. Die ersten, die den uferlosen Informationspflichten der Art. 7, 13 DSGVO entsprochen haben und entsprechen konnten, waren natürlich die US-Internetkonzerne, die die finanziellen und personellen Ressourcen hatten, das zu tun. Und egal, wie viele Kampagnen man fährt, wie viele Beschwerdeverfahren man auch durchführt: Das Beste, was man erhoffen kann, ist noch mehr Text in Cookie-Bannern. Dass damit niemandem – zuallerletzt den super-genervten Betroffenen – geholfen ist, liegt auf der Hand.
Die Schäden der Kampagne wiegen demgegenüber schwer. Sie wirkt wettbewerbsverzerrend, weil sie angesichts von rund 25 Millionen Unternehmen in der Europäischen Union, die teils mehrere Websites betreiben, bei allem Engagement höchstens Nadelstiche setzen kann. Auf Behördenebene würde man von willkürlicher Störerauswahl sprechen. Das Vorgehen kann daher in der Breite keine Verbesserung bringen. Das liegt daran, dass extensive Datennutzung und die Bereitschaft, regulatorische Risiken in Kauf zu nehmen, aus Unternehmenssicht rational ist. Der abstrakten, hohen Bußgeldandrohung stehen bislang keinerlei ernst zu nehmende behördliche Maßnahmen gegenüber – im Gegenteil: Facebook ist immer noch online. Und völlig abgesehen von der Frage einer etwaigen Schadenstiefe (im Sinne der Höhe eines Bußgelds) liegt die Schadenseintrittswahrscheinlichkeit (also: dass ein Bußgeld verhängt wird) trotz der Bemühungen von "None of Your Business" auf einem so lächerlich geringen Niveau, dass selbst die niedrigste Risikotoleranzschwelle unterschritten wird. Das führt dazu, dass Unternehmen sich selbstschädlich verhielten, die nicht die volle Bandbreite der bislang nach wie vor frei auf dem Markt verfügbaren Online-Marketing-Instrumente nutzt. Um es völlig plakativ zu machen: Ein Geschäftsführer, der die Zielgruppe des Unternehmens via Facebook oder LinkedIn mit marginalem Streuverlust ansprechen kann, davon absieht und stattdessen Straßenbahnwerbung schaltet, bei der er darauf hoffen muss, dass die Zielgruppenangehörigen diese manchmal zufällig zu Gesicht bekommen, sollte schon mal bei seiner D&O anrufen.
Der Weg nach vorn
Was folgt daraus? Alles prima, weiter wie bisher? Ganz sicher nicht. Das Anliegen von Max Schrems und seiner Initiative ist vollkommen berechtigt. Es fehlen allerdings zwei Dinge: Differenzierung und richtige Adressatenauswahl. Differenzierung ist deshalb notwendig, weil Werbung nicht schlecht ist, sondern gut. Sie fördert das Allgemeinwohl, und zwar ganz erheblich. Unsere Gesellschaft lebt von ihr, beruht auf ihr. Sie bezahlt Schulen und Kitas, Straßen und Krankenhäuser. Sie bezahlt das Militär, das verhindert, dass die EU eine zweite Ukraine wird. Werbung rockt. Wir sollten alle mehr Werbung machen. Und vor allem: Sie schadet niemandem. Sie kann im Einzelfall ein bisschen belästigend sein, aber darauf hält die Rechtsordnung die passende Antwort – in Deutschland in § 7 UWG – bereit.
Das Problem ist ein anderes. Es ist die Macht, die mit der Kenntnis personenbezogener Daten über die Betroffenen und die Gesellschaft selbst einhergeht, und deren Missbrauch. "Facebook Custom Audience mit erweitertem Abgleich" ist ein extrem effizientes, machtvolles Werbeinstrument. Und es ist verantwortlich für Trump und Brexit. Solcher Missbrauch, wie er durch den Cambridge Analytica-Skandal an den Tag gekommen ist, muss verhindert werden. Er ist demokratiegefährdend. Hier liegt eine wesentliche Daseinsberechtigung des Datenschutzes. Und natürlich gibt es andere Formen von Missbrauch: Man denke an die Aushebelung des Solidaritätsprinzips von Versicherungen, an die SCHUFA, etc. pp. Überall dort kann nur konsequenter Datenschutz die Freiheit Einzelner und damit die Gesellschaft im Ganzen schützen.
Damit ist klar: Website-Betreiber sind die falschen Adressaten. Das Missbrauchspotenzial liegt dort, wo die Daten aggregiert und intransparent genutzt werden, also bei den großen Werbenetzwerken. Ob ein Dachdecker weiß, dass ein Nutzer mit einer IP-Adresse aus dem Raum Kassel 18 Sekunden auf seiner "Über uns"-Seite verbracht hat, begründet kein Risiko. Gar keins. Nicht ein bisschen. Diese Unternehmen sind vielmehr ihrerseits Opfer der Umstände. Sie haben selbst keine Einsicht in Inhalt und Umfang der Datenverarbeitung der Werbenetzwerke, müssen diese allerdings gegen sich gelten lassen und sollen dabei ihrerseits auch noch "transparent" informieren. Das ist unmöglich. Unternehmen in dieser Situation zu sagen, sie sollten eben auf Online-Werbung verzichten, stellt den bekannten, Marie Antoinette zugeschriebenen Spruch von Brot und Kuchen weit in den Schatten. Ein Viertel der Werbeaufwendungen in Deutschland ging im Jahr 2019 in Online-Marketing, Tendenz (zumal in der Pandemie) stark steigend. Wer nicht wirbt, der stirbt.
Damit ist der richtige Weg – nicht nur für Max Schrems, sondern insbesondere auch die Aufsichtsbehörden – vorgezeichnet: Finger weg von Werbetreibenden. Das Problem lässt sich nur lösen, wenn man die missbrauchsanfälligen Großverarbeiter unter Kontrolle bringt. Es kann nicht sein, dass nach drei Jahren Geltung der DSGVO ein Angebot wie "Facebook Custom Audience mit erweitertem Abgleich" in Deutschland völlig unbehelligt auf dem Markt angeboten wird. Die bloße Verfügbarkeit solcher Angebote führt aus den zitierten Gründen zu ihrer Nutzung. Dabei ist es für unterlassungsklagebefugte Verbände ein Leichtes, dem Spuk ein Ende zu bereiten. Dazu muss man gar nicht in den Datenschutz abtauchen: Die Vertragsklauseln gegenüber den Werbekunden (!) sind so intransparent, dass ihre Verwendung wettbewerbswidrig und AGB-rechtlich unzulässig ist. Findet man eine frisch geschlüpfte Wettbewerbszentrale, die von diesen Klauseln bis dato noch nichts gehört hat, besteht Eilbedürftigkeit und man kann das Thema mit einer einstweiligen Verfügung erlegen. Datenschutzrechtlich kann man dann in Ruhe abwarten, bis jemand Irland ein besseres Angebot gemacht und man dort eine funktionierende Datenschutzaufsicht installiert hat. Mit Blick auf den gesellschaftlichen Gesamtnutzen scheint es insoweit sinnvoll, einfach zu schauen, welches Steueraufkommen die dort ansässigen US-Tochterunternehmen zahlen und ein paar Euro draufzulegen. Auf diesem Weg erreicht man binnen kürzester Zeit die Beste aller Welten:
Eine befreit den Wohlstand steigernde Wirtschaft, passgenaue Turnschuhwerbung, die Verhinderung des Missbrauchs massenhaft aggregierter Daten und die Rückholung unfassbar großer, sinnlos in Richtung USA abfließender Wertschöpfungsanteile zum Nutzen des europäischen Gemeinwesens.
Gern geschehen.