I. Erste Stufe: Datenbeschaffung
1. Datenschutzrecht
Im Kontext der Datenschutz-Grundverordnung stellt sich zunächst die Frage, in welchen Konstellationen Preispersonalisierung mit der Verarbeitung personenbezogener Daten i. S. d. Art. 4 Nr. 1 DSGVO einhergeht. Nur dann ist sie anwendbar, Art. 2 I DSGVO. Sofern personenbezogene Daten verarbeitet werden, muss gem. Art. 6 I bzw. 9 II DSGVO eine geeignete Rechtsgrundlage vorliegen. Zudem steht zu untersuchen, welche datenschutzrechtlichen Transparenzpflichten der Anbieter zu befolgen hat und wie weitreichend diese im Fall des Personalised Pricings sind. In Frage kommen Informationspflichten (Art. 13 und 14 DSGVO) sowie das Auskunftsrecht des Art. 15 DSGVO.
a. Personenbezug
aa. Vorüberlegungen
Art. 4 Nr. 1 DSGVO definiert, welche Arten von Informationen personenbezogene Daten darstellen. Ausgangspunkt bei der rechtlichen Bestimmung des Personenbezugs ist die Prüfung, ob es möglich ist, zwischen der dem datenschutzrechtlich Verantwortlichen (hier: dem Anbieter) im Einzelfall vorliegenden Information und der natürlichen Person (hier: dem Kunden) eine Verbindung herzustellen.1 Die Datenschutz-Grundverordnung stellt damit die Frage, ob im konkreten Fall auf die Identität des Betroffenen geschlossen werden kann, in den Mittelpunkt der Prüfung. Zwei Fallkonstellationen erfüllen die Legaldefinition des Art. 4 Nr. 1 DSGVO gleichermaßen: Ein personenbezogenes Datum liegt demnach vor, wenn die Identifizierung des Betroffenen direkt aus der vorliegenden Information möglich ist (vgl. den Wortlaut „identifizierte (…) natürliche Person“).2 Alternativ reicht es aus, wenn es möglich ist, den Kunden über die Hinzuziehung zusätzlicher Informationen bzw. mithilfe anderweitiger Zwischenschritte zu identifizieren („identifizierbare natürliche Person“).3 Dies bedeutet, dass ein personenbezogenes Datum auch dann vorliegen kann, wenn die in Frage stehende Information „für sich genommen die Identifizierung der betreffenden Person [nicht] ermöglicht.“4
Viele der in der Praxis vorkommenden oder zumindest denkbaren Fälle von Datenverarbeitung, welche der Personalisierung von Preisen dienen, stellen ohne Weiteres eine Verarbeitung personenbezogener Daten i. S. d. Art. 4 Nr. 1 und 2 DSGVO dar. Leicht zu bejahen ist der Personenbezug etwa dann, wenn ein Kunde auf der Seite eines Anbieters ein Kundenkonto erstellt hat und der Anbieter diesem (konkret auf den Kunden bezogenen) Profil Informationen über den Kunden hinzufügt, um darauf aufbauend seine allgemeine Preissensitivität oder seinen Reservationspreis im Einzelfall zu bestimmen.5 In einem vergleichbaren Kontext hat diesen Ansatz auch die französische Datenschutzbehörde CNIL in ihrem Verfahren gegen Google gewählt.6 Google wurde vorgeworfen, unter Verstoß gegen Transparenzpflichten und ohne wirksame Rechtsgrundlage massenhaft Informationen über seine Nutzer zu sammeln und diese mit ihrem Google-Acount zu verknüpfen. Der Personenbezug dieser Daten wurde weder von der CNIL noch von Google selber in Frage gestellt. Stattdessen bezog der Streit sich auf die Frage, ob die Voraussetzungen für eine wirksame Einwilligung i. S. d. Art. 6 I S. 1 lit. a DSGVO vorlagen.7 Der Personenbezug wurde damit von beiden Seiten implizit vorausgesetzt. Für den Personenbezug spielt es keine Rolle, ob der Kunde die Informationen selbst hinzugefügt hat (etwa durch manuelle Eingabe von Post- und E-Mail-Adresse, Geburtsdatum und Zahlungsinformationen bei Erstellung des Profils) oder ob der Anbieter die Informationen sammelt, dem Profil hinzufügt und dieses im Laufe der Zeit schrittweise erweitert. Speichert er etwa Informationen über das seitenbezogene Nutzungsverhalten des Kunden, werden auf diese Weise personenbezogene Daten generiert.8 Der Personenbezug ist in diesen Fällen spätestens in dem Moment gegeben, in dem der Anbieter die Verknüpfung zwischen der Information und dem konkreten Profil tätigt: Zumindest von diesem Moment an besteht eine Verbindung zwischen der natürlichen Person (dem Kunden) und der Information (demografische Daten, Kauf- bzw. Surfverhalten auf der Anbieter-Seite, berechnete Prognosen über sein zukünftiges Verhalten bzw. seine Vorlieben und Interessen etc.). Ein personenbezogenes Datum i. S. v. Art. 4 Nr. 1 DSGVO liegt mithin vor und die Datenschutz-Grundverordnung ist anwendbar. Dies gilt auch dann, wenn beispielsweise der im Kundenprofil hinterlegte Wohnort oder das Alter des Kunden (mit) herangezogen werden, um Preise zu personalisieren.
bb. Rechtliche Qualifikation technischer kundenbezogener Daten
Mit Blick auf die nachgewiesenen Fälle von Preispersonalisierung hat sich herauskristallisiert, dass dem Kunden personalisierte Preise oft bereits in dem Moment angezeigt werden, in dem er die Seite des Anbieters ansteuert. Dieses Vorgehen konnte etwa vereinzelt im Falle der Weiterleitung von Preisvergleichsportalen oder, in seltenen Fällen, auch bei Verwendung bestimmter Endgeräte registriert werden. Die Anbieter haben in diesen Fallkonstellationen – welche beide nach hiesigem Verständnis als unmittelbare Preispersonalisierung zu definieren sind – vor allem auf technische Daten abgestellt, welche ihnen vom Endgerät des Kunden übermittelt wurden. Im Falle unmittelbarer Preispersonalisierung ist dies logisch: Der Preis muss möglichst sofort bei Beginn des Besuchs auf der Anbieter-Seite angepasst werden, da es auf den Kunden befremdlich und verwirrend wirkt, wenn während des Webseitenbesuchs der Preis ohne ersichtlichen Grund steigt oder fällt. Mittelbare Preispersonalisierung, vor allem in Form von Gutscheinen oder anderweitig bezeichneten individuellen Rabatten, kann hingegen durchaus zu einem späteren Zeitpunkt erfolgen. Wenn der Anbieter – genauer gesagt: seine Pricing-Software oder die eines eingeschalteten Dienstleisters – etwa bei einem zögernden Kunden oder bei einem solchen, der zuvor auf den Seiten anderer Anbieter gesurft hat, eine erhöhte Preissensitivität vermutet, kann er ihn per Pop-up bzw. über E-Mail oder andere Kommunikationswege mit einem Gutschein zum Kauf bewegen.
Mit dem Blick auf die vorangegangenen Ausführungen zeigt sich, dass technische, vom Endgerät bzw. Browser an den Anbieter übermittelte kundenbezogene Daten eine bedeutende Rolle im Kontext von Personalised Pricing spielen können. Der Begriff technische kundenbezogene Daten wird hier weit verstanden: Er umfasst technische Gerätekennungen jeder Art (beispielsweise Smartphone-IDs und MAC-Adressen), Cookies, IP-Adressen, Referrer Header usw. Dies richtet den Fokus der Untersuchung auf die Frage, ob bzw. unter welchen Umständen diese Daten sich auf eine identifizierbare natürliche Person i. S. d. Art. 4 Nr. 1 Alt. 2 DSGVO beziehen und mithin als personenbezogen einzuordnen sind. Dieser Aspekt ist sowohl auf der ersten als auch auf der dritten Stufe des 3-stufigen Modells relevant: Auf Stufe 1 geht es zunächst um die (rechtliche) Frage, ob überhaupt personenbezogene Daten vorliegen und die Datenschutz-Grundverordnung anwendbar ist. Auf Stufe 3 stellt sich im Kontext der Preiskommunikation – in Fortsetzung dieser Thematik – die (tatsächliche) Frage, ob eine zuverlässige Identifikation des einzelnen Kunden (und mithin die Zuweisung des „richtigen“ Preises) überhaupt möglich ist.
In der Praxis konnten einige Fälle von Preispersonalisierung nachgewiesen werden, welche sich zu diesem Zweck kundenbezogener technischer Daten bedienten. Naturgemäß handelt es sich dabei um Einzelbeispiele, welche aber den Einstieg in die Prüfung erleichtern. Generell gilt, dass die datenschutzrechtliche Bewertung von Preispersonalisierung angesichts der möglichen bzw. erwartbaren zukünftigen technischen Entwicklungen möglichst technologieneutrale Lösungsansätze finden muss.9 In manchen der genannten Fälle wurden diese Daten von den Endgeräten des Kunden an die Anbieter übermittelt. Diese stellten dabei auf Faktoren ganz verschiedener Art und auf verschiedene Methoden der Preissetzung ab: Staples bediente sich der IP-Adresse des Kunden, um den Preis in Abhängigkeit von seinem Aufenthaltsort zu bestimmen. Amazon.com machte die Preise von zuvor gesetzten Cookies abhängig, welche Bestandskunden markieren sollten. Manche Anbieter lasen die sog. Referrer Header aus, um etwa denjenigen Kunden, die von einem Preisvergleichsportal weitergeleitet worden waren, (in der Regel) günstigere Preise anzuzeigen. Teilweise spielte auch das vom Kunden verwendete Endgerät eine Rolle. In der Praxis bisher nicht als Vehikel für Preispersonalisierung nachgewiesen wurde das sog. Device bzw. Browser Fingerprinting.10 Diese Vorgehensweise soll hier dennoch auch Beachtung finden, da auch sie potenziell durchaus dafür in Betracht käme. Die Besonderheit dabei ist, dass der Anbieter beim passiven11 Fingerprinting nicht zwingend Dateien bzw. Software auf dem Rechner des Kunden speichern muss (vor allem werden keine Cookies gesetzt). Zugleich kann aber anhand der übermittelten technischen Informationen eine durchaus hohe Identifizierbarkeit des Endgeräts erreicht werden. Das aktive Fingerprinting basiert auf den gleichen Grundprinzipien. Im Gegensatz zur passiven Variante wird hier allerdings auf dem Endgerät des Kunden Programmcode ausgeführt.12 Diese Tracking-Methode beschränkt sich also nicht auf ein schlichtes „Beobachten“ des Endgeräts des Kunden, sondern erfordert eine aktive Einflussnahme auf dieses.
Allen diesen Datenarten wohnen einige Gemeinsamkeiten, aber auch gewisse Unterschiede inne. Generell gilt, dass es sich bei den kundenbezogenen technischen Daten um solche handelt, welche vom Endgerät des Kunden an den Anbieter gesendet werden oder vom Anbieter ausgelesen werden können. Ihre Übermittlung ist technisch notwendig (etwa im Fall der IP-Adresse, ohne die die anbieterseitige Beantwortung der Anfrage des Kunden, der die Seite aufrufen und auf ihr surfen möchte, nicht möglich wäre) oder zumindest der praktische Regelfall. Der Kunde müsste aktive Maßnahmen tätigen, um den Datenfluss zu stoppen oder um ihn inhaltlich zu beeinflussen, etwa durch Nutzung eines (die wahre IP-Adresse verschleiernden) VPN-Clients. In manchen, nicht aber allen Fällen gestaltet sich die Sachlage so, dass der Anbieter (bzw. ein von ihm genutzter Dienstleister, wie etwa das Werbenetzwerk DoubleClick von Google) selber aktiv tätig wird, um einen Datenfluss vom Kunden an den Anbieter zu etablieren. Typische Fälle dafür sind etwa das Setzen von Cookies beim Kunden und der Einsatz von Zählpixeln oder Software. Hier wird der Anbieter also zu einem bestimmten Zeitpunkt aktiv tätig, um zu einem nachgelagerten Zeitpunkt Informationen über den Kunden zu erhalten.
Bei der datenschutzrechtlichen Qualifikation dieser Daten stellt sich die Frage, ob, und wenn ja, ab welchem Moment und unter welchen Voraussetzungen eine Identifizierbarkeit des Kunden i. S. d. Art. 4 Nr. 1 Alt. 2 DSGVO zu bejahen ist. Den wichtigsten Anhaltspunkt bietet der Wortlaut der Norm: „(…) als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (…) identifiziert werden kann“. Für die Auslegung hinzuzuziehen ist auch Erwägungsgrund 26 DSGVO, wonach bei der Feststellung der Identifizierbarkeit „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
Vor allem die von der Datenschutz-Grundverordnung gemachten Ausführungen zur indirekten Identifizierbarkeit machen deutlich, dass es bei der Bestimmung der Identifizierbarkeit des Einzelnen nicht zwingend auf seine bürgerliche Identität – etwa seinen bürgerlichen Namen – ankommt. Stattdessen wird auf die Individualisierbarkeit des Einzelnen abgestellt.13 Es reicht aus, wenn der Anbieter den einzelnen Kunden von anderen Personen unterscheiden und gezielt adressieren kann.14 Dementsprechend spricht Erwägungsgrund 26 DSGVO in diesem Kontext auch vom „Aussondern“ des Betroffenen. Es muss allerdings grundsätzlich möglich sein, zwischen dem Kunden und der (im Kontext von Preispersonalisierung technischen kundenbezogenen) Information eine Verbindung herzustellen. Wenn dies ausgeschlossen ist, liegt keine Bestimmbarkeit im datenschutzrechtlichen Sinne vor.15 Mit Blick auf die hier interessierenden technischen kundenbezogenen Daten ist demzufolge eine Risikoanalyse notwendig, mithilfe der – unter Beachtung der Verhältnismäßigkeit im Einzelfall – die Wahrscheinlichkeit zu bestimmen ist, mit der der Kunde identifiziert werden wird.16
Ohne Weiteres zu bejahen ist die Identifizierbarkeit in den – durchaus häufig anzutreffenden – Fallkonstellationen, in denen der Anbieter anhand technischer Hilfsmittel positive Kenntnis von der Identität des die Seite besuchenden Kunden hat. Hat dieser beispielsweise bei einem Anbieter ein Kundenkonto angelegt und in dessen Online-Shop etwas bestellt und wird mithilfe eines Cookies zu einem späteren Zeitpunkt wiedererkannt, fungiert das Cookie als Online-Kennung i. S. d. Art. 4 Nr. 1 DSGVO.17 Über den im Cookie enthaltenen Datensatz kann der Kunde vom Anbieter nämlich eindeutig identifiziert werden.18 Macht der Anbieter sich das daraus ableitbare Wissen zwecks Preispersonalisierung zu Nutze – wie es etwa im ähnlich gelagerten Amazon.com-Fall geschehen war – ist der Anwendungsbereich des Datenschutzrechts eröffnet. Praxisrelevant ist auch die vergleichbare Konstellation, dass ein Anbieter mehrere Dienste in verschiedenen Geschäftsfeldern anbietet und dadurch mittelbar die Identifizierung des Kunden erleichtert wird.19 Google bietet etwa neben seinem E-Mail-Dienst Gmail auch Preisvergleichsportale für Verbrauchsgüter, Flugreisen etc. an. Ist ein Kunde etwa bei Gmail registriert und eingeloggt, während er bei Google Flights eine Flugreise sucht, ist die Verbindung der Suchanfrage mit der Identität des Nutzers gegeben und dieser aus Sicht des Anbieters zweifelsfrei identifizierbar i. S. d. Art. 4 Nr. 1 DSGVO. Gleiches gilt ggf. für weitere Suchanfragen über die reguläre Google-Suchmaschine, welche ebenso mit dem Profil des Kunden verbunden werden können.
Der Personenbezug kann auch dann gegeben sein, wenn kundenbezogene technische Daten es dem Anbieter erlauben, Kunden mit einem hohen Grad an Genauigkeit wiederzuerkennen oder beim Surfen zu verfolgen. Der Unterschied zum zuvor beschriebenen Szenario liegt darin, dass der Anbieter (zunächst) keine positive Kenntnis von der Identität des Kunden hat, ihn aber dennoch von anderen unterscheiden bzw. ihn wiedererkennen kann. Browser bzw. Device Fingerprinting-Technologien sind hierfür ein gutes Beispiel. Auch Cookies, welche als eindeutige Kennung fungieren und zum Tracking von Kunden verwendet werden, ohne dass die Identität des konkreten Kunden dem Anbieter bereits (etwa aufgrund eines bestehenden Kundenkontos) zwingend bekannt ist, können dementsprechend personenbezogene Daten darstellen. Für die Bejahung des Personenbezugs kommt es in diesen Konstellationen darauf an, dass „nach allgemeinem Ermessen wahrscheinlich [vom Anbieter oder einem Dritten Mittel] genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“.20 Die tatsächliche Möglichkeit der Identifizierung des Betroffenen ist damit eine zwingende Voraussetzung, um von einem personenbezogenen Datum sprechen zu können. Die bloße Möglichkeit der Individualisierung bzw. Aussonderung des Einzelnen reicht für sich genommen nicht aus.21 Dies gilt auch dann, wenn das mittels Fingerprinting generierte technische Profil des Endgeräts des Kunden eine sichere Reidentifikation erlaubt: Auch in diesen Fällen muss zumindest die Möglichkeit bestehen, dass der „wiedererkannte“ bzw. „ausgesonderte“ Kunde identifiziert wird.22 Dementsprechend hat der Düsseldorfer Kreis23 bereits 2014 die Meinung vertreten, dass dauerhaft mit dem auf Kundenseite verwendeten Endgerät assoziierte Geräte- und Kartenkennungen als personenbezogene Daten zu betrachten sind, da in der Regel die Zuordnung zu einer natürlichen Person möglich ist.24 Diese Aussage bezog sich auf verschiedene technische Daten, welche typischerweise vom Anbieter erfasst werden können.25
Bei allen diesen Identifikationsmerkmalen kommt es also letztlich darauf an, ob dem Anbieter zugängliche Informationen vorliegen, mit deren Hilfe er auf die Identität des Kunden schließen kann und dies nach objektiven Maßstäben – unter Berücksichtigung etwa der dafür aufzubringenden Kosten und des Zeitaufwandes26 – mit einer gewissen Wahrscheinlichkeit auch tun wird.27 Erwägungsgrund 26 DSGVO macht deutlich, dass das zur Identifizierung notwendige Zusatzwissen nicht zwingend beim Anbieter selber vorliegen muss. Es genügt grundsätzlich, wenn die Identifizierung nur über den Rückgriff auf Informationen möglich ist, welche bei einem Dritten vorliegen (vgl. den Wortlaut „Mittel (…), die von dem Verantwortlichen oder einer anderen Person (…) wahrscheinlich genutzt werden“). Gerade bei technischen Daten ist diese Situation durchaus häufig gegeben. Im Folgenden wird das sog. Breyer-Urteil des EuGH analysiert, welches sich u. a. mit der Rolle von Dritten im Kontext der datenschutzrechtlichen Identifizierbarkeit beschäftigt hat.
cc. Breyer-Urteil: Identifizierbarkeit durch Dritte
Der EuGH hat sich in der Rechtssache Breyer zu der Frage geäußert, unter welchen Umständen eine dynamische IP-Adresse in Verbindung mit einem Zeitstempel, der angibt, wann mit dieser Adresse eine bestimmte Webseite aufgerufen wurde, für den Diensteanbieter (also den Betreiber der Webseite) ein personenbezogenes Datum darstellt.28 Die beklagten Diensteanbieter waren vorliegend (nicht näher bezeichnete) Einrichtungen des Bundes, welche stets die IP-Adressen ihrer Webseitenbesucher sowie bestimmte Informationen über den jeweiligen Seitenbesuch in Protokolldateien gespeichert hatten. Grund für die Speicherung waren die Abwehr und die Verfolgung von Cyberattacken. Eine im Rahmen dieser Entscheidung zu beantwortende Frage war, ob die Identifizierbarkeit eines Webseitenbesuchers zu bejahen ist, wenn dem Betreiber der Webseite nur die (dynamische) IP-Adresse und der Zeitpunkt des Seitenaufrufs bekannt sind.29 Aus diesen Informationen alleine kann nämlich nicht auf die Identität des Seitenbesuchers geschlossen werden. Die Verbindung zwischen IP-Adresse und Seitenbesucher kann bloß der Internetzugangsanbieter (sog. Access Provider, etwa die Telekom) herstellen, welcher dem Seitenbesucher den Internetzugang technisch ermöglicht und ihm die IP-Adresse regelmäßig neu zuweist.30
Aus dem Urteil lassen sich gewisse Anhaltspunkte für die Frage ableiten, welche Rolle Dritte im Rahmen der datenschutzrechtlichen Identifizierbarkeit mittels kundenbezogener technischer Daten spielen. Der Entscheidung lag die (zutreffende) Prämisse zugrunde, dass der Webseitenbetreiber vom Internetzugangsanbieter nicht ohne Weiteres die Offenlegung der Identität des Besuchers verlangen kann. Dies ist rechtlich nur zulässig über den Umweg der Hinzuziehung von Behörden, welche etwa im Rahmen strafrechtlicher Ermittlungen den Internetzugangsanbieter zur Herausgabe u. a. des Namens verpflichten können.31 Im Normalfall weiß der Webseitenbetreiber damit nicht, wer hinter der IP-Adresse steht, von der seine Seite aufgerufen wird, und kann dies – solange der Besucher nicht weitere Informationen mitteilt – nur in Ausnahmefällen herausfinden.
Der Internetzugangsanbieter ist damit der Dritte, von dem aus datenschutzrechtlicher Sicht die Frage der Identifizierbarkeit abhängt. Angelpunkt der Entscheidung war damit, „ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann.“32 Der EuGH führt aus, dass dies nicht der Fall ist, wenn die Identifizierung des Webseitenbesuchers gesetzlich verboten oder praktisch undurchführbar ist, etwa aufgrund eines unverhältnismäßig hohen Aufwandes an Zeit, Kosten und Arbeitskraft, welcher dazu führe, dass das Risiko der Identifizierung vernachlässigt werden könne.33 In der beschriebenen Fallkonstellation läge somit – vorbehaltlich einer Prüfung der national gegebenen rechtlichen Möglichkeiten durch das vorlegende Gericht – aufgrund der mit rechtlichen Mitteln ggf. erzwingbaren Identifizierungsmöglichkeit ein personenbezogenes Datum vor.34 Aus dem Urteil ergibt sich, dass diese rechtliche Möglichkeit der Informationsbeschaffung beim Diensteanbieter liegen muss: Nur wenn sie für ihn besteht, handelt es sich auch für ihn (und nicht etwa nur für den Internetzugangsanbieter oder die Behörde) um ein personenbezogenes Datum.35
Der vom EuGH entschiedene Sachverhalt betraf eine spezielle, eng gefasste Fallkonstellation. Das Breyer-Urteil kann deshalb nicht ohne Weiteres wie eine Blaupause auf alle hier interessierenden kundenbezogenen technischen Daten übertragen werden. Dennoch lassen sich daraus Erkenntnisse für ihre rechtliche Bewertung ableiten. Dies lässt sich am Beispiel Staples verdeutlichen.36 Das Vorgehen von Staples (Nutzung der in den IP-Adressen enthaltenen ortsbezogenen Informationen zwecks Preispersonalisierung) ist vergleichbar mit dem vom EuGH entschiedenen Sachverhalt: Da die sich aus dem Aufenthaltsort des Kunden ableitende Preisanpassung zwingend bis zum Ende des (etwaigen) Bestellvorgangs bestehen bleiben muss, ist eine (zumindest vorübergehende) Speicherung der IP-Adresse durchaus denkbar. Ein Personenbezug der verarbeiteten Daten wäre demnach zu bejahen: Staples kennt zwar im Moment des Seitenaufrufs nicht die Identität des Kunden, sondern nur dessen ungefähren Aufenthaltsort.37 Ebenso wie im Falle der Einrichtungen des Bundes besteht für Staples als Diensteanbieter allerdings die grundsätzliche Möglichkeit, diese im Falle von Cyberattacken auf rechtmäßigem Wege herauszufinden. Der EuGH hat die grundsätzliche Möglichkeit des Zugriffs auf die Informationen des Dritten (über den Umweg der Strafverfolgungsbehörde, die als „Vierter“ bezeichnet werden kann) ausreichen lassen.38 Im Fall Staples kommt noch hinzu, dass es diesem Anbieter sogar tatsächlich darauf ankommt, Kenntnis von der Identität des Seitenbesuchers zu erlangen. Schließlich handelt es sich um einen potenziellen Kunden, der im Idealfall etwas kauft und in diesem Rahmen seinen Namen, seine Adresse etc. offenlegt. Die Zweckbestimmung im Rahmen der Datenerhebung – Preispersonalisierung – ist also ein weiteres Argument dafür, die erhobenen Daten als personenbezogen zu qualifizieren. Dies alles spricht dafür, im Fall Staples (so wie in Breyer) den Personenbezug zu bejahen.
dd. Weiterführende Überlegungen
Einige aus dem Breyer-Urteil abgeleitete Überlegungen helfen trotz der eng gefassten Fallkonstellation bei der Analyse seiner Implikationen für die datenschutzrechtliche Bewertung online personalisierter Preise. Auf andere technische kundenbezogene Daten, wie etwa auf ID-Nummern von Smartphones, Cookie-IDs oder MAC-Adressen, lässt es sich nicht pauschal übertragen, da dem Anbieter mit Blick auf diese Datenarten keine der Situation bei IP-Adressen vergleichbare rechtliche Möglichkeit der Informationsbeschaffung zur Verfügung steht.39 Dies ist aber auch nicht per se notwendig, um den Personenbezug zu bejahen. Der EuGH stellt in seinen Ausführungen nur darauf ab, ob „die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre“.40 Es kommt damit auf die faktische Möglichkeit der Identifizierung an, unabhängig davon, ob diese mit rechtlichen Mitteln erzwungen werden kann oder auf anderem Wege zustande kommt.
Die wichtigste Erkenntnis im Kontext von Preispersonalisierung ergibt sich aus einem anderen Blickwinkel, nämlich mit dem Blick auf die aus dem Breyer-Urteil ablesbaren Aussagen zur Relation zwischen der faktischen Identifizierungsmöglichkeit und der dafür maßgebenden zeitlichen Komponente. Der EuGH macht deutlich, dass ein personenbezogenes Datum bereits vorliegen kann, bevor die Identifikation (mittels Rückgriff auf das Wissen Dritter) tatsächlich stattgefunden hat. Dies ergibt sich vor allem aus der folgenden, auf den Konjunktiv zurückgreifenden Aussage: „Der Anbieter (…) verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter (…) die betreffende Person (…) bestimmen zu lassen.“41 Die damit zum Ausdruck gebrachte weite Auslegung des Begriffs der Personenbeziehbarkeit spielt auch im Kontext von Preispersonalisierung eine Rolle.42 Sie verlagert den für die rechtliche Einordnung des Datums maßgeblichen Zeitpunkt recht weit nach vorne. Zugleich verlagert sie damit dogmatisch den Schwerpunkt der Prüfung auf die Frage, ob die Identifizierung des Kunden „nach allgemeinem Ermessen wahrscheinlich“ ist i. S. v. Erwägungsgrund 26 DSGVO. Auch bei der Bestimmung dieser Wahrscheinlichkeit ist der EuGH eher großzügig: Laut Urteil gelten alle vom Bund gespeicherten IP-Adressen als personenbezogene Daten, obwohl das ihren Personenbezug begründende hypothetische Szenario (Abwehr und Strafverfolgung etwaiger Cyberattacken) nur bei einem Bruchteil der Seitenbesucher tatsächlich Realität werden dürfte. Die Wahrscheinlichkeit, dass der Besucher eines Online-Shops bei diesem auch tatsächlich einen Einkauf tätigt, dürfte „nach allgemeinem Ermessen“ bedeutend höher sein, sodass ein Personenbezug in diesen Fällen erst recht anzunehmen ist.
Angesichts dieses weit gefassten zeitlichen Maßstabs wird im Kontext von Preispersonalisierung ein Personenbezug bei Erhebung und Verarbeitung kundenbezogener technischer Daten in aller Regel zu bejahen sein, unabhängig davon, ob diesen isoliert betrachtet eine bedeutsame Aussagekraft innewohnt. Dies liegt daran, dass der Anbieter ab dem Moment, in dem ein Kunde seinen Online-Shop aufruft, ein subjektives Interesse43 und die bei objektiver Betrachtungsweise realistische Aussicht hat, zumindest zu einem späteren Zeitpunkt die Identität des Kunden zu erfahren. Gemeint ist der Zeitpunkt des Kaufvorgangs: Spätestens beim Kauf des Produktes bzw. der Dienstleistung muss der Kunde seine (bürgerliche) Identität offenlegen.44
Die Identifizierung des Kunden ist damit – wenngleich es dem Anbieter nicht primär um sie, sondern um den Abschluss des Kaufvertrags bzw. Dienstleistungsvertrags geht – Ziel oder zumindest Reflexwirkung der Datenerhebung. Die Fallkonstellationen, in denen technische kundenbezogene Daten mit der Absicht erfasst werden, sie (zumindest möglicherweise) zu Zwecken des Personalised Pricings zu nutzen, eröffnen deshalb den Anwendungsbereich des Datenschutzrechts.45 Es kommt nicht darauf an, ob sich die Identifizierung des Kunden tatsächlich realisiert. Vielmehr genügt es, dass die Möglichkeit besteht, die Verknüpfung zwischen technischer Information und Identität herzustellen.46 Die sich möglicherweise in einem Schaden für Persönlichkeitsrechte niederschlagende Gefahr genügt, um das Schutzsystem der Datenschutz-Grundverordnung auszulösen. Damit liegt auch eine Verarbeitung personenbezogener Daten vor, wenn ein Kunde die Seite des Anbieters aufruft und, ohne einen Kauf zu tätigen, wieder verlässt. Voraussetzung dafür ist, dass der Anbieter die Personalisierung der Preise zumindest als Option vorgesehen und zu diesem Zweck die technischen Daten erhoben hat. Auf die im Einzelfall zum Einsatz kommenden Techniken und die Art der erhobenen Daten kann es dabei nicht ankommen. Um Umgehungen des von der Datenschutz-Grundverordnung installierten Schutzsystems zu verhindern, ist diese technologieneutral ausgestaltet.47 Deshalb ist sie auch in diesem Sinne auszulegen. Es spielt also keine Rolle, ob der Anbieter Fingerprinting-Technologien bzw. Cookies einsetzt, um den Kunden zu tracken, oder ob er nur den Referrer Header ausliest, um darin enthaltene Informationen zur Personalisierung von Preisen einzusetzen.
ee. Abgrenzung von der rechtlichen Bewertung personalisierter Werbung
Preispersonalisierung und personalisierte Werbung basieren auf vergleichbaren technischen Methoden. Mit Blick auf die Identifizierbarkeit einzelner Kunden i. S. d. Art. 4 Nr. 1 DSGVO besteht allerdings ein wesentlicher tatsächlicher Unterschied, der bei der rechtlichen Bewertung zu berücksichtigen ist: Bei Preispersonalisierung ist es für den Anbieter essenziell, den Kunden ab dem ersten Kontakt (etwa dem Webseitenaufruf) bis zum Kaufabschluss möglichst durchgängig aussondern zu können. Nur auf diese Weise ist sichergestellt, dass ihm der „richtige“ Preis zugewiesen wird. Spätestens im Zeitpunkt des Kaufabschlusses legt der Kunde seine bürgerliche Identität offen. Im Gegensatz dazu spielt bei personalisierter Werbung die Identität des Empfängers der Werbung für den Werbenden oftmals eine untergeordnete Rolle: Ihm geht es primär darum, dass dem Nutzer geeignete Werbung eingeblendet wird, welche das Interesse an einem bestimmten Produkt weckt oder verstärkt. Das durchgängige Aussondern des Kunden bis zum Kaufabschluss ist nicht zwingend notwendig, denn der Werbende hat sein Ziel etwa auch dann erreicht, wenn der Nutzer das Produkt im stationären Handel oder zu einem späteren Zeitpunkt kauft. Von der bürgerlichen Identität des Beworbenen muss der Werbende nicht unbedingt Kenntnis nehmen. Bei den im Rahmen von Online-Werbung verarbeiteten Informationen handelt es sich häufig um pseudonyme und mithin personenbezogene Daten, teilweise aber auch um anonym verarbeitete.48 Mit Blick auf das einleitend Gesagte kommt es bei der Abgrenzung, ob im Falle personalisierter Werbung ein Personenbezug vorliegt, mithin auch darauf an, wie hoch die Wahrscheinlichkeit der Identifizierung des Einzelnen (i. S. d. Erwägungsgrundes 26 DSGVO) konkret ist und welches subjektive Interesse der Werbende an der Identifizierung hat. Die hier im Kontext des Personalised Pricings vertretene, eher weite Auslegung des Begriffs „personenbezogenes Datum“ lässt sich also nicht pauschal auf personalisierte Werbung übertragen.
ff. Zwischenergebnis
Online-Preispersonalisierung eröffnet den Anwendungsbereich der Datenschutz-Grundverordnung gem. Art. 2 I, 4 Nr. 1 DSGVO. Das Datenschutzrecht beinhaltet damit auch eine indirekte Regulierung von Preispersonalisierung. In vielen Fällen ist die für die Bejahung der Anwendbarkeit relevante Frage, ob den verarbeiteten Daten ein Personenbezug innewohnt, gänzlich unproblematisch zu bejahen. Bei der Auswertung von bereits bestehenden Kundenprofilen handelt es sich bei den darin gespeicherten Informationen beispielsweise ohne Weiteres um personenbezogene Daten, da sie mit der dem Anbieter bekannten Identität des Kunden verknüpft werden. Schwieriger wird die rechtliche Bewertung dann, wenn Anbieter mit Informationen zu tun haben (und diese zur Personalisierung von Preisen nutzen), welche aus sich heraus keinen offensichtlichen Personenbezug erkennen lassen und deren Übertragung oftmals aus technischen Gründen geboten ist. Der aus rechtlicher Sicht maßgebende Angelpunkt ist in diesen Fällen die Frage, ob diese Informationen sich auf eine identifizierbare natürliche Person i. S. d. Art. 4 Nr. 1 Alt. 2 DSGVO beziehen oder nicht. Die faktische Identifizierungswahrscheinlichkeit, zu bestimmen nach den Maßgaben des Erwägungsgrundes 26 DSGVO, rückt damit in den Mittelpunkt der datenschutzrechtlichen Prüfung. Aus dem Breyer-Urteil des EuGH lässt sich ableiten, dass die Bejahung der Identifizierbarkeit (und mithin die Annahme von Personenbezug) zu einem durchaus frühen Zeitpunkt möglich ist. Zudem lässt das Urteil sich so verstehen, dass ein personenbezogenes Datum schon dann vorliegen kann, wenn die tatsächliche Identifizierung des Betroffenen von Umständen abhängt, die außerhalb der Einflussmöglichkeiten des Anbieters liegen. Übertragen auf Preispersonalisierung und die in der Praxis zum Einsatz kommenden technischen kundenbezogenen Daten lässt dies den Schluss zu, dass diese Daten bereits im Zeitpunkt der ersten Verarbeitung personenbezogen sind: Der Anbieter erhebt sie mit dem (zumindest mittelbar verfolgten) Ziel, den Kunden später, nämlich im Moment des Kaufabschlusses, zu identifizieren. Die konkrete technische Natur dieser Daten ist irrelevant, sofern ihre Erhebung zumindest auch der Preispersonalisierung und nicht nur technischen Erfordernissen dient. Nur diese technologieneutrale, bereits zu einem frühen Zeitpunkt ansetzende Betrachtungsweise kann den von der Datenschutz-Grundverordnung bezweckten umfassenden Grundrechtsschutz effektiv absichern. Preispersonalisierung unterscheidet sich damit in einem wesentlichen Punkt von anderen Formen von Personalisierung, bei denen die Identität des Internet-Nutzers für denjenigen, der die Personalisierung veranlasst, oftmals nur von zweitrangiger Bedeutung ist. Dies gilt im besonderen Maße für Online-Werbung, deren rechtliche Bewertung mithin unter anderen Vorzeichen stattfinden muss.
b. Rechtsgrundlage für die Datenverarbeitung
Anbieter, die Preise personalisieren möchten, dürfen personenbezogene Daten zu diesem Zweck nur verarbeiten, wenn sie sich dafür auf eine Rechtsgrundlage berufen können, Art. 6 I S. 1 DSGVO. Bei Online-Preispersonalisierung im privatrechtlichen Kontext kommen dafür Art. 6 I S. 1 lit. a DSGVO (Einwilligung des Kunden), Art. 6 I S. 1 lit. b DSGVO (vertragliche Notwendigkeit) und Art. 6 I S. 1 lit. f DSGVO (allgemeine Interessenabwägungsklausel) in Betracht. Bei sensiblen personenbezogenen Daten i. S. d. Art. 9 I DSGVO ist zudem Art. 9 II lit. a DSGVO (ausdrückliche Einwilligung des Kunden) als Rechtsgrundlage denkbar.
Unabhängig von der im Einzelfall herangezogenen Rechtsgrundlage gilt, dass Anbieter als datenschutzrechtlich Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO den Zweck der Datenverarbeitung bestimmen müssen (Zweckbindungsgrundsatz, Art. 5 I lit. b DSGVO). Die Zweckbestimmung muss spätestens im Moment der ersten Datenerhebung erfolgt sein (vgl. den Wortlaut: „festgelegte (…) Zwecke“)49 und dem Kunden gem. Art. 13 I lit. c bzw. 14 I lit. c DSGVO mitgeteilt werden. Der beabsichtigte Zweck „Preispersonalisierung“ muss demnach eindeutig und mit hinreichender, für den Kunden erkennbarer Bestimmtheit als alleiniger Zweck oder als einer von mehreren Zwecken genannt werden.50 Eine allgemein gehaltene Aussage, wie etwa, dass die Daten zwecks Personalisierung der Dienstleistung oder der Webseitennutzung verarbeitet werden, genügt nicht.51 Die Absichten des Anbieters müssen für den Kunden also eindeutig erkennbar sein.
aa. Einwilligung
aaa. Überblick
Die Erteilung einer wirksamen Einwilligung in die Datenverarbeitung i. S. d. Art. 6 I S. 1 lit. a DSGVO begegnet a priori keinen grundsätzlichen Bedenken. Ihre Wirksamkeit bemisst sich (neben den Vorgaben des Art. 6 I S. 1 lit. a DSGVO, welcher die eigentliche Rechtsgrundlage für den Anbieter darstellt) vor allem nach den Vorgaben der Legaldefinition des Art. 4 Nr. 11 DSGVO und den in Art. 7 DSVO formulierten Bedingungen. Eine Einwilligung ist „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Art. 4 Nr. 11 DSGVO). Nur wenn alle diese Voraussetzungen erfüllt sind, liegt eine wirksame Einwilligung und damit eine Rechtsgrundlage für die Datenverarbeitung vor.
Es bietet sich an, in diesem Kontext gedanklich zwei Ebenen zu unterscheiden: Die Erteilung der Einwilligung einerseits und ihre konkrete Ausgestaltung (und damit Reichweite ihrer Legitimationswirkung) andererseits. Zunächst stellt sich also die Frage, in welchen Fällen vom Kunden überhaupt eine rechtlich relevante Erklärung abgegeben wurde, die datenschutzrechtlich als Einwilligung qualifiziert werden kann. Zudem ist zu klären, wie die Einwilligungserklärung qualitativ ausgestaltet sein muss, um eine taugliche Rechtsgrundlage für Preispersonalisierung darzustellen. Beide Ebenen hängen miteinander zusammen: So ist eine Einwilligung beispielsweise nur wirksam, wenn sie „für den bestimmten Fall“ (Art. 4 Nr. 11 DSGVO) erteilt wurde und damit dem Bestimmtheitsgrundsatz52 genügt. Die Ausgestaltung der Einwilligungserklärung muss also zwangsläufig gewisse Anforderungen erfüllen, damit sie überhaupt rechtliche Wirkungen entfaltet und die Legitimationswirkung des Art. 6 I S. 1 lit. a DSGVO auszulösen vermag.
bbb. Erteilung
Grundvoraussetzung der Einwilligung ist eine Erklärung oder eine sonstige eindeutige bestätigende Handlung, dass der Kunde mit der Datenverarbeitung einverstanden ist, Art. 4 Nr. 11 DSGVO. Im Online-Kontext werden daran hohe Anforderungen gestellt: „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit“ des Kunden sind gem. Erwägungsgrund 32 DSGVO nicht ausreichend. Der Kunde muss zur Einwilligung in die Nutzung seiner Daten zum Zwecke von Preispersonalisierung aufgefordert werden und diese „unmissverständlich“ erklären. Sie kann vom Kunden jederzeit nach Belieben widerrufen werden. Dies ist ihm vor ihrer Abgabe mitzuteilen, Art. 7 III S. 1 und 3 DSGVO. Die bis zum Zeitpunkt des Widerrufs durchgeführte Datenverarbeitung bleibt aber rechtmäßig (Art. 7 III S. 2 DSGVO). Möchte der Anbieter sensible Daten i. S. d. Art. 9 I DSGVO verarbeiten (oder führt die Verarbeitung „normaler“ personenbezogener Daten zur Schaffung sensibler Daten), ist gem. Art. 9 II lit. a DSGVO eine ausdrückliche Einwilligung des Kunden notwendig.53
Aus diesen Rahmenbedingungen lassen sich im Kontext von Preispersonalisierung einige relevante Erkenntnisse ableiten. Eine Opt-out-Lösung, bei der eine Einwilligung fingiert und Preise grundsätzlich immer personalisiert werden, solange der Kunde nicht widerspricht, genügt nicht den rechtlichen Anforderungen, die Art. 4 Nr. 11 DSGVO an eine eindeutige bestätigende Handlung stellt. Gleiches gilt für alle anderen Kommunikationsformen, in denen dem Kunden die Erteilung einer Einwilligung unterstellt wird, welche er de facto nicht erteilt hat – etwa, wenn ein Anbieter die bloße tatsächliche Nutzung seiner Webseite (nach entsprechendem Hinweis) einer Einwilligung gleichsetzen möchte.54 In solchen Fällen liegt auf Kundenseite kein Bewusstsein vor, eine rechtlich relevante Erklärung abzugeben. Das bereits öfter in Bezug genommene Vorgehen von Staples (unmittelbare Preispersonalisierung bei jedem Kunden anhand des aus der IP-Adresse ablesbaren Aufenthaltsorts) wäre deshalb unzulässig, sofern der Anbieter die Datenverarbeitung auf eine Einwilligung stützen möchte.55 Eine Anpassung der Preise wäre erst nach ihrer Erteilung möglich – nicht aber als „Standardeinstellung“ bei jedem Kunden, der die Seite des Anbieters besucht und von der Personalisierung gar keine Kenntnis hat.56 Möchte Staples – die Anwendbarkeit europäischen Rechts unterstellt – die Personalisierung auf Art. 6 I S. 1 lit. a DSGVO stützen, dürfte die diesbezügliche Auswertung der IP-Adresse erst nach Erteilung der Einwilligung stattfinden und könnte sich erst dann in personalisierten Preisen (in unmittelbarer Form oder in Form von Gutscheinen, personalisierten Coupons etc.) niederschlagen.
Die auf die Einwilligung bezogene Kommunikation mit dem Kunden kann auf verschiedene Weisen erfolgen. Es wäre möglich, die Einwilligung mithilfe eines Pop-up-Fensters, eines beim Aufrufen der Seite erscheinenden Banners bzw. einer anderweitigen Einblendung zu ersuchen, solange sichergestellt ist, dass nur eine aktive, bestätigende Handlung des Kunden als Einwilligung gewertet wird. Um ein unüberlegtes „Wegklicken“ zu verhindern, mit dem der Kunde eine Einwilligung nur deshalb erteilt, um die Anbieter-Seite möglichst schnell weiter benutzen zu können, weist Erwägungsgrund 32 DSGVO darauf hin, dass unnötige Unterbrechungen zu vermeiden sind. Das (aktive) Ankreuzen eines Kästchens auf der Seite des Anbieters (entweder unmittelbar in die Seite integriert oder in einem Pop-up-Fenster) kann eine Einwilligungserklärung darstellen.57 Denkbar wäre etwa die Nutzung eines Zwei-Ebenen-Systems, welches so ausgestaltet ist, dass in der Einblendung eine pointierte Zusammenfassung des Verarbeitungszwecks (verbunden mit einer Einwilligungsmöglichkeit) zu erkennen ist und zugleich über einen Link weiterführende, ausführlichere Informationen abgerufen werden können.58 Auf diese Weise kann der Anbieter von allen Kunden, die seine Seite besuchen, eine Einwilligung einholen. Dies gilt unabhängig davon, ob er im Moment des Seitenaufrufs ihre Identität (er)kennt, wie etwa bei Bestandskunden, die über ein Cookie wiedererkannt werden, oder ob es sich um einen gänzlich unbekannten Kunden handelt. Grundsätzlich ist es auch möglich, Einwilligungen für bestimmte Sachverhalte im Vorhinein pauschal mithilfe der eigenen Browser-Einstellungen zu erklären (vgl. den Wortlaut von Erwägungsgrund 32 DSGVO: „Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft“). Auch eine solche Erklärung darf nicht als Standardeinstellung voreingestellt sein, sondern muss vom Kunden aktiv vorgenommen, z. B. angekreuzt werden. Aufgrund der in diesen Fällen hohen Pauschalität der Einwilligungserklärungen und der nicht unerheblichen Auswirkungen auf die Kunden sind in diesem Kontext erhöhte Anforderungen an Transparenz und Kundenaufklärung zu stellen.
Unter bestimmten Voraussetzungen ist es möglich, dass ein Kunde ein Einwilligungsersuchen wirksam annimmt, welches in allgemeinen Geschäftsbedingungen oder in anderen vorformulierten Texten enthalten ist. In diesen Fällen kommt Art. 7 II S. 1 DSGVO zur Anwendung. Dieser postuliert gewisse Anforderungen hinsichtlich Form, Sprache und Darstellung bei bestimmten schriftlichen59 Erklärungen, die neben der datenschutzrechtlichen Einwilligungserklärung noch andere Sachverhalte betreffen.60 Das Einwilligungsersuchen muss demnach „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“ Die Norm postuliert also ein Gebot der gestalterischen und inhaltlichen Transparenz und bezweckt, dass das Einwilligungsersuchen deutlich hervorgehoben präsentiert wird.61 Sie ist damit lex specialis zu den in Art. 4 Nr. 11 DSGVO enthaltenen Anforderungen, dass die Einwilligung „in informierter Weise“ und „unmissverständlich“ abgegeben werden muss.62 Die Ausgestaltung des Einwilligungsersuchens muss mithin so vorgenommen werden, dass der Kunde weiß, dass er eine datenschutzrechtlich relevante Einwilligung erteilt hat und welchen Umfang diese (auch in zeitlicher Hinsicht) aufweist.63 Sie darf nicht in den AGBs untergehen. Der beabsichtigte Zweck „Preispersonalisierung“ muss klar aus der Erklärung hervorgehen.
Der in Erwägungsgrund 42 DSGVO enthaltene Verweis auf die AGB-Richtlinie64 macht deutlich, dass die Datenschutz-Grundverordnung einer AGB-rechtlichen Angemessenheitskontrolle grundsätzlich nicht entgegensteht, auch wenn sie selber eine solche in ihrem verfügenden Teil nicht vorsieht. Diese Angemessenheitskontrolle bezieht sich ausschließlich auf Art und Ausmaß der von der Einwilligung behandelten Datenverarbeitung. Es geht also nicht um die Überprüfung, ob die (ohnehin nicht dispositiven) Wirksamkeitsvoraussetzungen eingehalten werden, die die Datenschutz-Grundverordnung aufstellt.65
Ein Einwilligungsersuchen, welches die Verarbeitung von Daten zum Zwecke des Personalised Pricings zum Gegenstand hat, unterfällt wegen § 307 III S. 1 BGB von vornherein nicht der Angemessenheitskontrolle des § 307 I S. 1 BGB: Die Preishöhe ist grundsätzlich nicht von der AGB-Kontrolle erfasst.66 Allenfalls eine Transparenzkontrolle gem. § 307 III S. 2 i. V. m. I S. 2 BGB bleibt denkbar.67 Auf die datenschutzrechtliche Wirksamkeit der Einwilligungserklärung hat die AGB-rechtliche Transparenzkontrolle allerdings keine Auswirkungen.
Mit Blick auf die Transparenz besteht angesichts der datenschutzrechtlichen Wirksamkeitsvoraussetzungen (Art. 4 Nr. 11, 6 und 7 DSGVO) ohnehin ein hohes Schutzniveau. Diese Regelungen sind nicht dispositiv68 und kommen zudem (im Gegensatz zu § 307 III S. 2 i. V. m. I S. 2 BGB) unabhängig davon zur Anwendung, ob der Kunde unangemessen benachteiligt wird i. S. d. § 307 I S. 1 BGB.
ccc. Ausgestaltung
Der Kunde muss seine Einwilligung „für einen oder mehrere bestimmte Zwecke“ erteilen, Art. 6 I S. 1 lit. a DSGVO.69 Dieser Bestimmtheitsgrundsatz ergibt sich auch aus Art. 4 Nr. 11 DSGVO („für den bestimmten Fall“) und aus dem allgemeinen Zweckbindungsgrundsatz des Art. 5 I lit. b DSGVO („für festgelegte (…) Zwecke“).70 Er sichert Kontrolle und Transparenz zugunsten des Betroffenen, hier also des Kunden.71 Im Kontext von Preispersonalisierung bedeutet dies, dass diese als Zweck konkret bezeichnet und auf (für den Durchschnittskunden) verständliche Weise72 vom Anbieter beschrieben werden muss. Nur dann kann der Kunde „in informierter Weise“ (Art. 4 Nr. 11 DSGVO) in die Datenverarbeitung zu diesem Zweck einwilligen.73 Der Kunde muss deshalb u. a. auch absehen können, welche Konsequenzen die von ihm erteilte Einwilligung möglicherweise für ihn haben wird.74 Übertragen auf die Situation personalisierter Preise muss es für den Kunden also ohne Weiteres möglich sein, zu verstehen, dass die Verarbeitung der sich auf ihn beziehenden personenbezogenen Daten dazu dient, den Preis an seine Preissensitivität bzw. seinen Reservationspreis anzupassen. Es muss für ihn auch erkennbar sein, dass der von ihm verlangte Preis in Folge der Erteilung der Einwilligung und basierend auf den Ergebnissen von Profiling möglicherweise sinken oder steigen wird. Das Personalisieren von Preisen kann nicht unter einen allgemeinen, weiter gefassten Begriff wie „Personalisierung des Nutzererlebnisses“, „Personalisierung der angebotenen Dienste/Dienstleistungen“, „Zusendung persönlicher Angebote“ o. Ä. gefasst werden.75 Dies liegt daran, dass es sich qualitativ und mit Blick auf die möglicherweise beim Kunden eintretenden (möglicherweise auch negativen) wirtschaftlichen Effekte bei Preispersonalisierung um einen speziellen Verarbeitungszweck handelt, den der Kunde oftmals weder erwarten noch als Konzept grundsätzlich gutheißen würde.76
Die konkreten Anforderungen, die an das notwendige Maß an Bestimmtheit einer Einwilligungserklärung zu stellen sind, sind relativ und je nach Verarbeitungszweck, zum Einsatz kommendem Datenmaterial und zu erwartenden Auswirkungen auf die Rechte und Interessen des Betroffenen einer Abwägung zu unterwerfen.77 Kunden stehen personalisierten Preisen oftmals skeptisch gegenüber und fürchten (oftmals unabhängig davon, ob diese Sorge in ihrem Fall tatsächlich begründet ist), dass sie selber durch höhere Preise benachteiligt werden.78 Eine hohe Relevanz ist aus ihrer Sicht also gegeben. Dafür spricht auch die Auswertung von Verbraucherbeschwerden, von der das britische Office of Fair Trading berichtet.79 Nach Ansicht der Behörde kann das Vertrauen in Online-Märkte absinken, wenn Kunden die Preissetzungsmethoden von Anbietern nicht verstehen oder wenn sie befürchten, dass diese für sie als Individuen zu höheren Preisen führen.80 Sie macht deshalb deutlich, dass Transparenz, Mitwirkungsmöglichkeiten (bei der Datenerhebung) und Verständnis (der preisbezogenen Abläufe) für das Aufrechterhalten von Vertrauen in Online-Märkte von großer Bedeutung sind.81 Auf datenschutzrechtlicher Ebene muss dies in den Anforderungen zum Ausdruck kommen, die an die Wirksamkeit einer Einwilligung gestellt werden. Gerade weil Kunden heimlich stattfindender Preispersonalisierung skeptisch gegenüberstehen, ist es notwendig, das Ausmaß der dafür notwendigen Datenverarbeitung transparent offenzulegen, um dem Bestimmtheitsgrundsatz des Art. 6 I S. 1 lit. a DSGVO und den Anforderungen, die Art. 4 Nr. 11 DSGVO an die Informiertheit Betroffener stellt, gerecht zu werden.82 Das datenschutzrechtliche Konzept der Einwilligung als Rechtsgrundlage ist ein unmittelbarer Ausfluss des Rechts auf informationelle Selbstbestimmung.83 Es kann deshalb nur dann sinnvoll ausgeübt werden, wenn die aus Kundensicht relevanten Aspekte diesem vollumfänglich bekannt sind.
Aufgrund dieser bestehenden Skepsis und aufgrund der kundenseitig beigemessenen Relevanz ist fraglich, ob es den Kunden möglich sein muss, die Einwilligung in die Datenverarbeitung zwecks Preispersonalisierung ggf. immer auch gesondert – also unabhängig von anderen vom Anbieter beabsichtigten Verarbeitungszwecken – erteilen bzw. durch Nichterteilung bewusst ablehnen zu können. Diese Frage hat dann Relevanz, wenn der Anbieter möchte, dass der Kunde in mehrere verschiedene Datenverarbeitungsvorgänge einwilligt, etwa in Preispersonalisierung einerseits und in Zusendung personalisierter Werbung andererseits. Dogmatischer Angelpunkt ist dabei die Freiwilligkeit der Einwilligungserklärung. Gemäß Erwägungsgrund 43 DSGVO liegt diese nicht vor, wenn für verschiedene Verarbeitungsvorgänge keine gesonderten Einwilligungserklärungen erteilt werden können, „obwohl dies im Einzelfall angebracht ist“. Weitere Auslegungshinweise über diesen rein normativen Ausdruck hinaus gibt die Datenschutz-Grundverordnung nicht.84 Eine pauschale Aussage kann damit nicht getroffen werden, da letztlich immer der Gesamtzusammenhang mit den anderen vom Anbieter ersuchten Einwilligungserklärungen und ihren Auswirkungen auf den Kunden herzustellen ist.85 Grundsätzlich wird eine separate Einwilligungsmöglichkeit aber tendenziell nicht zu verlangen sein, solange der Kunde nicht auf einen Vertragsabschluss mit dem konkreten Anbieter angewiesen ist. Solange er die Möglichkeit hat, zu einem Konkurrenten zu wechseln, bleibt seine Erklärung freiwillig.86
Aus demselben Grund liegt im Regelfall auch kein Verstoß gegen das sog. Koppelungsverbot des Art. 7 IV DSGVO vor. Laut dieser Norm muss bei der Beurteilung der Freiwilligkeit „dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Die Bestimmung der Freiwilligkeit wird damit maßgeblich, aber nicht absolut87 von der Erforderlichkeit der Datenverarbeitung abhängig gemacht. Das Koppelungsverbot „soll die freie und eigenständige Willensbetätigung des Nutzers bei der Einwilligung schützen und dadurch verhindern, dass ein faktischer Zwang zur Einwilligung in die Datenverwendung entsteht.“88 Unter Zugrundelegung eines objektiven Verständnisses ist die Freiwilligkeit mit Blick auf die Interessen des Anbieters durchaus zu bejahen, sofern Preispersonalisierung Teil seines Geschäftsmodells ist und er die dafür notwendige Datenverarbeitung als Entscheidungs- und Kalkulationsgrundlage für das Vertragsangebot dem Kunden gegenüber betrachtet.89 Dem Anbieter geht es also nicht darum, zu Lasten der Privatsphäre des Kunden Ziele zu verwirklichen, die über den Gegenstand des konkret in Rede stehenden Vertrages hinausgehen (wie etwa die Weitergabe der Daten an Dritte zu Werbezwecken), und dies über eine Einwilligung legitimieren zu lassen, die der Kunde nur aufgrund eines bestehenden faktischen Zwangs abgibt. Stattdessen besteht eine inhaltliche Sachnähe zur (im Falle des Vertragsabschlusses zustande kommenden) Hauptleistungspflicht des Kunden, nämlich zu dem von ihm zu zahlenden Preis.
Der Anbieter kann den Vertragsabschluss also grundsätzlich gänzlich davon abhängig machen, dass der Kunde in die Datenverarbeitung zwecks Preispersonalisierung einwilligt. Ob er sich mit dieser Vorgehensweise am Markt behaupten kann, dürfte in tatsächlicher Hinsicht vor allem von seiner Marktstärke und den von ihm realisierbaren Preisen abhängen. Das Freiwilligkeitskriterium der Art. 4 Nr. 11, 7 IV DSGVO kann dann als Korrektiv wirken – und eine datenschutzrechtliche Grenze ziehen –, wenn der Anbieter eine marktbeherrschende Stellung bzw. eine Monopolstellung innehat und die Freiwilligkeit deshalb abzulehnen ist.90 In diesen Fällen ist eine datenschutzrechtliche Korrektur über das Koppelungsverbot durchaus denkbar und sinnvoll. Datenschutzrechtliche Konformität wäre dann leicht herzustellen, indem dem Kunden die Möglichkeit gegeben wird, in die Datenverarbeitung zwecks Preispersonalisierung gesondert einzuwilligen, dieses Einwilligungsersuchen also von anderen abzutrennen. Dogmatisch lässt sich dies an den bereits diskutierten Erwägungsgrund 43 DSGVO anknüpfen, der in den Fällen, in denen es „im Einzelfall angebracht ist“, für verschiedene Verarbeitungsvorgänge gesonderte Einwilligungsmöglichkeiten verlangt, um die Freiwilligkeit abzusichern.
ddd. Keine Einwilligung in Diskriminierung
Eine Einwilligung in eine Art von Preispersonalisierung, die bezweckt oder bewusst in Kauf nimmt, dass durch die Datenverarbeitung letztlich geschützte Gruppen durch höhere Preise diskriminiert werden, ist unwirksam. Dies ergibt sich aus dem datenschutzrechtlichen Zweckbindungsgrundsatz, Art. 5 I lit. b DSGVO. Demnach müssen Daten für „legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“. Der Ausdruck „legitim“ ist begrifflich weiter gefasst als die frühere Formulierung „rechtmäßig“ (Art. 6 I lit. b DSRL). Der Anspruch an die Legitimität des Zweckes geht damit über eine rein formelle Rechtmäßigkeit (etwa das Vorliegen einer Rechtsgrundlage oder das Einhalten von Informationspflichten) hinaus. Er stellt darauf ab, ob die Verarbeitung zu einem von der Rechtsordnung missbilligten Zweck erfolgt.91 Die zu berücksichtigenden Rechtsquellen sind sehr weitreichend und umfassen neben allgemeinen verfassungsrechtlichen auch spezifisch antidiskriminierungsrechtliche Grundsätze.92 Eine Datenverarbeitung mit dem eingangs beschriebenen Zweck wäre demnach nicht legitim. Da die Datenverarbeitung auf Seiten des Anbieters datenschutzrechtlich unzulässig ist, kann der Kunde auch keine wirksame Einwilligung in diese Verarbeitung geben i. S. d. Art. 6 I S. 1 lit. a DSGVO. Bei der Bewertung der Legitimität des Zwecks kommt es also nicht darauf an, ob der Kunde ihn billigt oder nicht. Solange der Anbieter gegen. Art. 5 I lit. b DSGVO verstößt, kann der Kunde von vornherein nicht wirksam in die Datenverarbeitung einwilligen.
In der Praxis nahe liegender ist die Situation, dass die Diskriminierung geschützter Gruppen ohne Wissen und Wollen des Anbieters stattfindet. Dieser Effekt kann etwa bei Verwendung von Trainingsdaten eintreten, die unvollständig sind oder historisch bedingte Stereotype enthalten. Die Diskriminierung ist dann nicht Zweck, sondern unerkannter (und dementsprechend nicht als solcher benannter) Nebeneffekt der Verarbeitung. Auch in solch einem Fall muss der Einwilligung ihre legitimierende Wirkung abgesprochen werden: Der Anbieter kann durch seine Unwissenheit nicht privilegiert werden, zumal er die Verantwortung für die Einhaltung der Datenschutzgrundsätze trägt (Art. 5 II DSGVO). Dogmatisch lässt sich dies auch mit Art. 4 Nr. 11 DSGVO begründen: Die (potenziell) diskriminierende Wirkung der Datenverarbeitung ist für den Kunden von so wesentlicher Natur, dass er ohne dahingehende Kenntnis keine Einwilligung „in informierter Weise“ abgeben kann.
eee. Zwischenergebnis
Anbieter, die Personalised Pricing betreiben wollen, können sich für die dafür notwendige Datenverarbeitung grundsätzlich auf eine Einwilligung des Kunden als datenschutzrechtliche Rechtsgrundlage berufen. Voraussetzung dafür ist, dass die Vorgaben der Art. 6 I S. 1 lit. a, 4 Nr. 11, 7 DSGVO erfüllt sind. Eine wirksame Einwilligungserklärung muss zwingend in Form einer „eindeutigen bestätigenden Handlung“ des Kunden i. S. d. Art. 4 Nr. 11 DSGVO erfolgen. Widerspruchslösungen, wonach der Kunde aus der Datenverarbeitung zwecks Preispersonalisierung aktiv herausoptieren muss, sind nach dem klaren Wortlaut der Datenschutz-Grundverordnung93 unzulässig und können keine Grundlage für eine rechtmäßige Datenverarbeitung sein. Der Anbieter verfügt allerdings über eine nicht unerhebliche Gestaltungsfreiheit, auf welche Weise er sein Einwilligungsersuchen präsentieren möchte: Als Teil von Allgemeinen Geschäftsbedingungen, als Pop-up, über ein Zwei-Ebenen-System etc. Es gelten hohe Anforderungen, die der Anbieter erfüllen muss, um (vor allem) die Freiwilligkeit und Informiertheit des Kunden sicherzustellen und dem Bestimmtheitsgrundsatz, der sich aus einer Zusammenschau von Art. 6 I S. 1 lit. a, 4 Nr. 11, 5 I lit. b DSGVO ergibt, gerecht zu werden. Transparenz und eine darauf basierende, bewusste und autonome Entscheidung des Kunden charakterisieren die Einwilligung im Kontext des Personalised Pricings. Die Bedeutung der Freiwilligkeit der vom Kunden erteilten Einwilligung kann im Kontext des in Art. 7 IV DSGVO enthaltenen Koppelungsverbots eine wettbewerblich relevante Reflexwirkung entfalten. Im Regelfall steht es dem Anbieter frei, das Kontrahieren mit dem Kunden gänzlich von einer Einwilligung (in die Datenverarbeitung zwecks Preispersonalisierung) abhängig zu machen. Es besteht eine hohe Sachnähe zwischen der vom Anbieter erstrebten Datenverarbeitung einerseits und der Bestimmung der Hauptleistungspflicht des Kunden, also des von ihm zu zahlenden Preises andererseits. Es liegt mithin kein „Erzwingen“ einer Einwilligung vor, die der Kunde eigentlich gar nicht erteilen möchte und nur abgibt, weil er keine andere Wahl hat. Anders ist hingegen die Rechtslage zu beurteilen, wenn der Anbieter eine marktbeherrschende bzw. Monopolstellung innehat. Diese kann dazu führen, dass bei objektiver Betrachtungsweise keine Freiwilligkeit mehr vorliegt.94 Das Datenschutzrecht, dessen wesentlicher Schutzgegenstand die informationelle Selbstbestimmung ist, bewirkt in diesen Fällen indirekt eine Regulierung von Wettbewerbsprozessen, indem es den Anbieter zum Anbieten nuancierterer Einwilligungsmöglichkeiten verpflichtet und damit seine unternehmerische Freiheit (vgl. Art. 16 GRCh) einschränkt. Eine Einwilligung in eine geschützte Gruppen diskriminierende Datenverarbeitung hat stets keine legitimierende Wirkung, unabhängig vom Wissen und Wollen der beteiligten Parteien.
bb. Vertragliche oder vorvertragliche Notwendigkeit
Es wäre denkbar, dass der Anbieter sich auf Art. 6 I S. 1 lit. b DSGVO als Rechtsgrundlage stützen könnte. Demnach ist die Datenverarbeitung rechtmäßig, wenn sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen“. Dieser Erlaubnistatbestand basiert auf der Überlegung, dass eine Datenverarbeitung dann zulässig sein muss und keiner weitergehenden Rechtfertigung bedarf, wenn sie aus Sicht des potenziellen bzw. tatsächlichen Vertragspartners erforderlich ist und vom Betroffenen initiiert wurde (und damit auf seinen zum Ausdruck gebrachten Willen zurückzuführen ist).95 Der Anwendungsbereich der Norm ergibt sich unmittelbar aus ihrem Wortlaut: Entweder hat der Betroffene sich bewusst dafür entschieden, mit dem Verantwortlichen einen Vertrag abzuschließen (erste Alternative) oder er befindet sich „auf Anfrage“, also auf eigene Veranlassung hin,96 mit diesem in einem vorvertraglichen Zustand (zweite Alternative). Im Kontext von Online-Preispersonalisierung würde sich mit Blick auf diesen Rechtfertigungstatbestand die Frage stellen, ab welchem Zeitpunkt von vorvertraglichen Maßnahmen i. S. d. Art. 6 I S. 1 lit. b DSGVO ausgegangen werden kann. Fraglich wäre insbesondere, ob bereits das bloße Surfen auf der Seite des Anbieters zwecks Einholung von Preisinformationen genügt, um von einer „Anfrage“ des Kunden auszugehen, oder ob ein intensiverer, sich bereits konkretisierender geschäftlicher Kontakt zwischen den Parteien notwendig ist.97
Diese Fragen können allerdings dahingestellt bleiben. Die Verarbeitung personenbezogener Daten zum Zweck der Preispersonalisierung ist nicht „erforderlich“ i. S. d. Art. 6 I S. 1 lit. b DSGVO. Der Begriff der Erforderlichkeit ist nicht im Sinne einer „absoluten Unverzichtbarkeit“ zu verstehen. Er ist damit einer wertenden Auslegung zugänglich.98 Grundsätzlich ist eine enge Auslegung geboten.99 Nur auf diese Weise kann verhindert werden, dass der Anbieter solche Datenverarbeitungsvorgänge auf Art. 6 I S. 1 lit. b DSGVO stützt, welche ihm zwar zweckdienlich erscheinen, die aber über den eigentlichen Vertragszweck hinausgehen und mithin nicht mehr vom Willen des Kunden gedeckt sind.100 Ein Profiling des Kunden, um ihm gegenüber Preise anzupassen, ist bei objektiver Betrachtungsweise mit Blick auf die hier diskutierten Verträge (über den Erwerb von Gegenständen oder Dienstleistungen) für den Anbieter zwar durchaus nützlich, da er sich auf diese Weise möglicherweise besser im Wettbewerb behaupten und höhere Umsätze generieren kann. Dies macht die Datenverarbeitung aber noch nicht erforderlich i. S. d. Art. 6 I S. 1 lit. b DSGVO.101 Diese spezielle Art der Datenverarbeitung kann nämlich nicht mehr auf die „Anfrage“ des Kunden zurückgeführt werden. Er kann nicht mit einer so weitreichenden Datenverarbeitung rechnen. Auch nach Vertragsschluss ist keine Erforderlichkeit gegeben, da zu diesem Zeitpunkt der Preis schon festgelegt ist. Die informationelle Selbstbestimmung des Kunden legitimiert die Verarbeitungsmöglichkeiten des Anbieters zwar, soweit dies aus (vor)vertraglichen Gründen notwendig ist – zugleich setzt sie ihnen aber auch Grenzen, sobald der Verarbeitungszweck sich vom Vertragsinhalt zu weit entfernt.
Die Erforderlichkeit wird hier im Kontext des Art. 6 I S. 1 lit. b DSGVO also abgelehnt, obwohl sie bei der Prüfung der Rolle des Koppelungsverbots (Art. 7 IV DSGVO) bejaht wurde. Diese unterschiedliche Auslegung des vom Wortlaut her gleichen Begriffs liegt darin begründet, dass die Rückkoppelung an den tatsächlichen Willen des Kunden bei einer Einwilligungserklärung unmittelbar gegeben ist. Die hohen Anforderungen, die an eine wirksame Einwilligung gestellt werden, dienen als Schutzmechanismus zugunsten des Kunden, sodass mit Blick auf die Erforderlichkeit als Teilaspekt davon ein niedrigerer Begründungsaufwand notwendig ist. Ihre Abgabe ist das Ergebnis einer autonomen Entscheidung, die „in informierter Weise“ (Art. 4 Nr. 11 DSGVO) getroffen wurde. Das „Anfragen“ von vorvertraglichen Maßnahmen (Art. 6 I S. 1 lit. b DSGVO) kann hingegen nicht dergestalt interpretiert werden. Durch die Einleitung von Vertragsverhandlungen gibt der Kunde aus Sicht eines objektiven Dritten nicht zu erkennen, dass er damit einverstanden ist, dass seine personenbezogenen Daten mit dem Ziel der Preispersonalisierung erhoben und ausgewertet werden.
Die Bejahung der Erforderlichkeit wird diskutiert und teilweise bejaht, wenn es um die Bonitätsprüfung von Kreditnehmern (Kredit-Scoring) und um die Risikobeurteilung von potenziellen Versicherungsnehmern bei der Bestimmung der Höhe von Versicherungstarifen geht.102 In der Sache ist die Bejahung der Erforderlichkeit – je nach Sachverhalt – grundsätzlich überzeugend: Der (in Vorleistung gehende) Kreditgeber hat ein legitimes Interesse daran, anhand einer Kreditwürdigkeitsprüfung zu bestimmen, ob er mit einer Rückzahlung des Kreditbetrages rechnen kann. Die Erforderlichkeit i. S. d. Art. 6 I S. 1 lit. b DSGVO ergibt sich daraus, dass der Vertragsabschluss schon dem Grunde nach für ihn nur bei positivem Ausgang dieser Prüfung überhaupt Sinn ergibt. Der Schwerpunkt der Bonitätsprüfung liegt hier aber nicht auf der Personalisierung des Preises, sondern auf der Frage, ob das Geschäft überhaupt eingegangen werden sollte.103 Es geht also nicht um eine „Nützlichkeit“ für den Anbieter, sondern um eine grundlegende, mithin „erforderliche“ Fragestellung. Ähnliches gilt für die Berechnung der Höhe von Versicherungstarifen: Die Auswertung personenbezogener Daten dient hier vordergründig der Abschätzung des Risikos, das die Versicherung abdecken soll (sog. risk-based Pricing104). Die Bedeutung der Datenverarbeitung für die Versicherung ist bei objektiver Betrachtungsweise hoch, da nur so die Tarifhöhe sinnvoll bestimmt werden kann. Es besteht damit eine große inhaltliche Sachnähe zum eigentlichen Vertragsgegenstand. Dies ist auch aus Sicht des Versicherungsnehmers ohne Weiteres erkennbar. Die Datenverarbeitung zwecks Bestimmung der Tarifhöhe geht mithin unmittelbar auf seine Veranlassung zurück. Deshalb kann in dieser Situation viel eher von einer Erforderlichkeit ausgegangen werden, als dies bei Preispersonalisierung beim Online-Handel mit Waren und Dienstleistungen der Fall ist.
cc. Allgemeine Interessenabwägungsklausel
Als letzte denkbare Rechtsgrundlage für Personalised Pricing kommt die in Art. 6 I S. 1 lit. f DSGVO enthaltene allgemeine Interessenabwägungsklausel in Betracht. Dafür müsste die mit dem Ziel der Preispersonalisierung ausgeübte Datenverarbeitung für die Wahrung der berechtigten Interessen des Anbieters (oder eines Dritten) erforderlich sein. Zugleich dürften die Interessen oder Grundrechte und Grundfreiheiten des Kunden, welche den Schutz personenbezogener Daten erfordern, die Interessen des Anbieters nicht überwiegen.
aaa. Berechtigtes Interesse des Anbieters
Der Anbieter kann sich in den hier diskutierten Fallkonstellationen auf die ökonomischen Vorteile berufen, die von Preispersonalisierung für ihn ausgehen können. Sie ermöglicht ihm unter Umständen eine stärkere Position im Wettbewerb. Die wirtschaftlichen Interessen des datenschutzrechtlich Verantwortlichen sind als schützenswertes Interesse i. S. d. Art. 6 I S. 1 lit. f DSGVO anerkannt.105 Dies kann grundlegend aus Art. 16 GRCh abgeleitet werden.106 Für die Anerkennung dieses Interesses im Verhältnis zwischen dem Anbieter und dem Kunden auch im datenschutzrechtlichen Kontext sprechen zudem die Ausführungen in Erwägungsgrund 47 DSGVO: Dass ein Online-Anbieter von Waren und Dienstleistungen gewinnorientiert arbeitet, deckt sich mit den zu berücksichtigenden „vernünftigen Erwartungen“ des Kunden. Zudem macht der genannte Erwägungsgrund deutlich, dass zwischen dem Anbieter und dem Kunden generell durchaus eine rechtlich relevante Beziehung besteht, die auf Seiten des Anbieters berechtigte Interessen im Sinne der Abwägungsklausel erwachsen lassen kann. Preispersonalisierung kann grundsätzlich zu einer Ausweitung des Umsatzes des Anbieters führen und stellt bei Zugrundelegung wirtschaftlicher Zielvorstellungen den beabsichtigten Zweck dieses Vorgehens dar. Dieses Ziel kann durch die unmittelbare oder mittelbare Anpassung des im Einzelfall verlangten Preises an den jeweiligen Reservationspreis des Kunden realisiert werden. Wenn es beispielsweise gelingt, ein Produkt durch Absenkung des Preises an einen Kunden zu verkaufen, der zum regulären Referenzpreis des Anbieters nicht zum Kauf bereit wäre, liegt der Gewinn im Verhältnis zu diesem Kunden niedriger als bei anderen Kunden. Der Verkauf ergibt ökonomisch betrachtet für den Anbieter aber Sinn, da er immer noch Gewinn erzielt, den Umsatz ausweitet und den Käufer möglicherweise an das Unternehmen bindet. Die preisliche Individualisierung kann in ihrer umsatzsteigernden Wirkung auch durch psychologische Effekte verstärkt werden. So generieren (vermeintlich) besonders gute, zeitgebundene Sonderpreise oder andere besonders vorteilhafte, an den Kunden situationsabhängig angepasste Konditionen für diesen einen besonderen Reiz.107 Weiter verstärkt werden kann dieser Effekt durch individualisierte Werbung und anderweitige Personalisierungen des Angebots, wie es etwa bei Search Discrimination der Fall ist. Preispersonalisierung stellt mithin einen Teilaspekt der Absatz- und Marketing-Bemühungen des Anbieters dar. Gleichzeitig nimmt dieser Verarbeitungszweck aber auch eine Sonderrolle ein: Es geht nicht (nur) darum, den Kaufentschluss des Kunden zu fördern oder auszulösen. Über das Werben hinaus kommt es zu einer wirtschaftlichen Ungleichbehandlung, wodurch der einzelne Kunde im Vergleich zu anderen bevorzugt oder benachteiligt wird. Auf weitergehende Interessen als die genannten wirtschaftlichen kann der Anbieter sich nicht berufen.
bbb. Erforderlichkeit
Die Datenverarbeitung zwecks Preispersonalisierung müsste zudem erforderlich i. S. d. Art. 6 I S. 1 lit. f DSGVO sein, um die Interessen des Anbieters zu wahren. Dabei gilt grundsätzlich, dass sich „die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen“.108 Es geht also darum, ob die vom Anbieter verfolgten Interessen – in den vorliegend untersuchten Konstellationen also die soeben beschriebenen wirtschaftlichen Ziele – auf andere Weise mit gleicher Effektivität verwirklicht werden können und auf diesem Wege die Interessen etc. des Kunden weniger stark beeinträchtigt werden.109 Grundsätzlich stehen dem Anbieter verschiedene Möglichkeiten zur Verfügung, um seinen Umsatz auf datenschutzrechtlich neutralem oder zumindest weniger eingriffsintensivem Wege zu steigern. Preisdiskriminierung 2. Grades beispielsweise ist konzeptionell nicht auf die Verarbeitung personenbezogener Daten angewiesen und löst mit Blick auf die Preisbildung deshalb keine datenschutzrechtlichen Pflichten auf Seiten des Anbieters aus. Entscheidet er sich für sie als Preissetzungsmethode, ist es für ihn im Zeitpunkt seines Angebots gar nicht notwendig, die Identität des Kunden oder seine konkreten Eigenschaften zu kennen. Eine Bewertung persönlicher Aspekte i. S. d. Art. 4 Nr. 4 DSGVO zwecks Bestimmung des Reservationspreises findet nicht statt. Auch sind Sachverhalte denkbar, die zwar datenschutzrechtliche Relevanz aufweisen, aber weniger eingriffsintensiv ausgestaltet sind. Beispielsweise ist das Versenden von Gutscheinen per E-Mail, um einen Kaufanreiz zu schaffen, grundsätzlich datenschutzrechtlich relevant, da die dafür verarbeitete E-Mail-Adresse ein personenbezogenes Datum ist.110 Diese Form der preisrelevanten Kundenansprache erfordert aber nicht zwingend – wie es bei Preispersonalisierung nach hiesiger Definition der Fall ist –, dass dabei persönliche Aspekte des Kunden ausgewertet und als Entscheidungsgrundlage für die Gutscheinversendung herangezogen werden. Die Gutscheine können stattdessen auch an alle Kunden oder nach dem Zufallsprinzip versendet werden. Auch die Versendung der Gutscheine an bestimmte Kundengruppen – etwa an solche Kunden, die in der Vergangenheit bereits Einkäufe mit einem bestimmten Mindestwarenwert getätigt haben – kann im Vergleich zu Profiling-basierter Preispersonalisierung datenschutzfreundlicher ausgestaltet werden. Dies ist dann der Fall, wenn die Auswahl der Empfänger nicht das Ergebnis der Bewertung persönlicher Aspekte i. S. d. Art. 4 Nr. 4 DSGVO ist, sondern eine Kategorisierung nach objektiven Kriterien. In diesem Fall ist der Eingriff in das Recht auf informationelle Selbstbestimmung des Kunden geringer, da der Anbieter keine (potenziell fehleranfällige) Extrapolation persönlicher Aspekte vornimmt.111
Trotz dieser bestehenden Alternativen wird man dem Anbieter die Erforderlichkeit i. S. d. Art. 6 I S. 1 lit. f DSGVO nicht absprechen können. Es ist gerade der Sinn (und aus Sicht des Anbieters: Reiz) von datenbasierter Preispersonalisierung, dass diese zumindest in der Theorie eine besonders hohe Präzision und Effektivität verspricht. Die individualisierte Nutzeransprache mit einem personalisierten Preis verspricht, unabhängig von der Art der Preiskommunikation, vor allem eine effizientere Zuweisung des „richtigen“ Preises an den jeweiligen Kunden, als dies bei Preisdiskriminierung 2. Grades oder nicht-personalisierten Preissetzungsmethoden der Fall ist. Das vom Anbieter verfolgte Interesse kann also nicht auf andere Weise gleich effektiv verwirklicht werden. Die Datenverarbeitung zwecks Preispersonalisierung ist mithin erforderlich i. S. d. Art. 6 I S. 1 lit. f DSGVO.
ccc. Interessen, Grundrechte und Grundfreiheiten des Kunden
Sobald personenbezogene Daten des Kunden ohne seine Einwilligung bzw. anderweitige, auf seinen Willen zurückzuführende Veranlassung verarbeitet werden, liegt für diesen per se eine Beeinträchtigung seiner in Art. 7 und 8 GRCh postulierten Grundrechte (Recht auf Privatleben sowie Recht auf den Schutz personenbezogener Daten) vor.112 Darüber hinaus fließen auch andere grundrechtlich geschützte Positionen und legitime Interessen des betroffenen Kunden, wie etwa die wirtschaftlichen Auswirkungen der Datenverarbeitung auf ihn, in die notwendige Abwägung mit ein. Als Ausgangspunkt der Abwägung gilt generell, dass Art, Inhalt und Aussagekraft der betroffenen Daten an den Aufgaben und Zwecken zu messen sind, denen die Erhebung und Speicherung der Daten dient.113 Die Datenschutz-Grundverordnung formuliert keine ausdrücklichen Kriterien, anhand welcher Maßstäbe und mit welcher Gewichtung die Abwägung im Einzelfall auszuführen ist. Aus ihrer Systematik lassen sich allerdings gewisse Schlussfolgerungen ableiten.114
Im Kontext von Preispersonalisierung lassen sich zugunsten des Kunden grundsätzlich sein Recht auf Privatheit und informationelle Selbstbestimmung sowie seine wirtschaftlichen Interessen anführen. Die besonders hohe persönlichkeitsrechtliche Relevanz, die mit dem Bilden von Profilen – also dem Profiling i. S. d. Art. 4 Nr. 4 DSGVO – einhergeht, spricht für ein grundsätzliches Überwiegen der Kundeninteressen, sobald die Profile eine gewisse Komplexität annehmen.115 Auf Profiling basierende Preispersonalisierung präsentiert sich in der Praxis oftmals als nicht sonderlich komplexe Methode, so etwa wenn die Verwendung eines bestimmten Endgeräts mit einer eher höheren oder niedrigeren Zahlungsbereitschaft des Kunden assoziiert und der Preis (nur) deshalb angepasst wird. Die Bildung von Vergleichsgruppen, die methodisch Teil von Profiling ist, erlaubt allerdings oftmals anhand weniger Ausgangsdaten weitreichende, fundierte Vorhersagen über persönliche Aspekte des Einzelnen.116 Der Sache nach handelt es sich bei Personalised Pricing selbst bei bloßer Zugrundelegung einzelner bzw. isoliert betrachtet bedeutungsloser Informationen also um eine Profilbildung, der das Potenzial innewohnt, deutlich komplexere Ausmaße anzunehmen, als die bisher diskutierten praktischen Fälle nahelegen. In diesem Sinne hat auch der EuGH (mit Blick auf das Geschäftsmodell von Online-Suchmaschinen) in der Google Spain-Entscheidung geurteilt, dass die Erstellung eines „mehr oder weniger detaillierte[n] Profil[s]“ u. a. wegen „seiner potenziellen Schwere (…) nicht allein mit dem wirtschaftlichen Interesse (…) an der Verarbeitung der Daten gerechtfertigt werden“ kann.117
Die Systematik der Datenschutz-Grundverordnung gibt zu erkennen, dass Profiling grundsätzlich möglich sein muss. Zugleich macht sie aber auch deutlich, dass diese spezielle Form der Datenverarbeitung erhöhte Schutzvorkehrungen zugunsten der Betroffenen notwendig macht. Dies zeigt sich etwa am Schutzsystem, welches Art. 22 DSGVO im Kontext von Profiling und automatisierten Einzelentscheidungen etabliert. Zudem macht Art. 35 I S. 1, III lit. a DSGVO deutlich, dass systematischem und umfassendem Profiling in Verbindung mit automatisierten Einzelentscheidungen „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten“118 der Betroffenen innewohnt und deshalb eine Datenschutz-Folgenabschätzung notwendig macht. Die aus diesen Normen ersichtlichen Wertungen verdeutlichen, dass Profiling-basierte Verfahren auf Seiten des Kunden zu bedeutenden persönlichkeitsrechtlichen Beeinträchtigungen führen können. Dies spricht für ein Überwiegen der kundenseitigen Interessen im Rahmen der Interessenabwägung.
Auch die der Regulierung des Widerspruchsrechts in Art. 21 DSGVO zugrunde liegenden Wertungen sprechen dafür, dass eine Datenverarbeitung zwecks Preispersonalisierung nicht auf Art. 6 I S. 1 lit. f DSGVO gestützt werden kann. Art. 21 I DSGVO gewährt den datenschutzrechtlich betroffenen Personen im Kontext von auf Art. 6 I S. 1 lit. f DSGVO gestütztem Profiling ein Widerspruchsrecht „aus Gründen, die sich aus ihrer besonderen Situation ergeben.“119 Eine weitere Verarbeitung trotz Widerspruch des Betroffenen ist dann nur noch möglich, wenn der Verantwortliche sich auf „zwingende schutzwürdige Gründe“ berufen kann, die „die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen“.120 Diese Regelungstechnik gibt dem Betroffenen die Möglichkeit an die Hand, eine individuelle Würdigung und Bewertung seiner Situation durch den Verantwortlichen zu erzwingen und die Datenverarbeitung ggf. zu unterbinden. Art. 21 II DSGVO gewährt ein (von der gewählten Rechtsgrundlage unabhängiges) Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung. Dieses Widerspruchsrecht ist im Gegensatz zum allgemeinen, im ersten Absatz formulierten bedingungslos. Diese Unterscheidung lässt sich mit einer wertenden Abstufung erklären: Direktwerbung basiert oftmals, wie auch der Normtext unterstreicht, auf Profiling und ist dementsprechend persönlichkeitsrechtlich besonders relevant. Zugleich dient sie nur den kommerziellen Interessen des Verantwortlichen. Auch wenn Direktwerbung von der Datenschutz-Grundverordnung grundsätzlich als berechtigtes Interesse anerkannt wird121 und die dafür notwendige Datenverarbeitung dementsprechend auf Art. 6 I S. 1 lit. f DSGVO gestützt werden kann, zeigt die in Art. 21 I, II DSGVO zum Ausdruck kommende Unterscheidung, dass dieser Verarbeitungszweck nur eingeschränkten Schutz erfahren soll. Aus dieser Wertung können Rückschlüsse darauf gezogen werden, wie schützenswert Personalised Pricing als Verarbeitungszweck ist: Direktwerbung und Preispersonalisierung arbeiten mit vergleichbaren Methoden und bezwecken jeweils eine individualisierte Kundenansprache. Daraus könnte man ableiten, dass auch eine auf Art. 6 I S. 1 lit. f DSGVO gestützte Datenverarbeitung zwecks Preispersonalisierung dem Grunde nach mit den Wertungen der Datenschutz-Grundverordnung im Einklang steht und dementsprechend zulässig ist. Diese Argumentation verkennt aber, dass die tatsächlichen Auswirkungen auf den Kunden bei personalisierten Preisen potenziell deutlich stärker als bei Direktwerbung sind: Letztere erschöpft sich im „Bewerben“ der Person als solches. Personalisierte Preise hingegen zeitigen zusätzlich dazu unmittelbare finanzielle Auswirkungen auf den Kunden, die durchaus nachteilig sein können. Ihre Eingriffsintensität geht qualitativ über die der Direktwerbung hinaus, da nicht nur persönlichkeitsrechtliche, sondern auch finanzielle Belange auf Kundenseite betroffen sind. Die Eingriffsintensität ist in der Summe also (zumindest potenziell) noch einmal stärker als in den von Art. 21 II DSGVO erfassten Fallkonstellationen. Dies spricht dafür, dass die Interessenabwägung beim Personalised Pricing zugunsten des Kunden ausfällt und Art. 6 I S. 1 lit. f DSGVO nicht als Rechtsgrundlage herangezogen werden kann.
Unabhängig von diesen dogmatischen Erwägungen führt die isolierte Betrachtung der wirtschaftlichen Interessen des Kunden zu weniger eindeutigen Ergebnissen. Preispersonalisierung kann sich bei rein wirtschaftlicher Betrachtungsweise auf Kundenseite positiv oder negativ auswirken. Als Prämisse gilt, dass der Anbieter ein grundsätzliches, übergeordnetes Interesse daran hat, langfristig einen möglichst hohen Gewinn zu generieren und personalisierte Preise zu diesem Zweck einzusetzen. Finanzielle Vorteile auf seiner Seite können sich zu Lasten eines Kunden auswirken, wenn dieser aufgrund der Personalisierung mehr zahlt als andere. In den Fällen, in denen der Kunde (etwa nach Weiterleitung von einem Preisvergleichsportal) mit einer Preisreduktion zum Kauf verleitet werden soll, profitiert er hingegen in der Einzelfallbetrachtung. Deshalb würde es zu kurz greifen, bei der Bewertung der wirtschaftlichen Kundeninteressen nur auf die Überlegung abzustellen, dass personalisierte Preise geeignet sind, ärmeren Kunden den Zugang zu einem Gut bzw. einer Dienstleistung überhaupt erst zu ermöglichen.122
Gleichermaßen nicht verallgemeinerungsfähig sind die ökonomischen Auswirkungen bei Betrachtung nicht nur des einzelnen, sondern aller Kunden, sowie der Wettbewerber des Anbieters. Nicht überzeugend wäre das – aus Anbietersicht nahe liegende – Argument, dass der Kunde bei einem Geschäftsmodell, welches als Folge der Personalisierung nur eine Absenkung des Preises kennt, stets bevorteilt wird und dieser wirtschaftliche Vorteil somit zugunsten der Rechtmäßigkeit der Datenverarbeitung in der Abwägung zu berücksichtigen ist. Das planmäßige Nichtgewähren eines Rabatts bei den Kunden, die etwa bestimmte Kriterien nicht erfüllen, stellt ökonomisch betrachtet für sie nämlich wiederum einen Nachteil im Vergleich zu denjenigen Kunden dar, die den Rabatt erhalten. Eine reine Bevorteilung ist deshalb – unabhängig von der Frage, ob Kunden eine derartige Preisgestaltung als fair oder unfair empfinden – gerade nicht gegeben. Für die Interessenabwägung im Rahmen des Art. 6 I S. 1 lit. f DSGVO können die ökonomischen Auswirkungen personalisierter Preise auf Kundenseite also nur sehr bedingt fruchtbar gemacht werden. Sie sprechen weder für noch gegen die Zulässigkeit der Datenverarbeitung.
ddd. Rolle von Dritten
Die persönlichkeitsrechtlichen Interessen des einzelnen Kunden werden in ihrem Gewicht verstärkt durch die Auswirkungen, die die auf Art. 6 I S. 1 lit. f DSGVO gestützte Datenverarbeitung auf andere Kunden, also Dritte hätte. Der Wortlaut der Norm nennt Dritte auf Betroffenen- bzw. Kundenseite nicht als zu berücksichtigende Interessenträger. Im Gegensatz dazu werden die „berechtigten Interessen des Verantwortlichen oder eines Dritten“ auf Seiten des Anbieters geschützt. Dennoch wird man auch auf Kundenseite die Interessen Dritter richtigerweise nicht gänzlich unberücksichtigt lassen können.123
Profiling basiert auf dem Prinzip der automatisierten Gruppenbildung (anhand abstrakter Vergleichsdaten) und der Einordnung des konkreten Kunden in die richtige Vergleichsgruppe (anhand personenbezogener Daten). Das jeweilige Ergebnis – im hiesigen Kontext vor allem Aussagen über die individuelle Preissensitivität bzw. über den vermuteten Reservationspreis – wird dem einzelnen Kunden automatisiert zugewiesen und stellt damit ein „neues“ personenbezogenes Datum dar. Die aus dem Profiling erwachsenden Erkenntnisse beeinflussen also nicht nur den einzelnen Kunden, dem gegenüber der Anbieter sich auf Art. 6 I S. 1 lit. f DSGVO berufen würde. Sie fließen auf einer abstrakteren Ebene auch in die Gruppenbildung und damit in die Bewertung anderer, zukünftiger Kunden mit ein.124 So entsteht eine indirekte Rückkoppelung, die die sie betreffenden (zukünftigen, Profiling-basierten) personenbezogenen Daten beeinflusst125 und damit zu tatsächlichen Auswirkungen auf diese führt.126
Im Rahmen der Interessenabwägung ausschließlich die Auswirkungen auf den einzelnen Kunden zu berücksichtigen, würde damit den Datenschutz Dritter ignorieren. Dogmatisch lässt sich dies auch mit dem Wortlaut der Norm begründen. Art. 6 I S. 1 lit. f DSGVO spricht von den „Interessen (…) der betroffenen Person, die den Schutz personenbezogener Daten erfordern“. Diese Formulierung ist im Vergleich zum Wortlaut des Art. 6 I S. 1 lit. a DSGVO (Einwilligung) allgemein gehalten, spricht dieser doch von die Person „betreffenden personenbezogenen Daten“. Dieser Ausdruck hätte auch in Art. 6 I S. 1 lit. f DSGVO gewählt werden können, um deutlich zu machen, dass im Rahmen der Interessenabwägung nur die die Kunden „betreffenden“ personenbezogenen Daten, nicht aber die von Dritten zu berücksichtigen sind. Die persönlichkeitsrechtlichen Interessen Dritter verstärken damit die Position des Kunden im Rahmen der Abwägungsentscheidung.
eee. Zwischenergebnis
Bei einer Gegenüberstellung und wertenden Abwägung der auf Kunden- und Anbieterseite betroffenen Interessen überwiegen diejenigen der Kunden. Dies ergibt sich vor allem angesichts der hohen persönlichkeitsrechtlichen Relevanz, die mit Preispersonalisierung aufgrund der ihr methodisch zugrunde liegenden Profilbildung einhergeht. Dieses Ergebnis lässt sich zudem mit systematischen Erwägungen untermauern. Die wirtschaftlichen Interessen des Anbieters alleine können nicht ausreichen, um derart weitreichende Verarbeitungsformen zu legitimieren. Die wirtschaftlichen Auswirkungen auf Kundenseite spielen dabei aufgrund ihrer Diversität und damit einhergehenden Unbestimmtheit keine eigenständige Rolle. Eine Datenverarbeitung zum Zwecke des Personalised Pricings kann demnach nicht auf die allgemeine Interessenabwägungsklausel des Art. 6 I S. 1 lit. f DSGVO gestützt werden.127 Der Anbieter muss für diesen Verarbeitungszweck vom Kunden stets eine Einwilligung i. S. d. Art. 6 I S. 1 lit. a DSGVO einholen.
c. Transparenzpflichten
Art. 13–15 DSGVO formulieren ein umfassendes Bündel von Transparenzpflichten, welche den Anbieter dem Kunden gegenüber verpflichten. Art. 13 DSGVO postuliert eine Informationspflicht des Anbieters, die im Zeitpunkt der ersten Erhebung personenbezogener Daten greift. Erhebt er etwa kundenbezogene technische Daten128 im Moment des Seitenaufrufs, um sie zum Zwecke der Preispersonalisierung zu verarbeiten, greifen die Informationspflichten, die sich – vorbehaltlich des Art. 13 IV DSGVO – aus Art. 13 I, II DSGVO ergeben. Gleiches gilt, wenn er beispielsweise personenbezogene Daten einem Kundenprofil hinzufügt. Art. 14 DSGVO formuliert ähnliche Informationspflichten. Er kommt in den Situationen zur Anwendung, in denen die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben werden. Dies ist im hiesigen Kontext etwa dann relevant, wenn der Anbieter auf Daten zurückgreift, die von Dritten (wie etwa Auskunfteien) oder aus öffentlichen Quellen (wie etwa sozialen Netzwerken, in denen der Kunde mit öffentlich zugänglichem Profil aktiv ist) herrühren.129 Das Auskunftsrecht des Art. 15 I DSGVO muss im Gegensatz zu den vom Anbieter unaufgefordert zu erfüllenden Informationspflichten vom Kunden aktiv geltend gemacht werden.
Der Anbieter muss Preispersonalisierung als Zweck der Datenverarbeitung nennen, Art. 13 I lit. c, 14 I lit. c, 15 I lit. a DSGVO.130 Darüber hinaus sind vor allem die in Art. 13 II lit. f, 14 II lit. g, 15 I lit. h DSGVO (wortgleich) enthaltenen Transparenzregelungen von herausgehobener Relevanz. Die Informations- bzw. Auskunftspflicht bezieht sich demnach auf das Folgende: „das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“. Die Normen bestimmen, in welchem Ausmaß dem Kunden im Kontext von Profiling und automatisierten Entscheidungen, also den konzeptionellen Grundlagen von Personalised Princing, Auskunft erteilt werden muss. Es bestehen damit einige Überschneidungen mit den Anforderungen, die an eine wirksame Einwilligungserklärung gestellt werden, welche „in informierter Weise“ (Art. 4 Nr. 11 DSGVO) erteilt werden muss.131 Eine unzureichende Befolgung der Transparenzvorschriften führt allerdings nicht zum Wegfall der Rechtsgrundlage (im Gegensatz zu einem Verstoß gegen die Anforderungen an eine wirksame Einwilligungserklärung).132
Wie bereits festgestellt, verpflichten die Normen den datenschutzrechtlich verantwortlichen Anbieter recht weitreichend. Sie beziehen sich sowohl auf die zweite als auch auf die dritte Stufe des hier entwickelten 3-stufigen Modells. Ausgehend von den bereits weiter oben aufgestellten Grundsätzen ist der Anbieter verpflichtet, die Systemfunktionalität des Profilings und der darauf aufbauenden preislichen Entscheidungen auf einem abstrakten, aber dennoch aussagekräftigen Niveau zu erläutern. Dies bezieht sich auch auf den internen Zusammenhang zwischen den beiden Stufen. Es muss klar sein, dass bestimmte Erkenntnisse auf Stufe 2 zu bestimmten Ergebnissen auf Stufe 3, auf der der Preis bestimmt wird, führen können. Dabei müssen zumindest die für die Personalisierung des Preises relevanten Datenkategorien und die den Kunden betreffenden, zur Berechnung des Preises konkret herangezogenen Daten offengelegt werden. Der Kunde muss erkennen können, welche aus seiner Sphäre herrührenden Faktoren den Preis beeinflussen. Dies bedeutet aber nicht, dass er in der Lage sein muss, die „richtige“ Preisbestimmung nachrechnen bzw. inhaltlich kontrollieren zu können.133 Eine Mitteilung der konkreten Gewichtung der einzelnen Faktoren und der dabei verwendeten Vergleichsgruppen kann nicht verlangt werden, da der Anbieter ein schützenswertes Interesse an Geheimhaltung dieser Informationen hat.134 Der Preis stellt aus Sicht der Anbieter einen der wichtigsten Wettbewerbsparameter dar, seine Höhe und Bestimmung sind für ihn essenziell wichtig. Die betriebswirtschaftlichen Hintergründe seines Zustandekommens sind mithin schützenswert, sodass eine umfassende Offenlegungspflicht nicht verlangt werden kann. Eine solche wäre für den Kunden auch weder hilfreich noch zwingend notwendig, um sein Datenschutzrecht zu wahren. Die „involvierte Logik“ muss aber in ihren Grundzügen mit für den Kunden verständlichen Worten kommuniziert werden. Dementsprechend wäre etwa darauf hinzuweisen, dass das vom Kunden verwendete Endgerät oder die Weiterleitung von einem Preisvergleichsportal zu angepassten Preisen bzw. zur Einräumung von individuellen Rabatten führen kann. Diese vom Anbieter „angestrebten Auswirkungen“ müssen als solche erkennbar sein, um dem Grundsatz der Transparenz (Art. 5 I lit. a DSGVO) zu entsprechen.
2. Zwischenergebnis
Kundenbezogene technische Daten, die (zumindest auch) zum Zwecke der Personalisierung von Preisen erhoben werden, sind in aller Regel personenbezogen i. S. d. Art. 4 Nr. 1 DSGVO. Die Datenschutz-Grundverordnung ist in diesem Kontext mithin grundsätzlich anwendbar, Art. 2 I DSGVO. Als Rechtsgrundlage für die Datenverarbeitung kommt einzig eine Einwilligung des Kunden i. S. d. Art. 6 I S. 1 lit. a DSGVO in Betracht,135 welche sich auf den kompletten Verarbeitungsvorgang – mithin auf alle drei Stufen des Modells – beziehen muss. Dementsprechend spielt es keine Rolle, ob im konkreten Fall der Anwendungsbereich des § 25 I S. 1 TTDSG eröffnet ist, da ohnehin eine Einwilligung i. S. d. Art. 4 Nr. 11 DSGVO eingeholt werden muss.136 Die anwendbaren, recht weitreichenden Wirksamkeitsvoraussetzungen (vgl. Art. 4 Nr. 11 und 7 DSGVO) werden von den Transparenzpflichten der Art. 13–15 DSGVO flankiert. Das mit den Transparenzpflichten gekoppelte Einwilligungserfordernis stellt einen vorgelagerten Schutz vor Diskriminierung geschützter Gruppen durch personalisierte Preise dar.
Anzeige
II. Zweite Stufe: Datenauswertung
1. Datenschutzrecht
Die Auswertung der personenbezogenen Daten zwecks Bestimmung der Zahlungsbereitschaft des einzelnen Kunden ist ein rein datenschutzrechtlich relevanter Sachverhalt. Wie bereits festgestellt, enthält der verfügende Teil der Datenschutz-Grundverordnung keine spezifischen Vorgaben dahingehend, wie Profiling – die Grundlage personalisierter Preise – durchzuführen ist. Erwägungsgrund 71 DSGVO formuliert allerdings in seinem zweiten Absatz konkretere qualitative Handlungsmaßstäbe, die sich ausdrücklich auf Profiling beziehen. Sie können herangezogen werden, um die allgemeinen Datenschutzgrundsätze des Art. 5 I DSGVO auszulegen und inhaltlich zu konturieren, wenn Anbieter Profiling zwecks Preispersonalisierung einsetzen.
a. Allgemeine Vorgaben (ErwG. 71 DSGVO)
Der Verantwortliche ist gem. Erwägungsgrund 71 DSGVO gehalten, „geeignete mathematische oder statistische Verfahren für das Profiling“ zu verwenden. Eine ähnliche Formulierung hat der deutsche Gesetzgeber in § 28b Nr. 1 BDSG a. F. bei der Regulierung von Scoring verwendet („wissenschaftlich anerkannte[s] mathematisch-statistische[s] Verfahren“) und in § 31 I Nr. 2 BDSG n. F. beibehalten.137 Der Ausdruck „geeignete mathematische oder statistische Verfahren“ ist recht weit, ebenso wie das damit verfolgte Ziel der „fairen und transparenten Verarbeitung“, welches zwar mehrfach in den Erwägungsgründen und dreimal im verfügenden Teil der Verordnung verwendet, aber nicht definiert wird.138 Aus der Formulierung kann abgeleitet werden, dass dem Profiling in technischer Hinsicht Verfahren zugrunde gelegt werden müssen, die ein gewisses Maß an Zuverlässigkeit und Objektivität aufweisen und von ihrer Konzeption her frei von rein willkürlichen Erwägungen sind. Diese Vorgabe kann über Art. 5 I lit. d DSGVO (Grundsatz der Richtigkeit personenbezogener Daten) in den verfügenden Teil der Datenschutz-Grundverordnung hineingelesen werden.
Zudem soll der Verantwortliche „technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird“. Auch dies ist eine inhaltliche Konkretisierung von Art. 5 I lit. d DSGVO.139 Der Wortlaut lässt darauf schließen, dass primär beim Verfahren selbst, also der Datenverarbeitung, angesetzt werden soll, um Fehler zu vermeiden. Ein adäquates Verfahren soll möglichst fehlerfreie Ergebnisse garantieren. Insoweit besteht eine inhaltliche Verbindung zu der im gleichen Absatz geforderten Geeignetheit der zum Einsatz kommenden mathematischen oder statistischen Verfahren.
Diese Herangehensweise ist angesichts der methodischen Grundlagen von Profiling sachgerecht. Die Richtigkeit personenbezogener Daten i. S. d. Art. 5 I lit. d DSGVO kann grundsätzlich nur bei Tatsachenangaben objektiv festgestellt werden, nicht aber bei wertenden Aussagen oder Meinungsäußerungen.140 Profiling stellt eine Bewertung persönlicher Aspekte dar, Art. 4 Nr. 4 DSGVO. Es basiert auf mathematischen und statistischen Methoden. Die auf diese Weise gefundenen Ergebnisse sind Ausdruck von Wahrscheinlichkeitsberechnungen, welche ihrer Natur nach nicht immer eine wahre Auskunft über die persönlichen Aspekte des Betroffenen geben können. Ihnen liegen Interpretationen zugrunde. Diese können konzeptionell nicht den Anspruch auf Richtigkeit in allen Fällen erheben, da sie zumindest in manchen Fällen nahezu zwangsläufig falsche Ergebnisse produzieren. Die Zielvorgabe des Erwägungsgrundes 71 DSGVO, das Fehlerrisiko zu minimieren, soll also dergestalt realisiert werden, dass bereits im Vorfeld der Generierung von Ergebnissen durch geeignete Verfahren sichergestellt wird, dass ein der jeweiligen konkreten Situation angemessener Grad an „Richtigkeit“ erreicht wird. Anders formuliert geht es um die Gewährleistung einer der konkreten Situation angemessenen Fehlertoleranz.
Bei der Bestimmung, welche Arten von Fehlern wie häufig vorkommen dürfen, kommt dem jeweiligen Kontext eine entscheidende Rolle zu. Es kommt auf die Umstände der Erhebung der personenbezogenen Daten an, die zum Profiling verwendet werden, auf die Bedeutung des Ergebnisses des Profilings für den Betroffenen und auf den Grad an Sensibilität seiner Bewertung. Der zweite Absatz von Erwägungsgrund 71 erlaubt unter Berücksichtigung des Wortlauts von Art. 4 Nr. 4 DSGVO („Bewertung“) damit eine flexible Auslegung von Art. 5 I lit. d DSGVO, welcher zu „angemessenen Maßnahmen“ verpflichtet, um „im Hinblick auf die Zwecke ihrer Verarbeitung“ unrichtige personenbezogene Daten zu berichtigen bzw. durch Löschung zu bereinigen.
Übertragen auf Preispersonalisierung kann aus diesen Erwägungen kein bedeutender inhaltlicher Mehrwert gezogen werden, der über die eingangs diskutierte Verpflichtung zum Einsatz geeigneter mathematischer oder statistischer Verfahren hinausgeht. Die Vorschriften des Erwägungsgrundes 71 DSGVO sind darauf ausgerichtet, den Betroffenen (hier: den Kunden) vor Ergebnissen zu schützen, die ihm aufgrund mangelhafter Profiling-Verfahren schaden können. Das Schadenspotenzial von Preispersonalisierung ist allerdings eher gering einzustufen. Die Bestimmung der Zahlungsbereitschaft durch Profiling hat zwar persönlichkeitsrechtliche Relevanz, sodass die Forderung nach technischen und organisatorischen Maßnahmen gerechtfertigt ist.141 Preispersonalisierung ist von seiner Eingriffsintensität her aber nicht mit der (beispielhaft gedachten) Profiling-basierten staatlichen Leistungsverwaltung oder mit dem Erlass belastender Verwaltungsakte vergleichbar, denen der Betroffene ausgeliefert ist und gegen die er sich aktiv (etwa per Widerspruch oder Klage) wehren müsste. Auch sind die faktischen Konsequenzen für ihn nicht so stark wie im (in Erwägungsgrund 71 DSGVO beispielhaft genannten) Fall der automatisierten Ablehnung eines Kreditantrags. Der Kunde kann im Regelfall autonom entscheiden, ob er ein Produkt oder eine Dienstleistung kaufen möchte. Das zu vermeidende „Risiko von Fehlern“ wäre im Fall von Preispersonalisierung ein „falscher“ Preis. Da der Preis im Kern eine reine Zahlengröße ist, kann der Fehler nur darin liegen, dass er „zu hoch“ oder „zu niedrig“ in Relation zum Reservationspreis des Kunden angesetzt ist. Unabhängig davon, ob eine derartige Kategorisierung von Preisen überhaupt sinnvoll und möglich ist, wäre der Schaden für den Kunden stets überschaubar: Im Falle eines „zu hohen“ Preises müsste er nicht kaufen. Ein „zu geringer“ Preis ginge zu Lasten des Anbieters, sodass eine Schlechterstellung des Kunden von vornherein ausscheidet.
b. Diskriminierungsverbot (ErwG. 71 DSGVO)
aa. Dogmatische Einordnung
Erwägungsgrund 71 DSGVO formuliert in seinem zweiten Absatz ein Diskriminierungsverbot zugunsten verschiedener geschützter Gruppen. Der Verantwortliche soll „verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat.“ Diese Handlungsanweisung ist angesichts des der Datenschutz-Grundverordnung innewohnenden Diskriminierungsschutzes nicht überraschend. Bemerkenswert ist allerdings die verwendete Regelungsmethodik, die sich eines Handlungsverbots bedient: Dem Verantwortlichen ist es verboten, Datenverarbeitungsverfahren zu verwenden, die bestimmte diskriminierende Ergebnisse produzieren. Im Gegensatz zu Art. 9 I DSGVO nimmt das Diskriminierungsverbot des Erwägungsgrundes 71 DSGVO einen ex post-Blickwinkel ein. Es bezieht sich auf tatsächlich eintretende Diskriminierungen und verpflichtet den Verantwortlichen, diese zu verhindern (vgl. den Wortlaut: „verhindern, dass es (…) zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat“). Diese Herangehensweise weicht vom präventiven Ansatz ab, den die Datenschutz-Grundverordnung in ihrem verfügenden Teil, vor allem in Art. 9 I, 22 IV DSGVO verfolgt.
Alle in Erwägungsgrund 71 DSGVO genannten geschützten Gruppen sind auch in Art. 9 I DSGVO aufgeführt.142 Er kommt also in der Regel143 zur Anwendung, wenn Profiling mit diskriminierender Wirkung eingesetzt wird. Die ex post-Betrachtungsweise des Erwägungsgrundes 71 DSGVO ist aber umfassender als der präventive Ansatz des Art. 9 I DSGVO. So wäre beispielsweise denkbar, dass ein diskriminierendes Profiling-Verfahren eingesetzt wird, welches sensible personenbezogene Daten verarbeitet, die der Betroffene „offensichtlich öffentlich gemacht hat“ i. S. d. Art. 9 II lit. e DSGVO. Den Vorgaben des Art. 9 DSGVO wäre damit Genüge getan, ohne dass dieser die Diskriminierung tatsächlich verhindern konnte. Dagegen wäre dieser Fall von Erwägungsgrund 71 DSGVO erfasst. Der Verantwortliche hätte, die Anwendbarkeit des Verbots unterstellt, die Verpflichtung, dieses Ergebnis angesichts seiner „diskriminierenden Wirkungen“ zu verhindern. Der von Erwägungsgrund 71 DSGVO intendierte Diskriminierungsschutz geht also inhaltlich weiter. Art. 9 DSGVO reicht nicht aus, um das gleiche Schutzniveau zu garantieren. Insoweit besteht ein qualitativer Unterschied.
Die Formulierung des Diskriminierungsverbots in den Erwägungsgründen – und damit außerhalb des verfügenden Teils der Verordnung – ist aus dogmatischer Sicht problematisch. Hoheitlich handelnden Stellen sind Diskriminierungen natürlicher Personen aufgrund höherrangigen Rechts ohnehin verboten, wie sich etwa aus Art. 21 GRCh, Art. 3 III GG ergibt. Insoweit ist das Diskriminierungsverbot in Erwägungsgrund 71 DSGVO deklaratorisch und hat keinen eigenen Aussagegehalt. Die rechtliche Ausgangslage ist allerdings eine andere, wenn es – wie im Fall von personalisierten Preisen – um Rechtsverhältnisse zwischen Privaten geht. Privatleute sind nicht unmittelbar an die verfassungsrechtlichen Gebote und Verbote gebunden, da sie nicht hoheitlich, sondern privatautonom handeln. Ein generelles Diskriminierungsverbot besteht für sie nicht. Um für private Normadressaten ein solches aufzustellen, ist angesichts der grundrechtlichen Relevanz eines solchen Verbots eine gesetzliche Grundlage notwendig. Ausschließlich auf einen Erwägungsgrund kann ein solches Verbot nicht gestützt werden. Die Frage ist also, ob der Verantwortliche (hier: der Anbieter) auch den erhöhten Anforderungen des in Erwägungsgrund 71 DSGVO enthaltenen Diskriminierungsverbots genügen muss, obwohl es in seiner dortigen Form nicht im Wortlaut des verfügenden Teils enthalten ist.
Konkret ist zu prüfen, ob einer der Datenschutzgrundsätze des Art. 5 I DSGVO im Kontext von Profiling inhaltlich durch das Diskriminierungsverbot des Erwägungsgrundes 71 DSGVO konkretisiert und normativ ausgefüllt werden kann. Dies wäre dann auch von privaten Anbietern zu beachten, wenn sie Profiling zum Zwecke der Preispersonalisierung einsetzen. Ansonsten wäre der Erwägungsgrund nur deklaratorisch für staatliches Handeln. Dogmatisch sind verschiedene Ansatzpunkte denkbar, um Art. 5 I DSGVO auszulegen: Über die Erwägungsgründe hinaus kommen die übrigen Regelungen im verfügenden Teil sowie grundrechtrechtliche Wertungen in Betracht, die mittelbare Geltung bei der Auslegung von Generalklauseln entfalten.
bb. Konkretisierung der Datenschutzgrundsätze
Die allgemeinen Datenschutzgrundsätze des Art. 5 I DSGVO haben jeweils einen eigenen Aussagegehalt, werden inhaltlich zugleich aber durch die restlichen Normen der Datenschutz-Grundverordnung konkretisiert.144 Insofern besteht eine Wechselwirkung zwischen den allgemeinen und den speziellen Regelungen des verfügenden Teils. Art. 9 I DSGVO dient u. a. dem Schutz vor Diskriminierung, indem er für die Verarbeitung sensibler Daten erhöhte Zulässigkeitsvoraussetzungen postuliert.145 Er transferiert die Wertungen des Art. 21 GRCh in den verfügenden Teil der Datenschutz-Grundverordnung, indem er anerkennt, dass einige der von ihm besonders geschützten Merkmale einem besonderen Diskriminierungsrisiko unterliegen.146 Der Gedanke hinter der Norm ist, dass eine Diskriminierung aufgrund Zugehörigkeit zu einer geschützten Gruppe dadurch faktisch erschwert oder unmöglich gemacht wird, dass die einschlägigen Informationen gar nicht erst verarbeitet und verbreitet werden.147 Art. 9 DSGVO verbietet damit nicht die Diskriminierung als solche. Er setzt stattdessen im Vorfeld einer drohenden Diskriminierung an und erschwert diese dadurch, dass seitens des Betroffenen deutlich erhöhte Einflussnahme- und Kontrollmöglichkeiten im Vergleich zu den Vorgaben des Art. 6 I S. 1 DSGVO bestehen.148 Der auf diese Weise bezweckte Diskriminierungsschutz soll zudem gerade auch im Kontext von Profiling und automatisierten Einzelentscheidungen Geltung erlangen, wie aus Art. 22 IV DSGVO ersichtlich wird: Es gelten erhöhte Anforderungen an Ausnahmen vom grundsätzlichen Verbot vollständig automatisierter Einzelentscheidungen, soweit diese auf sensiblen Daten i. S. d. Art. 9 DSGVO beruhen und demzufolge eine erhöhte Diskriminierungsgefahr für den von der Entscheidung Betroffenen besteht.149 Art. 9 I und 22 IV DSGVO enthalten also die grundsätzliche Wertung, dass im Kontext von Profiling eine Diskriminierung aufgrund der Zugehörigkeit zu einer geschützen Gruppe auch zwischen Privaten abzulehnen ist. Diese Wertung kann bei der Auslegung der in Art. 5 I DSGVO enthaltenen Datenschutzgrundsätze herangezogen werden. Damit bestehen dogmatische Anknüpfungspunkte innerhalb des verfügenden Teils, die für die Existenz eines Diskriminierungsverbotes sprechen, welches auch Private verpflichtet.
Denkbar wäre, dass das Diskriminierungsverbot des Erwägungsgrundes 71 DSGVO in den Grundsatz der Rechtmäßigkeit der Datenverarbeitung gem. Art. 5 I lit. a DSGVO hineingelesen werden kann. Dieser besagt, dass personenbezogene Daten immer „auf rechtmäßige Weise“ verarbeitet werden müssen. Nach vorzugswürdigem engem Verständnis bedeutet dies aber nur, dass für das komplette Ausmaß der Datenverarbeitung eine Rechtsgrundlage vorliegen muss.150 Der Grundsatz der Rechtmäßigkeit zielt also nur auf das „Ob“ der Datenverarbeitung ab, nicht auf das „Wie“. Die Geltung des hier diskutierten Diskriminierungsverbots ist aber unabhängig von der Frage, ob die Vorgaben des Art. 6 I S. 1 DSGVO erfüllt sind. Art. 5 I lit. a DSGVO kann also nicht als Anknüpfungspunkt für das Diskriminierungsverbot des Erwägungsgrundes 71 DSGVO fruchtbar gemacht werden.
Tauglicher Anknüpfungspunkt ist aber der Grundsatz der „Verarbeitung nach Treu und Glauben“ i. S. d. Art. 5 I lit. a DSGVO. Dieser stellt einen Auffangtatbestand dar, welcher sich auf Sachverhalte bezieht, „in denen die betroffene Person durch eine Verarbeitung ihrer personenbezogenen Daten einen Nachteil erfährt, der dem durch die DS-GVO etablierten Gesamtbild des Kräftegleichgewichts zwischen der betroffenen Person und dem Verantwortlichen widerspricht, ohne zwingend gegen ein konkretes gesetzliches Verbot zu verstoßen.“151 Profiling zeichnet sich dadurch aus, dass natürliche Personen bewertet werden und ihnen diese Bewertung zugerechnet wird. Bei Preispersonalisierung soll so die Zahlungsbereitschaft des Einzelnen bestimmt werden. Die zugrunde liegenden abstrakten Methoden und Aspekte wie z. B. die Gewichtung einzelner Faktoren bei der Erstellung einer Bewertung werden von ihren Verwendern im Regelfall nicht oder nur teilweise offengelegt.152 Personalisierte Preise sind aus Sicht der Kunden hinsichtlich ihrer Methoden und ihrer Wirkmechanismen häufig undurchsichtig. Aufgrund der grundsätzlichen kundenseitigen Ablehnung haben Anbieter zudem einen Anreiz, den Einsatz von Preispersonalisierung zu verschleieren. Der Anbieter ist damit im Verhältnis zum Kunden regelmäßig in einer überlegenen Position: Er hat den technischen Vorsprung (das Profiling-Verfahren), kombiniert mit einem Informationsvorsprung (personenbezogene Daten des Betroffenen, abstrakte Vergleichsdaten sowie die Ergebnisse des Profilings als „neue“ Daten, die eine Aussage über den Kunden treffen).
Angesichts dieser ungleichen Kräfteverteilung ist es dem Anbieter nach Treu und Glauben zumutbar, Profiling in einer Art und Weise auszuführen, die keine geschützten Gruppen diskriminiert. Eine zu weitgehende, überschießende Auslegung des Art. 5 I lit. a DSGVO liegt nicht vor, da Erwägungsgrund 71 DSGVO sich nur auf Profiling, nicht aber andere Arten der Datenverarbeitung bezieht. Der Anwendungsbereich des Verbots ist demnach auf bestimmte Konstellationen begrenzt. Ein weitreichendes, generell gefasstes Diskriminierungsverbot – wie es etwa in § 19 I AGG enthalten ist – besteht nicht.
Für das gefundene Ergebnis spricht darüber hinaus, dass grundrechtliche Wertungen auch zwischen Privaten mittelbare Wirkung entfalten können. Für privatrechtliche Vorschriften gilt, dass diese in grundrechtskonformer Weise auszulegen sind.153 Zudem dient die Datenschutz-Grundverordnung ausweislich des Art. 1 II DSGVO auch dem Schutz von Grundrechten. Art. 5 I lit. a DSGVO ist insoweit ein tauglicher, generalklauselartiger Anhaltspunkt, um den verfassungsrechtlich gebotenen Diskriminierungsverboten auch im Verhältnis zwischen Privaten Geltung zu verschaffen.
2. Zwischenergebnis
In das Gebot der Datenverarbeitung nach Treu und Glauben, Art. 5 I lit. a DSGVO, lässt sich ein Diskriminierungsverbot nach Maßgabe des Erwägungsgrundes 71 II DSGVO hineinlesen. Daraus folgt, dass für den Anbieter eine datenschutzrechtliche Verpflichtung besteht, Preispersonalisierung diskriminierungsfrei auszugestalten. Ein Verstoß dagegen ist bußgeldbewehrt, Art. 83 V lit. a DSGVO. Konkret bezieht sich das Verbot der Schlechterbehandlung geschützter Gruppen auf das Profiling, also die Datenauswertung zwecks Bestimmung des Reservationspreises der Kunden. Die in Erwägungsgrund 71 II DSGVO verwendete Formulierung „zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat“ macht deutlich, dass das Verbot sich gleichermaßen auf Formen unmittelbarer und mittelbarer Diskriminierung bezieht. Eine Rechtfertigungsmöglichkeit o. Ä. sieht die Datenschutz-Grundverordnung nicht vor. Richtigerweise wird das hier entwickelte Diskriminierungsverbot aber nicht bedingungslos gelten können, sondern muss im Rahmen einer Güter- und Interessenabwägung einer Rechtfertigung offenstehen. Auf Seiten der Kunden ist dabei der Schutz vor Diskriminierung zu beachten, auf Seiten des Anbieters die unternehmerische Freiheit und Privatautonomie. Das eingangs diskutierte EuGH-Urteil Test-Achats vermag dabei eine gewisse (wenngleich nicht sonderlich nuancierte) Hilfestellung zu geben: Es stellt den Diskriminierungsschutz des Einzelnen deutlich über die wirtschaftlichen Interessen des Anbieters. Eine wertende Einzelfallbetrachtung ist dennoch unumgänglich. Insofern wird auf die Diskussion im Kontext von § 19 I AGG verwiesen.154
III. Dritte Stufe: Entscheidungsfindung und -ausführung
1. Datenschutzrecht
Für die Frage, wie im Kontext personalisierter Preise im Online-Handel Entscheidungen gefällt und ausgeführt werden, ist aus datenschutzrechtlicher Sicht das grundsätzliche Verbot automatisierter Einzelentscheidungen i. S. d. Art. 22 DSGVO relevant.155
a. Anwendbarkeit (Art. 22 I DSGVO)
Der Anwendungsbereich von Art. 22 I DSGVO ist eröffnet, wenn die Personalisierung von Preisen dazu führt, dass die betroffenen Kunden „einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen“ werden, die ihnen gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.
aa. Automatisierte Einzelentscheidung
Eine Entscheidung kann als „Festlegung auf ein bestimmtes Ergebnis“156 definiert werden.157 Wenn ein Anbieter auf Methoden des Personalised Pricings zurückgreift, kann also stets von einer Entscheidung i. S. d. Art. 22 I DSGVO ausgegangen werden. Sie liegt ab dem Moment vor, in dem der Anbieter sich aufgrund der Ergebnisse des Profilings entschließt, den Preis einem bestimmten Kunden gegenüber individuell anzupassen oder eine Anpassung zu unterlassen.158 Dies geschieht bei Anbietern, die den Preis während des Surfens oder bereits im Moment des Seitenaufrufs anpassen, gänzlich automatisiert – also ohne jegliches Zutun eines Menschen – und basierend auf Profiling i. S. d. Art. 4 Nr. 4 DSGVO.159
bb. Erhebliche Beeinträchtigung
Schwieriger ist hingegen die Frage zu beantworten, ob personalisierte Preise dem einzelnen Kunden gegenüber rechtliche Wirkung entfalten oder ihn in ähnlicher Weise erheblich beeinträchtigen. Davon hängt ab, welche Fallkonstellationen von Art. 22 I DSGVO erfasst werden und welche Maßstäbe bei ihrer Bewertung anzulegen sind. Es ist unerheblich, ob das Setzen personalisierter Preise eine „rechtliche Wirkung“ entfaltet oder ob es „in ähnlicher Weise“ zu einer erheblichen Beeinträchtigung führt. Beide Alternativen haben die gleichen Rechtsfolgen. Eine trennscharfe Abgrenzung ist unnötig. Auch wenn individualisierte Preise den Kunden in der Praxis auf verschiedene Weise kommuniziert werden, geht damit also keine rechtliche Andersbehandlung einher. Daraus folgt wiederum, dass es keine Rolle spielt, ob Preispersonalisierung mittelbar oder unmittelbar kommuniziert wird. Diese aus der Regelungstechnik des Art. 22 I DSGVO ableitbare Betrachtungsweise, wonach die datenschutzrechtliche Bewertung primär auf das Ergebnis der Datenverarbeitung und die Auswirkungen auf den Einzelnen abstellt, nicht aber auf die vom Verantwortlichen zur Entscheidungsfindung herangezogene Technik, deckt sich mit dem Leitbild der Technikneutralität, wie er in Erwägungsgrund 15 DSGVO formuliert wird. Dies ist sachgerecht, da so Zufallsergebnisse vermieden und Umgehungsversuche der Anbieter unterbunden werden können. Dementsprechend kann es auch dahingestellt bleiben, wie das dem Kunden online gemachte Angebot zivilrechtlich zu qualifizieren ist, also ob es etwa ein bindendes Angebot i. S. d. § 145 BGB oder eine bloße invitatio ad offerendum darstellt.160
Beide Alternativen des Art. 22 I DSGVO setzen voraus, dass die Entscheidung eine (zumindest teilweise) nachteilige Komponente enthält.161 Dies ergibt sich aus dem Wortlaut der Norm („oder sie in ähnlicher Weise erheblich beeinträchtigt“). Dieser macht deutlich, dass auch die rechtliche Wirkung mit einer erheblichen Beeinträchtigung einhergehen muss, damit der Anwendungsbereich der Norm eröffnet ist. Auch der Sinn und Zweck von Art. 22 I DSGVO (Schutz des Betroffenen vor zu weitreichender Automatisierung) sprechen für diese Auslegung: Es ist kein Schutzbedürfnis des Betroffenen erkennbar, solange die ihn betreffende Entscheidung ausschließlich positive Auswirkungen für ihn hat.162 Die Verwendung personalisierter Preise eröffnet deshalb nicht automatisch den Anwendungsbereich des Art. 22 I DSGVO. Stattdessen ist eine Einzelfallbetrachtung notwendig.
cc. Diskriminierungsschutz
Die Rechtsfolge von Art. 22 I DSGVO ist ein grundsätzliches Handlungsverbot. Dieses lässt sich unter bestimmten Voraussetzungen auch für Fallkonstellationen fruchtbar machen, in denen Preispersonalisierung mit der systematischen Schlechterstellung geschützter Gruppen einhergeht. Die Beeinträchtigung i. S. d. Art. 22 I DSGVO muss im Kontext von Preispersonalisierung stets finanzieller Natur sein, da die Preishöhe die einzige individuell angepasste Variable ist: Durch die ökonomische Benachteiligung Einzelner kommt ggf. die normativ missbilligte Diskriminierung zum Ausdruck. Die Beantwortung der Frage, in welchen Situationen Art. 22 I DSGVO geschützten Gruppen tatsächlich Schutz gewähren kann, findet ihren Ausgangspunkt also zwingend in der datenschutzrechtlichen Bewertung der finanziellen Andersbehandlung einzelner Kunden.
Wenn die auf Profiling basierende Preisanpassung beim konkreten Kunden zu einer ökonomischen Besserstellung gegenüber anderen führt, dann kann eine für Art. 22 I DSGVO relevante Beeinträchtigung von vornherein per se nur bejaht werden, wenn eine weitere Gruppe von Kunden einen noch besseren Preis erhält.163 Denkbar wäre etwa, dass ein Anbieter für seine Produkte einen Referenzpreis bestimmt, der standardmäßig von allen Kunden (Kundengruppe A) verlangt wird. Kunden der Gruppe B hingegen erhalten – aufbauend auf den Ergebnissen von Profiling, die Auskunft über ihre Zahlungsbereitschaft erlauben – einen Rabatt in Höhe von 10 %. Kunden der (noch preissensitiveren) Gruppe C erhalten einen Rabatt in Höhe von 20 %. Kunden der Gruppe C haben in dieser Konstellation keinen Nachteil: Sie werden ökonomisch am besten gestellt und erfahren keine Beeinträchtigung i. S. d. Art. 22 I DSGVO. Das Profiling und die darauf aufbauende Entscheidungsfindung haben für sie nur positive Folgen. Der Anwendungsbereich der Norm ist per se nicht eröffnet. Das im Kontext der Rechtsgrundlage Art. 6 I S. 1 lit. f DSGVO angeführte Argument, dass eine isolierte Betrachtung der geschützten Interessen des Einzelnen zu kurz käme und deshalb auch die Interessen von mittelbar beeinträchtigten Dritten (hier: die Interessen der Gruppen A und B) berücksichtigt werden müssen,164 kann im Kontext von Art. 22 I DSGVO nicht gelten. Die Norm bezieht sich ausweislich ihrer amtlichen Überschrift und angesichts ihrer internen Logik auf den Einzelfall. Es geht mithin nur um den konkret Betroffenen und die Auswirkungen, die die Entscheidung auf ihn hat.
Das genannte Beispiel zeigt eine weitere Fragestellung auf. Die Kundengruppen A und B werden hier „beeinträchtigt“, da sie keinen oder nur einen geringeren Rabatt im Vergleich zur Gruppe C erhalten. Unklar ist, ab wann eine rein ökonomische Beeinträchtigung als „erheblich“ i. S. d. Art. 22 I DSGVO eingestuft werden kann. Dieser Begriff ist normativ und wird von der Datenschutz-Grundverordnung nicht näher definiert. Da Einzelfallbetrachtungen geboten sind, sind pauschale Aussagen über die Erheblichkeit personalisierter Preise nicht möglich. Erwägungsgrund 71 DSGVO nennt beispielhaft u. a. „die automatische Ablehnung eines Online-Kreditantrags“ als Beispiel für eine gem. Art. 22 I DSGVO grundsätzlich unzulässige Entscheidung. Das Beispiel hat einen ökonomischen Charakter und ist deshalb im weiteren Sinne mit Preispersonalisierung vergleichbar. Es betrifft einen Extremfall, da es sich auf die gänzliche Ablehnung des Antrags bezieht. Übertragen auf Preispersonalisierung entspräche dies dem – ohne Zweifel erheblich beeinträchtigenden – Fall, dass eine Preisanpassung so massiv ist, dass der Betroffene aufgrund seiner persönlichen Aspekte nahezu oder tatsächlich am Zugang zu einem Gut gehindert wird.165 In der Praxis zu erwarten ist dieser Fall kaum. Der Anbieter hat so lange kein Interesse daran, einen Preis zu verlangen, der über dem Reservationspreis des Kunden liegt, solange er bei einem Preis in Höhe des Reservationspreises (oder bei einem niedrigeren Preis) noch Gewinn macht. Auch kann er im Regelfall Preise de facto nicht frei setzen, sondern unterliegt den Beschränkungen des Wettbewerbs. Ein Ausnutzen einer erkannten Zahlungsbereitschaft wäre allenfalls denkbar in einer (dann ggf. kartellrechtlich relevanten) Monopolsituation, in der der Kunde auf ein bestimmtes Gut oder eine bestimmte Dienstleistung zwingend angewiesen ist, etwa bei speziellen Medikamenten oder Gütern der Daseinsvorsorge.166 In anders gelagerten Fällen, in denen die Beeinträchtigung des Einzelnen rein ökonomischer Natur ist und dieser realistische Ausweichmöglichkeiten auf andere Anbieter hat, wird eine geringfügige finanzielle Beeinträchtigung im Vergleich zu Dritten im Regelfall nicht die Erheblichkeitsschwelle des Art. 22 I DSGVO übersteigen. Ein anderes Ergebnis wäre nicht mit der unternehmerischen Freiheit des Anbieters vereinbar. Dem Grunde nach steht es diesem frei, Preise nach Belieben zu setzen und von verschiedenen Kunden verschiedene Preise zu verlangen. Eine Einschränkung dieser Freiheit über Art. 22 DSGVO ist zum Schutz des Einzelnen zwar möglich. Sie muss aber verhältnismäßig sein. Dies kann im Einzelfall über das Erfordernis der Erheblichkeit der Beeinträchtigung sichergestellt werden. Sofern eine Andersbehandlung der Kunden bloß aufgrund unterschiedlicher Zahlungsbereitschaften stattfindet, dürfte der Anwendungsbereich der Norm in der Praxis angesichts der regelmäßig nur in geringem Ausmaß nachweisbaren Preispersonalisierung nur im Ausnahmefall eröffnet sein.167
Anders verhält es sich allerdings, wenn mit der finanziellen Ungleichbehandlung die systematische Diskriminierung geschützter Gruppen einhergeht. Das Tatbestandsmerkmal „erheblich“ ist normativ und ausfüllungsbedürftig. Mit Blick auf die Wertungen der Art. 9 I und 22 IV DSGVO sowie Erwägungsgrund 71 DSGVO, der im Zusammenspiel mit dem allgemeinen Datenschutzgrundsatz Art. 5 I lit. a DSGVO ein Diskriminierungsverbot formuliert, kann im Regelfall von einer erheblichen Beeinträchtigung ausgegangen werden, wenn die Preissetzung systematisch diskriminierende Wirkungen zu Lasten geschützter Gruppen hat.168 Auf ein Verschulden des Anbieters kommt es dabei nicht an. Er trägt die Verantwortung dafür, dass sein Preissetzungssystem keine diskriminierenden Wirkungen herbeiführt.
b. Ausnahmen (Art. 22 II DSGVO)
Wenn der Anwendungsbereich des Art. 22 I DSGVO eröffnet ist, ist die automatisierte Entscheidungsfindung nur dann zulässig, wenn eine der im zweiten Absatz der Norm vorgesehenen Ausnahmen greift.
aa. Erforderlichkeit
Eine die automatisierte Einzelentscheidung legitimierende Erforderlichkeit i. S. d. Art. 22 II lit. a DSGVO ist mit Blick auf Preispersonalisierung grundsätzlich kaum denkbar. Dies gilt unabhängig davon, ob durch sie geschützte Gruppen diskriminiert werden oder nicht.
Wie bereits im Kontext der Rechtsgrundlage Art. 6 I S. 1 lit. b DSGVO gesehen, ist Preispersonalisierung zwecks Gewinnmaximierung für den Anbieter zwar durchaus nützlich und ggf. Teil seiner Verkaufs- und Preissetzungsstrategie.169 Erforderlich i. S. d. Art. 22 II lit. a DSGVO ist sie in diesem Kontext aber weder für den Vertragsabschluss noch für die Vertragserfüllung.170 Die Anpassung von Preisen ist dem Anbieter auch ohne Profiling-basierte (und damit für das Recht auf informationelle Selbstbestimmung relevante) Datenverarbeitungsvorgänge möglich, namentlich im Rahmen dynamischer Preissetzung. Diese findet in der Praxis regelmäßig statt und ist datenschutzrechtlich betrachtet von ihrer Grundkonzeption her völlig neutral.
Eine Erforderlichkeit mag bejaht werden, sofern etwa die grundsätzliche Entscheidung für oder gegen eine Kreditgewährung oder über die Kreditmodalitäten ansteht.171 Die in diesen Fällen anzulegenden Maßstäbe sind im Kontext von Art. 22 II lit. a DSGVO allerdings nur bedingt auf Personalised Pricing übertragbar. Anders als dort handelt es sich dabei um grundlegende, mithin erforderliche Entscheidungen (kann der Kredit überhaupt vergeben werden?), die sich darüber hinaus nicht nur auf eine Bewertung persönlicher Aspekte, sondern ganz wesentlich auch auf die objektive, tatsächliche Leistungsfähigkeit des Betroffenen beziehen. In diesen Situationen ist die Erforderlichkeit aber objektiv begründet und damit deutlich früher zu bejahen als bei personalisierten Preisen. In aller Regel scheidet Art. 22 II lit. a DSGVO damit als Ausnahmetatbestand aus.
bb. Öffnungsklausel
Von der Öffnungsklausel des Art. 22 II lit. b DSGVO hat Deutschland mit verschiedenen Regelungen (etwa §§ 155 IV AO und 35a VwVfG) Gebrauch gemacht und insoweit automatisierte Einzelentscheidungen i. S. d. Art. 22 I DSGVO ermöglicht. Keine dieser Regelungen hat unmittelbare Relevanz für Preispersonalisierung im privatrechtlichen Bereich. Eine gewisse Sachnähe besteht einzig im Fall des § 37 I BDSG n.F. Diese Norm regelt unter expliziter Bezugnahme auf Art. 22 II lit. b DSGVO automatisierte Einzelentscheidungen im Rahmen der Leistungserbringung nach Versicherungsverträgen. Diese Norm ist aus verschiedenen Gründen missglückt. § 37 I Nr. 1 BDSG n.F. hebt das Verbot des Art. 22 I DSGVO in den Fällen auf, in denen dem Begehren des Betroffenen stattgegeben wird. Diese Fälle werden nach hier vertretener Ansicht per se gar nicht vom Anwendungsbereich des Art. 22 I DSGVO erfasst, weshalb die (zudem ohne ersichtlichen Grund rein sektorspezifisch erfolgte) Klarstellung unnötig ist.172
Auch die Regelung des § 37 I Nr. 2 BDSG n.F. kann dogmatisch nicht überzeugen. Sie bezieht sich auf die automatisierte Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen. Gemeint ist damit die Abrechnung von Leistungen privater Krankenversicherungen.173 Auch diese Norm widerspricht der hier vertretenen Auslegung des Art. 22 I DSGVO: Abrechnungsfälle, die nur eine „Anwendung verbindlicher Entgeltregelungen“ i. S. d. § 37 I Nr. 2 BDSG n.F. darstellen, erschöpfen sich in einer wertungsfreien Ausführung von im Vorfeld klar definierten Regeln, die mit Profiling nichts zu tun haben.174 Auch diese Fälle eröffnen per se aber gar nicht den Anwendungsbereich des Art. 22 I DSGVO.175 Der Schutz des Kunden vor zu weitgehender Automatisierung und Objektivierung, welcher mit dem Verbot des Art. 22 I DSGVO bzw. mit den in Art. 22 II lit. b DSGVO vorgesehenen angemessenen Maßnahmen einhergeht, schießt in solchen Fallkonstellationen über das Ziel hinaus. Konsequent weitergedacht, führt die Regelung des § 37 I Nr. 2 BDSG n.F. zu absurden Ergebnissen. Im Umkehrschluss könnte man aus ihr nämlich ableiten, dass ein wertendes, dem Profiling zumindest ähnliches Element auf Seiten des Anbieters im (nicht von § 37 I Nr. 2 BDSG n.F. erfassten) Regelfall nicht notwendig ist, um das grundsätzliche Verbot des Art. 22 I DSGVO zu aktivieren. Dies würde bedeuten, dass von der letztgenannten Norm beispielsweise auch der Fall erfasst wäre, dass ein Geldautomat bei unzureichender Kontodeckung eine Geldauszahlung verweigert. Dies hätte wiederum – die Bejahung der Ausnahmetatbestände Art. 22 II lit. a oder c DSGVO unterstellt – zur Folge, dass die Bank datenschutzrechtlich zur Bereitstellung angemessener Maßnahmen i. S. d. Art. 22 III DSGVO verpflichtet ist.176 Vom Telos des Art. 22 I DSGVO sind derlei Situationen aber weit entfernt.
Bei Zugrundelegung einer europarechtskonformen Auslegung kann § 37 I Nr. 1 und 2 BDSG n.F. demnach nur eine deklaratorische Funktion zugestanden werden. Würde man in ihm einen eigenständigen, regelnden Aussagegehalt sehen, hieße dies, dass die nationale Norm den Anwendungsbereich von Art. 22 I DSGVO definiert. Dies wäre allerdings von der Öffnungsklausel des Art. 22 II lit. b DSGVO nicht mehr gedeckt. Dem deutschen Gesetzgeber würde insoweit die Gesetzgebungskompetenz fehlen.
cc. Ausdrückliche Einwilligung
Die einzige im Kontext von Preispersonalisierung für den Anbieter verfügbare Ausnahme vom Verbot des Art. 22 I DSGVO ist das Einholen einer ausdrücklichen Einwilligung i. S. d. Art. 22 II lit. c DSGVO. Diese muss sich explizit auf das automatisierte Entscheiden und das Ausführen der Entscheidung beziehen.177 Es geht also um eine Einwilligung in das vom Anbieter gewählte Verfahren. Sie ist von der Einwilligung in die Datenverarbeitung zu unterscheiden, die der Entscheidung vorgelagert ist.
Eine automatisierte Einzelentscheidung, durch die ein Kunde aufgrund seiner Zugehörigkeit zu einer geschützten Gruppe schlechter behandelt wird als andere Kunden, kann nicht über Art. 22 II lit. c DSGVO legitimiert werden. Eine dahingehende explizite Einwilligungserklärung würde sich auf einen Zweck beziehen, der nicht legitim i. S. d. Art. 5 I lit. b DSGVO ist. Sie wäre unwirksam. Das gilt auch, wenn Anbieter und Kunde von der diskriminierenden Wirkung nichts wissen.178 Das Verbot des Art. 22 I DSGVO würde greifen.
Wenn keine Diskriminierung stattfindet und eine Legitimation per Einwilligung grundsätzlich möglich ist, bestehen aufgrund der geforderten Ausdrücklichkeit (Art. 22 II lit. c DSGVO) gesteigerte Anforderungen an die Art ihrer Erteilung. Diese gehen über die Vorgaben in Art. 6 I S. 1 lit. a, 4 Nr. 11 und 7 DSGVO hinaus.179 Letztlich besteht dann im Wesentlichen ein Gleichlauf mit dem bereits weiter oben festgehaltenen Ergebnis, dass nur eine Einwilligung i. S. d. Art. 6 I S. 1 lit. a DSGVO eine geeignete Rechtsgrundlage für das Erheben und Auswerten personenbezogener Daten zwecks Bestimmung des Reservationspreises des Kunden darstellen kann. Eine Einwilligung ist demnach, sofern die Erheblichkeitsschwelle überschritten und der Anwendungsbereich des Art. 22 I DSGVO eröffnet ist, auf allen drei Stufen des Modells notwendig. Für Anbieter und Kunden wird die ggf. notwendige Ausdrücklichkeit der Einwilligung gem. Art. 22 II lit. c DSGVO und der Bezug (auch) auf die dritte Stufe de facto keinen wesentlichen Unterschied machen, da aus Sicht der Kunden das Durchlaufen aller drei Stufen wie ein einheitlicher Vorgang erscheinen dürfte und ohnehin hohe Anforderungen an die Einwilligungserteilung im Kontext des Art. 6 I S. 1 lit. a DSGVO gelten.
dd. Art. 22 IV DSGVO
Einen indirekten Schutz vor Diskriminierung bewirkt Art. 22 IV DSGVO. Demnach darf eine ausnahmsweise zulässige automatisierte Einzelentscheidung grundsätzlich nicht auf sensiblen – und mithin besonders diskriminierungsgeeigneten – Daten i. S. d. Art. 9 I DSGVO beruhen. Allerdings greift eine Rückausnahme von diesem Verbot, wenn ein Fall von Art. 9 II lit. a oder g180 DSGVO vorliegt und angemessene Maßnahmen i. S. d. Art. 22 IV DSGVO getroffen wurden. Im Kontext von Preispersonalisierung bedeutet dies, dass eine automatisierte Einzelentscheidung nur dann zulässig ist, wenn (über das Vorliegen der Voraussetzungen des Art. 22 II DSGVO hinaus) die ursprüngliche Datenverarbeitung, auf der die Entscheidung basiert, auf eine ausdrückliche Einwilligung i. S. d. Art. 9 II lit. a DSGVO gestützt wurde.181 Konkret muss diese sich auf Erhebung und Auswertung der Daten (Stufen 1 und 2 des Modells) beziehen. Der so bezweckte Diskriminierungsschutz ist indirekt: Art. 22 IV DSGVO verbietet – im Gegensatz zu Art. 22 I DSGVO – keine diskriminierenden Handlungen. Er erhöht bloß die Anforderungen, die ein Anbieter erfüllen muss, um sensible Daten in eine automatisierte Einzelentscheidung einfließen lassen zu dürfen. Das Einhalten dieser Anforderungen garantiert aber keinen Schutz vor Diskriminierung. Es erschwert diese bloß.
Für Preispersonalisierung spielt Art. 22 IV DSGVO keine Rolle: Anbieter müssen nach hier vertretener Ansicht ohnehin Einwilligungserklärungen für die Erhebung und Auswertung der notwendigen Daten einholen und, sofern sensible Daten betroffen sind, die erhöhten Anforderungen des Art. 9 II lit. a DSGVO beachten.
c. Rechtsfolgen und praktische Überlegungen
Sofern ein über eine ausdrückliche Einwilligung gerechtfertigter Fall des Art. 22 I DSGVO vorliegt, ist der Anbieter gem. Art. 22 III DSGVO verpflichtet, angemessene Maßnahmen zu treffen, „um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.“ Im Kern bedeutet dies, dass dem Kunden die Möglichkeit gegeben werden muss, zu bewirken, dass ein menschlicher Entscheider sich mit der getroffenen Entscheidung auseinandersetzt und diese unter Berücksichtigung des Standpunkts des Kunden und seiner Argumente inhaltlich überdenkt und ggf. abändert.182
Der tatsächliche Nutzen dieser Schutzmaßnahmen dürfte sich im Kontext von Preispersonalisierung beim Online-Handel mit Waren und Dienstleistungen in überschaubaren Bahnen bewegen. Zuiderveen Borgesius und Poort bilden etwa das Beispiel, dass eine Kundin aufgrund ihrer persönlichen Eigenschaften bei einem bestimmten Online-Anbieter einen erhöhten Preis für ein Produkt bezahlt hat und dies im Nachgang realisiert.183 Aus Art. 22 III DSGVO lässt sich in dieser Situation das Recht der Kundin ableiten, in persönlichen Kontakt mit dem Anbieter zu treten184 und auf diesen etwa dahingehend einzuwirken, dass er den verlangten Preis wieder reduziert. Der Anbieter muss eine dahingehende Infrastruktur bereithalten. Einen Anspruch auf Abänderung der Entscheidung – hier also die nachträgliche Absenkung des Preises – gewährt Art. 22 III DSGVO nicht. Es ist unwahrscheinlich, dass Kunden sich im Nachgang zu einem abgeschlossenen Kauf mit dem Anbieter wie beschrieben in Verbindung setzen und ihm gegenüber argumentieren, dass ein anderer, niedrigerer Preis der „richtige“ gewesen sei. Aus Sicht eines wegen der Preisgestaltung verärgerten Kunden wäre ein Widerruf des Fernabsatzvertrages gem. §§ 312c, 312g I, 310 III, 355 BGB nahe liegender. Es stünde ihm zudem frei, unter Ankündigung der sonstigen Geltendmachung des ihm zustehenden Widerrufsrechts eine nachträgliche Reduktion einzufordern. Das Schutzsystem des Art. 22 III DSGVO bringt ihm in dieser Situation keinen echten Mehrwert.
Der Nutzen der Norm zeigt sich stattdessen in anderen Entscheidungskonstellationen, die für den Kunden mit weitreichenderen wirtschaftlichen und sozialen Folgen verknüpft sind. Die in Erwägungsgrund 71 DSGVO genannten, ihrer Natur nach eingriffsintensiveren Beispiele (Ablehnung eines Kreditantrags sowie voll automatisierte Einstellungsverfahren) verdeutlichen viel besser das Bedürfnis nach Schutz vor zu starker Automatisierung und Objektivierung des Einzelnen und die damit verknüpfte Notwendigkeit, vom Verantwortlichen die Bereitstellung angemessener Maßnahmen i. S. d. Art. 22 III DSGVO zu verlangen. Bei beiden in Erwägungsgrund 71 DSGVO beispielhaft genannten Konstellationen bestehen typischerweise ungleiche Machtverhältnisse zwischen den Beteiligten (Kreditantragsteller – Bank sowie Arbeitssuchender – Arbeitgeber). Der typische Kreditantragsteller bzw. Arbeitssuchende ist somit von vornherein in einer schwächeren Position. Bedient sich ihr Gegenüber in dieser Situation eines Entscheidungsfindungssystems, welches in den Anwendungsbereich des Art. 22 I DSGVO fällt und einseitige, für den Betroffenen nachteilige Entscheidungen trifft, sind die Folgen für ihn weitreichender, als es bei Online-Preispersonalisierung der Fall ist. Auch strukturell besteht ein bedeutender Unterschied zwischen den Fallkonstellationen: Der Kunde nimmt den personalisierten Preis ggf. aus freien Stücken an und tätigt den Kauf freiwillig. Es besteht damit gerade nicht die Situation eines faktischen einseitigen Unterworfenseins aufgrund unterschiedlich verteilter wirtschaftlicher Macht, wie es bei der Kredit- und der Einstellungsentscheidung der Fall ist. Vielmehr hat der Kunde nach dem Treffen und Ausführen der anbieterseitigen Entscheidung (die sich in der Preishöhe widerspiegelt) aktiven Einfluss darauf, ob und unter welchen Bedingungen der Vertrag mit dem Anbieter zustande kommt.
d. Zwischenergebnis
Bei Zugrundelegung rein ökonomischer Bewertungsmaßstäbe spielt Art. 22 DSGVO im Kontext von Preispersonalisierung eine eher untergeordnete Rolle. Art. 22 I DSGVO ist nur anwendbar, wenn der Kunde im Einzelfall erheblich beeinträchtigt wird. Zahlreiche Fallkonstellationen dürften mangels Erheblichkeit der Preisdifferenz zu anderen Kunden (bzw. Kundengruppen) somit von vornherein gar nicht von der Norm erfasst sein. Sollte ein Anbieter „erheblich“ differenzieren wollen, müsste er eine ausdrückliche Einwilligung i. S. d. Art. 22 II lit. c DSGVO einholen. Praktisch macht dies für ihn keinen wesentlichen Unterschied: Um Profiling-basierte Preispersonalisierung zu betreiben, muss ohnehin eine Einwilligung des Kunden i. S. d. Art. 6 I S. 1 lit. a DSGVO vorliegen. Die Erklärung müsste entsprechend angepasst werden. Die dem Anbieter ggf. erwachsenden Pflichten aus Art. 22 III DSGVO sind relativ unbedeutend. Dem Kunden stehen im Nachgang zum Vertragsschluss effektivere zivilrechtliche Möglichkeiten zur Verfügung, um sich vom Vertrag wieder zu lösen oder eine nachträgliche Preisreduktion auszuhandeln. Dies liegt daran, dass das Schutzsystem des Art. 22 III DSGVO eher auf solche Fälle ausgelegt ist, in denen der Betroffene sich in einer systematisch deutlich unterlegenen Position befindet.
Von vornherein anders verhält sich die Rechtslage, wenn automatisierte Einzelentscheidungen die Kunden aufgrund ihrer Zugehörigkeit zu einer geschützten Gruppe systematisch schlechterstellen: In diesen Fallkonstellationen liegt stets eine erhebliche Beeinträchtigung i. S. d. Art. 22 I DSGVO vor. Auf eine Ausnahme nach Art. 22 II DSGVO kann der Anbieter sich dann nicht berufen. Art. 22 I DSGVO postuliert damit ein effektives datenschutzrechtliches Verbot von Preissetzungsmethoden, die zu einer systematischen Diskriminierung geschützter Gruppen führen.
2. Lauterkeitsrecht
Das Gesetz gegen den unlauteren Wettbewerb ist im Kontext von Preispersonalisierung vor allem unter dem Aspekt der Transparenz und der Preiskommunikation relevant. Aus den dahingehenden Transparenzpflichten folgt ein indirekter Schutz vor unzulässiger Diskriminierung geschützter Gruppen. Einschlägige diesbezügliche Handlungsverbote – vergleichbar mit Art. 22 I DSGVO und § 19 I AGG – sind allerdings nicht ersichtlich.
Anzeige
a. Per se-Verbot (§ 3 III UWG i. V. m. Anhang Nr. 18)
Es wäre denkbar, dass die Verwendung personalisierter Preise (unabhängig davon, ob die Personalisierung mittelbar oder unmittelbar durchgeführt wird) als unwahre Angabe über die Marktbedingungen unter das per se-Verbot des § 3 III UWG i. V. m. Anhang Nr. 18 fällt. Ein Verstoß gegen die im Anhang aufgeführten geschäftlichen Handlungen ist gem. § 3 III UWG ohne Weiteres lauterkeitsrechtlich unzulässig. Gem. Nr. 18 des Anhangs ist „eine unwahre Angabe über die Marktbedingungen (…), um den Verbraucher dazu zu bewegen, eine Ware oder Dienstleistung zu weniger günstigen Bedingungen als den allgemeinen Marktbedingungen abzunehmen oder in Anspruch zu nehmen“ stets unlauter. Der relevante Verkehrskreis bestimmt sich nach den Vorgaben des § 3 IV UWG.
Dieses Verbot könnte in den Fällen einschlägig sein, in denen der personalisierte Preis im Einzelfall höher liegt (und mithin eine weniger günstige Bedingung darstellt), als es die allgemeinen Marktbedingungen gebieten. Wegen der pauschal eintretenden lauterkeitsrechtlichen Unzulässigkeit, die mit einem Verstoß gegen § 3 III UWG einhergeht, ist eine restriktive Auslegung der Norm geboten. Daher wird ein deutlich höherer185 Preis im Vergleich zu anderen Anbietern notwendig sein, um das Vorliegen von weniger günstigen Bedingungen i. S. d. Anhangs Nr. 18 bejahen zu können.186 Rechtliche Kernfrage ist hier, ob der Einsatz personalisierter Preise eine „unwahre Angabe über die Marktbedingungen“ darstellen kann. Am ehesten in Betracht kommen Fälle der unmittelbaren Preispersonalisierung, da diese eine Preisänderung – in diesem Fall: Anhebung des Preises – ohne für den Kunden erkennbare Rechtfertigung darstellen. Der Begriff Marktbedingungen erfasst „grundsätzlich alle Umstände, die für alle Anbieter dieses Produktes (oder dieser Dienstleistung) auf dem fraglichen Markt gelten und die in irgendeiner Weise Auswirkungen auf das Preisniveau, die Qualität oder die Leistungserbringung haben.“187 Im Kontext des Anhangs Nr. 18 ist vor allem das generelle Preisniveau als einer der für den Kunden wichtigsten, durchaus kaufentscheidenden Faktoren von Bedeutung.188 Über dieses müsste der Anbieter den Kunden durch den Einsatz personalisierter Preise absichtlich (vgl. den Wortlaut: „um (…) zu“)189 täuschen, um ihn zu einem für ihn nachteiligen Kauf zu bewegen.
Aus verschiedenen Gründen ist das per se-Verbot des § 3 III UWG i. V. m. Anhang Nr. 18 im Kontext von Preispersonalisierung allerdings nicht einschlägig. Die Angabe eines personalisierten Preises ist keine falsche, also aus objektiver Sicht unwahre,190 Aussage über Marktbedingungen, wie in Anhang Nr. 18 vorausgesetzt wird. Sie enthält nämlich gar keine Aussage über das Niveau des Marktpreises, wie etwa dass andere Anbieter höhere Preise verlangen oder ungünstigere, mit dem Kauf verbundene Leistungsbedingungen aufweisen. Auch ist kein Erklärungsgehalt dahingehend gegeben, welche Preise der Anbieter von anderen Kunden verlangt. Eine solche sachlich falsche Information191 über die Preisgestaltung anderer Anbieter bzw. im Verhältnis zu den anderen (eigenen) Kunden kann nicht einmal konkludent in die Preisangabe hineingelesen werden.192 Es kann damit dahingestellt bleiben, ob eine ausdrückliche Erklärung über die Marktbedingungen notwendig ist, um den Tatbestand des Anhangs Nr. 18 zu erfüllen, oder ob eine konkludente auszureichen vermag.193 Mangels Aussage über das Niveau des Marktpreises liegt also auch keine Täuschung darüber vor. Der Anbieter schafft bzw. begünstigt durch sein Verhalten zudem keine Situation, die den Kunden daran hindert, den Preis mit den Angeboten anderer Händler bzw. Dienstleistungsanbieter zu vergleichen.194 Stattdessen wird der Kunde, indem ihm „sein“ Preis angezeigt wird, bloß in zutreffender Weise über den für ihn im bilateralen Verhältnis zum Anbieter gültigen Preis informiert. Dieser individuelle Preis spiegelt im Einzelfall die allgemeinen Marktbedingungen aus Sicht des betroffenen Kunden wider.195 Die letzte Aussage gilt umso mehr, sollten in Zukunft personalisierte Preise stärker zum gesellschaftlich akzeptierten Regelfall werden. Wäre – auf die Spitze getrieben – jeder Preis personalisiert, so hieße das im Umkehrschluss, dass es keinen einheitlichen Marktpreis mehr gibt und der Begriff der allgemeinen Marktbedingungen einen Bedeutungswandel erlebt.
Auch die bereits beschriebene Fallkonstellation, dass ein Anbieter in den Fällen, in denen ein bestimmtes Produkt über ein Preisvergleichsportal gesucht wird, automatisch den Preis auf der eigenen Seite ändert, fällt damit nicht unter das Verbot des Anhangs Nr. 18. Auch dort wird dem Kunden in der konkreten Situation nämlich der für ihn momentan gültige Preis angezeigt, ohne dass damit zugleich eine Aussage über die allgemeinen Marktbedingungen einhergeht.196
b. Preisbezogene Irreführung (§ 5 I UWG)
Gem. § 5 I UWG handelt unlauter, „wer eine irreführende geschäftliche Handlung vornimmt, die geeignet ist, den Verbraucher oder sonstigen Marktteilnehmer zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.“ Der Begriff der irreführenden geschäftlichen Handlung wird in § 5 II Nr. 2 UWG konkretisiert. Eine solche liegt demnach u. a. dann vor, wenn sie unwahre Angaben oder sonstige zur Täuschung geeignete Angaben enthält über „den Anlass des Verkaufs wie das Vorhandensein eines besonderen Preisvorteils, den Preis oder die Art und Weise, in der er berechnet wird, oder die Bedingungen, unter denen die Ware geliefert oder die Dienstleistung erbracht wird“.
Aus dem Gesetzestext lassen sich im Kontext von Preispersonalisierung zwei möglicherweise einschlägige, inhaltlich eng miteinander verwandte Fallgruppen von preisbezogener Irreführung ableiten. Denkbar wäre zunächst eine Irreführung über den Preis als solches bzw. die Art und Weise der Preisberechnung. Darüber hinaus käme eine Irreführung über das Vorhandensein eines besonderen Preisvorteils in Betracht.197
aa. Täuschung über den Preis oder Art und Weise der Preisberechnung
Bei einer Täuschung über den Preis oder Art und Weise der Preisberechnung geht es darum, dass der Anbieter beim Kunden bezüglich eines Produktes oder einer Dienstleistung eine Preisangabe tätigt, die bei diesem eine wahrheitswidrige Vorstellung mit der Folge auslöst, dass der Kunde irrtümlich von einem Preis ausgeht, der niedriger als der tatsächlich verlangte ist.198 Ein solches, durch den Anbieter provoziertes Auseinanderfallen von Vorstellung und Wirklichkeit liegt vor allem dann vor, wenn die vom Anbieter getätigten Angaben objektiv unrichtig, mehrdeutig oder unvollständig sind.199 § 5 II Nr. 2 UWG dient damit in erster Linie der Sicherstellung ausreichender Preiswahrheit.200 Dies wird ergänzt durch die Preisangabenverordnung, deren Zweck vor allem, aber nicht nur, in der Gewährleistung ausreichender Preisklarheit besteht.201 Sie zielt damit primär auf Transparenz ab: Preisangabe- und Preisauszeichnungsvorschriften sollen dafür sorgen, dass der Kunde ohne Weiteres und unmittelbar erkennen kann, welcher Preis gilt.202 Dadurch hat er die Möglichkeit eines einfachen Preisvergleichs mit anderen Anbietern. Funktional soll Preisklarheit dadurch sichergestellt werden, dass der Anbieter den Kunden auf sachlich zutreffende und vollständige Art und Weise über den Preis informiert.203 Aus diesem Grund muss beispielsweise der Gesamtpreis gem. §§ 3 I i. V.m. 2 Nr. 3 PAngVO bereits die Umsatzsteuer enthalten. Preiswahrheit ist aber ebenso ein erklärtes Ziel der Preisangabenverordnung, vgl. § 1 III S. 2 PAngVO. Ein dahingehender Verstoß stellt zugleich einen Verstoß gegen § 5 II Nr. 2 UWG dar,204 sodass insofern ein grundsätzlicher Gleichlauf zwischen dem Gesetz gegen den unlauteren Wettbewerb und der Preisangabenverordnung besteht.
Preispersonalisierung stellt angesichts des Gesagten in aller Regel aber keine Irreführung über den Preis bzw. die Art und Weise der Preisberechnung i. S. d. § 5 II Nr. 2 UWG dar.205 Der den Kunden angezeigte Preis ist der „wahre“ Preis, sodass kein Verstoß gegen den Grundsatz der Preiswahrheit vorliegt. Dies gilt unabhängig davon, ob Preise unmittelbar oder mittelbar angepasst werden: Der geforderte Preis entspricht dem Preis, der dem Kunden angezeigt wurde bzw. mit dem ihm gegenüber geworben wurde. Der Anbieter tätigt auch keine Erklärung darüber, welche Preise er von anderen Kunden verlangt bzw. – anders gewendet – dass er einen für alle Kunden gültigen Einheitspreis verwendet.206 Die Preiswahrheit wird mithin nicht etwa dadurch beschränkt, dass über die Relation des verlangten Preises zu den von anderen Kunden verlangten Preisen irregeführt wird.
Für dieses Ergebnis lassen sich auch die Grundsätze zur lauterkeitsrechtlichen Zulässigkeit der sog. Preisspaltung fruchtbar machen. Preisspaltung liegt beispielsweise dann vor, wenn das gleiche Produkt innerhalb eines Ladengeschäfts zu unterschiedlichen Preisen verkauft wird. Dies ist grundsätzlich zulässig, sofern der Anbieter den Kunden auf diesen Umstand hinweist.207 Andernfalls liegt eine Irreführung i. S. d. § 5 II Nr. 2 UWG vor.208 Anders formuliert ergibt sich die lauterkeitsrechtliche Unzulässigkeit einer Preisspaltung erst daraus, dass ein irreführendes Element gegeben ist. Bornkamm und Feddersen skizzieren etwa den Fall, dass „ein CD-Laden einige Stücke in einem Verkaufsstand am Eingang zu einem günstigeren Preis anbietet, um die Kunden in das Geschäft zu locken und Unentschlossene zu einem Kauf zu bewegen, während die gleiche Ware im Ladeninneren zu einem höheren Preis ausgezeichnet ist, weil man annimmt, dass der Kunde, der schon den Weg zum Regal gefunden habe, auch einen höheren Preis zu zahlen bereit sei (…).“209 Lauterkeitsrechtlich unzulässig ist auch die (vergleichbare) Situation, dass ein Anbieter explizit mit einem bestimmten, günstigen Preis wirbt, manche Einheiten des beworbenen Produkts im Ladengeschäft aber nicht nur mit diesem, sondern auch mit einem höheren Preis ausgezeichnet sind.210 Vertreten wird darüber hinaus, dass bei Produkten des täglichen Bedarfs eine lauterkeitsrechtliche Unzulässigkeit gem. § 5 II Nr. 2 UWG unabhängig davon gegeben ist, ob der Anbieter mit dem günstigeren der beiden im Ladengeschäft verlangten Preise wirbt.211 Begründet wird dies damit, dass die Situation auftreten kann, dass ein Kunde das fragliche Produkt bei einem Einkauf zum günstigeren Preis erwirbt und beim nächsten, zeitlich später gelagerten Einkauf, weiterhin vom niedrigeren Preis ausgehend, aus Versehen das teurer ausgezeichnete Produkt erwirbt. Dem Ergebnis ist zuzustimmen. Die zugrunde liegende Argumentation überzeugt aber nur teilweise. Verschiedene Preise innerhalb eines Ladengeschäfts, die nicht als solche gekennzeichnet sind, haben – unabhängig von der Art des Produktes – einen irreführenden Charakter und unterfallen deshalb zu Recht dem Irreführungsverbot. Der Kunde kann aber nicht pauschal davon ausgehen, dass die Preise in einem Ladengeschäft sich im Laufe der Zeit nicht ändern. Preisschwankungen (letztlich nichts anderes als Dynamic Pricing) sind normal und dem Durchschnittsverbraucher auch bekannt. Angesichts der Preisgestaltungsfreiheit des Anbieters kann im Kontext der lauterkeitsrechtlichen Zulässigkeit deshalb nur eine Argumentation überzeugen, die auf eine (nicht als solche kenntlich gemachte) Preisspaltung im gleichen Zeitpunkt abstellt. Eine Preisspaltung, die sich auf verschiedene Zeitpunkte bezieht, kann die Preiswahrheit nur im eingeschränkten Maße beeinträchtigen. Dem Kunden ist es nämlich zuzumuten, sich bei jedem Kauf über den momentan gültigen Preis zu informieren. Anders formuliert resultiert die lauterkeitsrechtlich relevante Irreführung nicht aus den verschiedenen Preisen zu verschiedenen Einkaufszeitpunkten, sondern aus dem Vorhandensein verschiedener Preise im gleichen Ladengeschäft im gleichen Zeitpunkt.
Preisspaltung und Preispersonalisierung weisen gewisse konzeptionelle Parallelen auf. Deshalb wäre es denkbar, dass die rechtlichen Überlegungen zur Zulässigkeit von Preisspaltung auf die rechtliche Bewertung von Preispersonalisierung übertragen werden können. Vom Ergebnis her betrachtet sind beide Formen der Preissetzung dadurch geprägt, dass verschiedene Kunden verschiedene Preise für das gleiche Gut bezahlen. Im Fall der Preisspaltung kommt dieser Effekt dadurch zustande, dass Kunden im Ladengeschäft nicht erkennen, dass das gleiche Produkt vor Ort auch günstiger erhältlich ist, und deshalb zur höher ausgepreisten Ware greifen. Im Fall der online stattfindenden Preispersonalisierung wird der Preis vom Anbieter einseitig zugewiesen und – je nach Art der Preispersonalisierung – dem Kunden auf mehr oder minder transparente Weise kommuniziert. Die ökonomischen Auswirkungen sind also vergleichbar. Eine vergleichbare Irreführung des Kunden ist hingegen nicht gegeben. Bei einer Preisspaltung stehen aus seiner Sicht mindestens zwei verschiedene Preise im Raum. Die Irreführung des Kunden ergibt sich daraus, dass nicht klar ist, welcher dieser Preise gilt. Die Preiswahrheit wird auch dadurch beeinträchtigt, dass die Situation auftreten kann, dass der Kunde de facto mehr zahlt, als ihm ursprünglich werblich in Aussicht gestellt wurde. Letzteres gilt vor allem in dem Fall, dass der niedrigere von zwei im Ladengeschäft ausgezeichneten Preisen beworben wurde, der Kunde im Geschäft aber nur das höher ausgezeichnete Produkt findet und letztlich kauft.
Beim Personalised Pricing hingegen ist die Situation anders, weshalb die der (nicht gekennzeichneten) Preisspaltung innewohnende Irreführungsgefahr kaum auftreten kann: Dem Kunden wird nur ein Preis angeboten. Dieser gilt in der kommunizierten Höhe. Mit diesem Preis ist keine Aussage des Anbieters verbunden, dass bei anderen Kunden bzw. auf anderen Vertriebswegen der gleiche Preis verlangt werde.212 Eine Irreführung über die Preishöhe aufgrund verschiedener „im Raume stehender“ Preise besteht damit nicht. Dies gilt auch dann, wenn der Preis wegen der Weiterleitung von einem Preisvergleichsportal angepasst wurde. In aller Regel wird nämlich in diesen Fällen der Preis abgesenkt, sodass es von vornherein an einer wettbewerbsrechtlichen Relevanz fehlt.213 Zum anderen wird technisch sichergestellt, dass dem Kunden nach der Weiterleitung – die den Kunden typischerweise erst auf die Seite des Anbieters geführt hat – nur ein konkreter, personalisierter Preis angezeigt wird.214
Aus Sicht des Kunden besteht damit ein wesentlicher Unterschied zwischen Preisspaltung und Preispersonalisierung. Eine tatsächliche und damit auch rechtliche Vergleichbarkeit der beiden Fallkonstellationen ist nicht gegeben. Vielmehr ist Preispersonalisierung aus Sicht des Kunden mit der Situation vergleichbar, dass ein Anbieter mit einem Kunden verhandelt und ihm einen Rabatt einräumt: In dieser Fallkonstellation ist klar, dass der einzelne Kunde einen anderen Preis zu zahlen hat als andere Kunden. Dies ist aus Sicht des Wettbewerbsrechts ohne Weiteres zulässig.215 Da Preiswahrheit und Preisklarheit gewahrt sind, ist mithin weder ein Verstoß gegen § 5 II Nr. 2 UWG noch gegen § 1 III S. 2 PAngVO erkennbar.
bb. Irreführung über das Vorhandensein eines besonderen Preisvorteils
Auch eine Irreführung über das Vorhandensein eines besonderen Preisvorteils ist bei personalisierten Preisen in der Regel nicht gegeben. Voraussetzung dafür wäre, dass dem Kunden gegenüber kundgetan oder zumindest suggeriert wird, er erhalte einen Preis angezeigt, der unter den sonst beim Anbieter üblichen Preisen liegt.216
Wenn unmittelbare Preispersonalisierung zum Einsatz kommt, wird dem Kunden gegenüber gerade aufgrund der ihr innewohnenden Intransparenz keine Aussage über einen etwaigen Preisvorteil getroffen: Der Anbieter tätigt in diesen Fällen eine schlichte, inhaltlich zutreffende Preisangabe, ohne diese mit einem darüber hinausgehenden Erklärungsgehalt zu verbinden. Über eine eigentlich nicht bestehende Bevorteilung wird der Kunde nicht getäuscht.217
Eine mittelbare Preispersonalisierung mittels Zuweisung eines Gutscheins, Coupons etc. wäre lauterkeitsrechtlich auch unproblematisch: Erhält der Kunde aufgrund einer festgestellten oder vermuteten erhöhten Preissensitivität einen Gutschein, den andere Kunden nicht erhalten, dann liegt für ihn tatsächlich ein „besonderer Preisvorteil“ vor. Eine Irreführung wäre also nicht gegeben. Schon keine Preispersonalisierung liegt hingegen vor, wenn diese Gutscheine an jeden Kunden verschickt werden, um jedem einzelnen gegenüber einen besonderen Preisvorteil zu suggerieren (welcher aufgrund der Versendung „an jedermann“ gerade nicht besteht). In einer anderen Fallkonstellation wäre ein Verstoß gegen § 5 II Nr. 2 UWG allerdings zu bejahen: Eine Irreführung läge vor, wenn der Anbieter eine niedrige Preissensitivität auf Seiten des Kunden erkennt und dieses Wissen nutzt, um vorzutäuschen, dass dieser Kunde gegenüber anderen einen besonderen Preisvorteil genießt, obwohl von ihm tatsächlich ein höherer Preis verlangt wird. Denkbar wäre etwa, dass ihm ein „Stammkundenrabatt“ vorgegaukelt wird, obwohl er mehr bezahlt als andere Kunden. Hier läge mittelbare Preispersonalisierung vor, da ihm die preisliche Andersbehandlung offen kommuniziert wird. In dieser konkreten Konstellation ist der Inhalt der Kundenkommunikation aber bewusst wahrheitswidrig. Das lauterkeitsrechtliche Verbot hat allerdings nichts mit einer Diskriminierung geschützter Gruppen zu tun. Im Kern geht es stattdessen um den Vorwurf der von der Rechtsordnung missbilligten preisbezogenen Irreführung.
c. Transparenzpflichten
aa. Irreführung durch Unterlassen (§ 5a I UWG)
Gem. § 5a I UWG handelt unlauter, „wer einen Verbraucher (…) irreführt, indem er ihm eine wesentliche Information vorenthält, (…) die der Verbraucher (…) nach den jeweiligen Umständen benötigt, um eine informierte geschäftliche Entscheidung zu treffen, und (…) deren Vorenthalten dazu geeignet ist, den Verbraucher (…) zu einer geschäftlichen Entscheidung zu veranlassen, die er andernfalls nicht getroffen hätte.“218 Es steht zur Diskussion, ob dem Anbieter aus dieser Vorschrift eine Pflicht erwächst, den Kunden ggf. dahingehend zu informieren, dass der von ihm verlangte Preis personalisiert ist. Dies ist zu bejahen: Aus Sicht des Kunden handelt es sich um eine wesentliche Information, wenn seine persönlichen Eigenschaften die Höhe des Preises beeinflussen.219 Angesichts der (noch) bestehenden Vorbehalte gegenüber Personalised Pricing ist denkbar, dass Kunden ihre Kaufentscheidung überdenken und eventuell ändern, wenn ihnen bewusst wird, dass von ihnen ein individualisierter Preis verlangt wird. Es kann dabei nicht unterstellt werden, dass der durchschnittliche Verbraucher mit personalisierten Preisen rechnet und dass ein solcher Hinweis dementsprechend überflüssiger Natur ist.220 Auch ist die Angabe, dass im Einzelfall ein personalisierter Preis verlangt wird, unabhängig von der Form der Preiskommunikation leicht zu realisieren. Sie deckt sich zudem mit den bereits festgestellten datenschutzrechtlichen Transparenzpflichten, die sich aus den Informationspflichten gem. Art. 13 und 14 DSGVO sowie aus den Anforderungen ergeben, die an eine wirksame (im Fall von Preispersonalisierung stets notwendige) Einwilligungserklärung gestellt werden.
Darüber hinausgehende Pflichten, etwa zur Angabe des nicht personalisierten Referenzpreises221 oder gar des von anderen Kunden durchschnittlich verlangten Preises,222 sind hingegen abzulehnen. Es besteht keine grundsätzliche Pflicht des Anbieters, seine Preise und ihr Zustandekommen zu erläutern. Dahingehende Rechenschaftspflichten über § 5a I UWG zu konstruieren, würde einen unverhältnismäßigen Eingriff in seine Vertragsfreiheit und seine unternehmerische Freiheit darstellen, zumal damit ein nicht unerheblicher Aufwand für den Anbieter verbunden wäre.223 Auch wäre fraglich, welcher tatsächliche Aussagegehalt (und damit Nutzen) etwa der Mitteilung eines Durchschnittspreises innewohnen würde. Es müsste geklärt werden, auf welchen Zeitraum sich dieser bezieht. Bei der Angabe des Durchschnittspreises ist zudem zu berücksichtigen, dass dieser in aller Regel auch das Ergebnis etwaiger dynamischer Preisschwankungen ist – also solcher, die gerade keine Personalisierung darstellen. Die Angabe des Durchschnittspreises, der von anderen Kunden gezahlt wurde, kann deshalb einen irreführenden Charakter einnehmen: Fallen der dem Kunden angezeigte Durchschnittspreis und der vom Kunden verlangte Preis auseinander, dann ist dies nicht nur das Ergebnis von Personalisierung. Der beabsichtigte Zweck, den Kunden aussagekräftig darüber aufzuklären, welchen quantitativen Unterschied die Preispersonalisierung in seinem konkreten Fall zeitigt, kann so nicht erfüllt werden.
bb. Informationspflicht („New Deal for Consumers“ 2019)
Die Modernisierungsrichtlinie224 sieht in ihrem Art. 4 Nr. 4 lit. a (ii) vor, dass die in Art. 6 Verbraucherrechte-RL enthaltenen Informationspflichten bei Fernabsatzverträgen (und bei außerhalb von Geschäftsräumen abgeschlossenen Verträgen) um die folgende erweitert werden: „gegebenenfalls den Hinweis, dass der Preis auf der Grundlage einer automatisierten Entscheidungsfindung personalisiert worden ist“. Diese Informationspflicht wurde (nahezu) wortgleich in Art. 246a § 1 I S. 1 Nr. 6 EGBGB aufgenommen und gilt seit dem 28.5.2022.225 Sie kommt über §§ 312d I S. 1, 312j II BGB u. a. bei Fernabsatzverträgen i. S. d. § 312c I BGB zur Anwendung.226 Damit sind sämtliche hier diskutierten Fallkonstellationen von ihr erfasst.
Erwägungsgrund 45 Modernisierungsrichtlinie führt zur Begründung aus, dass Preise „auf der Grundlage automatisierter Entscheidungsfindung oder227 Erstellung von Profilen des Verbraucherverhaltens“, welche die „Bewertung der Kaufkraft des Verbrauchers ermöglichen“, personalisiert werden können. Dabei wird ausdrücklich der Bezug zu der Methode des Profilings hergestellt. Dementsprechend – und im Einklang mit der hier vertretenen Definition des Begriffs „Preispersonalisierung“ – wird ausgeführt, dass die Informationspflicht nur bei der Personalisierung von Preisen, nicht aber bei dynamischer Preissetzung gilt, bei der „sich der Preis in sehr flexibler und schneller Weise in Abhängigkeit von der Marktnachfrage ändert, ohne dass diese Techniken eine Personalisierung auf der Grundlage automatisierter Entscheidungsfindung umfassen.“228 Zudem stellt der Erwägungsgrund unter Bezugnahme auf Art. 22 DSGVO klar, dass datenschutzrechtliche Pflichten unberührt bleiben.
Die neu eingeführte Informationspflicht des Art. 246a § 1 I S. 1 Nr. 6 EGBGB ist keine lauterkeitsrechtliche. Sie ist im Verbraucherschutzrecht des Bürgerlichen Gesetzbuchs angesiedelt. Für die hier diskutierten Fallkonstellationen, in denen ein Anbieter (als Unternehmer) einem Kunden (als Verbraucher) im Kontext eines Fernabsatzvertrages gegenübersteht, macht dies vom Ergebnis her keinen Unterschied. Die neue Informationspflicht entspricht der zuvor aus § 5a I UWG abgeleiteten Aufklärungspflicht.229 Es handelt sich dabei um eine Information, die „dem Verbraucher (…) nach Rechtsvorschriften zur Umsetzung unionsrechtlicher Richtlinien für kommerzielle Kommunikation einschließlich Werbung und Marketing nicht vorenthalten werden“ darf i. S. d. § 5b IV UWG. Insoweit hat sich die (hier bejahte) Frage, ob eine Aufklärungspflicht aus § 5a I UWG abgeleitet werden kann, seit dem 28.5.2022 im Wesentlichen erübrigt.230
Es besteht nur die Pflicht zur Mitteilung, dass der Preis ggf. personalisiert wurde. Auch dies spricht für die oben ausgeführte Argumentation, dass eine darüber hinausgehende Verpflichtung zur Mitteilung von Referenz- oder Durchschnittspreisen zu weitreichend wäre.
d. Verbrauchergeneralklausel (§ 3 II UWG)
Abschließend steht zur Diskussion, ob der Einsatz personalisierter Preise gegen die Verbrauchergeneralklausel des § 3 II UWG verstoßen kann. Bejahendenfalls wäre denkbar, dass auch die Diskriminierung geschützter Gruppen über diese Norm erfasst werden kann.
Gem. § 3 II UWG sind geschäftliche Handlungen unlauter, „die sich an Verbraucher richten oder diese erreichen, (…) wenn sie nicht der unternehmerischen Sorgfalt entsprechen und dazu geeignet sind, das wirtschaftliche Verhalten des Verbrauchers wesentlich zu beeinflussen.“ Bei dieser Norm handelt es sich um einen Auffangtatbestand, welcher zu den §§ 3 III i. V. m. dem Anhang, 4a, 5, 5a UWG subsidiär ist.231 Da die UGP-Richtlinie Vollharmonisierung bezweckt, ist eine restriktive Auslegung der Verbrauchergeneralklausel geboten. Ansonsten wäre ein nicht mehr richtlinienkonformes Auseinanderfallen der Regelungsniveaus in den einzelnen Mitgliedstaaten zu befürchten.232 Die Mitgliedstaaten dürfen dementsprechend „keine strengeren als die in der Richtlinie festgelegten Maßnahmen erlassen (…), und zwar auch nicht, um ein höheres Verbraucherschutzniveau zu erreichen (…).“233
Eine geschäftliche Handlung, die sich an Verbraucher richtet, liegt bei personalisierten Preisen vor. Im Kern geht es um die Frage, ob ihr Einsatz gegen die unternehmerische Sorgfalt verstößt und zur wesentlichen Beeinflussung des wirtschaftlichen Verhaltens der Verbraucher geeignet ist. Die Tatbestandsmerkmale „unternehmerische Sorgfalt“ sowie „wesentliche Beeinflussung des wirtschaftlichen Verhaltens des Verbrauchers“ werden in § 2 I Nr. 9 und 11 UWG legaldefiniert. Das Abstellen auf „Treu und Glauben unter Berücksichtigung der anständigen Marktgepflogenheiten“ (§ 2 I Nr. 9 UWG) im Kontext der unternehmerischen Sorgfalt macht eine normative Auslegung der Verbrauchergeneralklausel notwendig. Diese richtet sich nach europarechtlichen Maßstäben, nicht nach solchen des nationalen Rechts.
Für einen Verstoß gegen § 3 II UWG könnte grundsätzlich sprechen, dass ein Anbieter, der Profiling betreibt, um Preise zu personalisieren, sich der personenbezogenen Daten des Kunden bedient, um sich einen Wissensvorsprung zu verschaffen. Dieser Wissensvorsprung hat verschiedene Facetten. Der Anbieter kennt den Reservationspreis des Kunden mehr oder weniger genau, und kann diesen Umstand nutzen, indem er den Preis gezielt anpasst. Auch wenn ein vollständiges Ausreizen des Reservationspreises des Kunden in aller Regel nicht möglich sein wird, kann doch davon ausgegangen werden, dass diese Methoden – wenn sie vorkommen – darauf abzielen, in der Summe der Gewinnmaximierung des Anbieters zu dienen. Er kann das Wissen um die Preissensitivität des Einzelnen auch dazu nutzen, um den Kunden situativ zu beeinflussen, etwa mittels sog. Behavioural Discrimination. Anders formuliert findet ein – vom Kunden nicht unbedingt gewollter bzw. als solches erkannter – Tausch zwischen dem Datenschutzrecht des Kunden auf der einen Seite und der wirtschaftlichen Betätigungsmöglichkeit des Anbieters auf der anderen statt. Es wäre auch möglich, dass ein Marktversagen aufgrund einer asymmetrischen Informationsverteilung auftritt.234 Dies wäre etwa dann denkbar, wenn der Anbieter besser weiß, welche Zahlungsbereitschaft der Kunde aufweist, als dieser sich selber bewusst ist.
Abgesehen von Fallkonstellationen, die über die reine Personalisierung des Preises hinausgehen und derart manipulativ sind, dass sie als aggressive geschäftliche Handlung i. S. d. (insoweit dann spezielleren) § 4a I S. 1 UWG eingeordnet werden können,235 ist Preispersonalisierung nicht von der Verbrauchergeneralklausel des § 3 II UWG erfasst. Die Verwendung personalisierter Preise geht aus verschiedenen Gründen nicht mit einem derart hohen Unwerturteil einher, dass eine lauterkeitsrechtliche Unzulässigkeit anzunehmen ist. Ein Verstoß gegen die unternehmerische Sorgfalt i. S. d. §§ 3 II, 2 I Nr. 9 UWG liegt mithin nicht vor. Dies gilt auch dann, wenn die Personalisierung der Preise mit der Diskriminierung geschützter Gruppen einhergeht: Die aufgrund der Vollharmonisierung europarechtlich vorgegebene enge Auslegung des § 2 I Nr. 9 UWG verbietet es, in diese Norm gegen ihren Wortlaut ein Diskriminierungsverbot hineinzulesen.
Personalisierte Preise können mit durchaus positiven ökonomischen Effekten zugunsten der Kunden einhergehen. Dies ist etwa dann der Fall, wenn Kunden erst durch die Personalisierung des Preises Zugang zu einem bestimmten Gut erhalten. Dieser Effekt kann auftreten, wenn ihr Reservationspreis über den Produktionskosten des Gutes, aber unter dem einheitlichen Preis liegt, der sich ohne den Einsatz von Preispersonalisierung am Markt ergeben würde. Ein pauschales Abstellen auf ein Gewinnstreben des Anbieters oder das Abgreifen von Konsumentenrente ginge deshalb schon aus inhaltlichen Gründen teilweise am Ziel vorbei. Umso stärker – und verfehlter – wiegt zudem die damit einhergehende wettbewerbspolitische Aussage: Das Streben nach Gewinn ist als solches nicht unlauter, sondern ein normaler Aspekt, der dem Wettbewerb innewohnt. Solange die Preissetzung nicht mit einem irreführenden oder aggressiven Element einhergeht, herrschen zugunsten des Anbieters Vertragsfreiheit und Preissetzungsfreiheit.236 Es steht ihm frei, Preise nach seinem Belieben zu setzen, und – soweit keine spezialgesetzlichen, ausdrücklichen Diskriminierungsverbote entgegenstehen – Kunden ungleich zu behandeln. Die Frage, unter welchen Voraussetzungen die für die Preisbestimmung notwendigen personenbezogenen Daten des Kunden erhoben und wie sie verarbeitet werden dürfen, ist im Übrigen keine originär lauterkeitsrechtliche: Es ist primär Aufgabe des Datenschutzrechts, die Kontrolle des Einzelnen über die ihn betreffenden personenbezogenen Daten sicherzustellen und im Rahmen ihrer Verarbeitung – was vor allem auch die Berechnung von Wahrscheinlichkeitswerten im Zusammenhang mit Profiling beinhaltet – Fairness, Transparenz und Datenrichtigkeit sicherzustellen. Dieser Auftrag des Datenschutzrechts ergibt sich aus den allgemeinen Datenschutzgrundsätzen des Art. 5 I DSGVO, auf die sich letztlich alle materiell-rechtlichen Vorschriften der Datenschutz-Grundverordnung zurückführen lassen.237 Unabhängig davon gilt, dass die Personalisierung von Preisen den Wettbewerb nicht außer Kraft setzt: Übertreibt ein Anbieter es damit in einer Art und Weise, die Kunden nicht akzeptieren wollen, ist anzunehmen, dass dieses Vorgehen Wettbewerber auf den Plan ruft und er im Wettbewerb nicht langfristig bestehen kann.238
Gerade der letztgenannte Aspekt führt dazu, dass ein Verstoß gegen § 3 II UWG auch deshalb zu verneinen ist, weil keine wesentliche Beeinflussung des wirtschaftlichen Verbraucherverhaltens i. S. d. §§ 3 II, 2 I Nr. 11 UWG vorliegt. Eine solche stellt letztlich eine Beeinträchtigung der Entschließungsfreiheit des Kunden dar, welche wiederum ein Schutzgut des Allgemeinen Persönlichkeitsrechts darstellt.239 Eine derartige Beeinträchtigung der Willensbildungsfreiheit ist aber bei personalisierten Preisen nicht gegeben. Dem Kunden steht es frei, das Produkt zum jeweiligen Preis zu kaufen oder vom Kauf abzusehen. Solange Preiswahrheit und Preisklarheit gewahrt sind, steht nicht zu befürchten, dass er aufgrund der Personalisierung eine Kaufentscheidung trifft, die er ansonsten nicht getroffen hätte.
e. Zwischenergebnis
Gem. §§ 5a I, 5b IV UWG sind Anbieter verpflichtet, ihre Kunden vor dem Kaufabschluss darauf hinzuweisen, wenn sie personalisierte Preise verwenden. Eine ausdrückliche Informationspflicht ist seit dem 28.5.2022 im Verbraucherschutzrecht des Bürgerlichen Gesetzbuchs vorgesehen (§§ 312d I S. 1, 312j II BGB i. V. m. Art. 246a § 1 I S. 1 Nr. 6 EGBGB). Aus dieser erhöhten Transparenz folgt ein gewisser Schutz vor Diskriminierung geschützter Gruppen, da unzulässige Ungleichbehandlungen so leichter aufgedeckt werden können.
Darüber hinausgehende lauterkeitsrechtliche Transparenzgebote oder Handlungsverbote bestehen grundsätzlich nicht. Eine Ausnahme stellt der in der Praxis wohl seltene Fall dar, dass der Anbieter einen verhältnismäßig hohen Reservationspreis auf Kundenseite erkennt und dieses Wissen nutzt, um vorzutäuschen, dass dieser Kunde anderen gegenüber einen besonderen Preisvorteil genießt, obwohl von ihm tatsächlich ein höherer Preis verlangt wird. In dieser speziellen Fallkonstellation wäre § 5 I, II Nr. 2 UWG einschlägig. Dieses Handlungsverbot besteht allerdings unabhängig davon, ob die irreführende Preiskommunikation geschützte Gruppen diskriminiert oder nicht. Deshalb wird es im Folgenden nicht weiter thematisiert.
3. Antidiskriminierungsrecht
Auf nationaler Ebene ist im Kontext von Preispersonalisierung der 3. Abschnitt des Allgemeinen Gleichbehandlungsgesetzes relevant. § 19 I, II AGG formuliert ein zwischen Privaten unter bestimmten Voraussetzungen geltendes Benachteiligungsverbot. Dieses konkretisiert den in § 2 I Nr. 5–8 AGG definierten Anwendungsbereich des Gesetzes für den allgemeinen Zivilrechtsverkehr.240
a. Zivilrechtliches Gleichbehandlungsgebot
Im Kontext von Preispersonalisierung ist der Anwendungsbereich des Gesetzes über § 2 I Nr. 8 AGG eröffnet. Dieser muss mit § 19 I AGG zusammen gelesen werden. § 2 I Nr. 8 AGG eröffnet den Anwendungsbereich des Allgemeinen Gleichbehandlungsgesetzes, wenn es um „den Zugang zu und die Versorgung mit Gütern und Dienstleistungen, die der Öffentlichkeit zur Verfügung stehen“ geht. Gemeint sind damit ausweislich der Gesetzesbegründung vor allem privatrechtliche Verträge.241 Die Norm bezieht sich damit nicht, wie der Wortlaut vermuten lassen könnte, auf die (typischerweise staatlich verantwortete) allgemeine Daseinsvorsorge. Der Anwendungsbereich des § 2 I Nr. 8 AGG ist stattdessen bereits u. a. dann eröffnet, wenn ein Anbieter online ein Angebot auf Abschluss eines Vertrages macht.242 Es ist unerheblich, ob er eine invitatio ad offerendum ausspricht oder die von ihm betriebene Webseite so gestaltet, dass er sich dem Kunden gegenüber gem. § 145 BGB verpflichtet und dieser das Angebot nur anzunehmen braucht.243
§ 19 I AGG erklärt Benachteiligungen aus Gründen der Rasse oder wegen der ethnischen Herkunft, wegen des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität „bei der Begründung, Durchführung und Beendigung zivilrechtlicher Schuldverhältnisse“ für unzulässig.244 Erfasst sind Massengeschäfte, massengeschäftsähnliche Rechtsgeschäfte (§ 19 I Nr. 1 AGG) und alle privatrechtlichen Versicherungen (§ 19 I Nr. 2 AGG). Massengeschäfte sind nach der Legaldefinition des § 19 I Nr. 1 Alt. 1 AGG solche Schuldverhältnisse, die „typischerweise ohne Ansehen der Person zu vergleichbaren Bedingungen in einer Vielzahl von Fällen zustande kommen“. Dem gleichzusetzen sind sog. massengeschäftsähnliche Rechtsgeschäfte, „bei denen das Ansehen der Person nach der Art des Schuldverhältnisses eine nachrangige Bedeutung hat und die zu vergleichbaren Bedingungen in einer Vielzahl von Fällen zustande kommen“ (§ 19 I Nr. 1 Alt. 2 AGG).245 Das Benachteiligungsverbot gilt damit nicht für alle Rechtsgeschäfte zwischen Privaten. Es ist auf bestimmte Fallkonstellationen beschränkt. Hinzu kommen weitere Abstufungen, etwa die Ausdehnung des Diskriminierungsschutzes bei Benachteiligungen aus Gründen der Rasse oder wegen der ethnischen Herkunft über Massengeschäfte etc. hinaus (§ 19 II AGG),246 die Ausnahmevorschrift § 19 IV AGG und die Regelung des § 20 I AGG, wonach bestimmte Ungleichbehandlungen bei Vorliegen eines sachlichen Grundes zulässig sind. Diese Regelungstechnik ist letztlich Ausdruck einer wertenden Abwägung des Gesetzgebers. Die Vertragsfreiheit der von §§ 19 ff. AGG verpflichteten Anbieter soll durch dieses abgestufte System mit dem Schutz der Kunden vor rechtlich missbilligter Diskriminierung in Einklang gebracht werden.247 Das Benachteiligungsverbot bezweckt, dass auch Angehörige geschützter Gruppen tatsächlich die Möglichkeit haben, Verträge abzuschließen und so die ihnen zustehende Vertragsfreiheit zu nutzen.
b. Anwendung auf Preispersonalisierung
§ 19 I AGG kann zur Anwendung gebracht werden, wenn Preispersonalisierung beim Online-Handel mit Gütern bzw. Dienstleistungen mit der Diskriminierung der von der Norm in Bezug genommenen geschützten Gruppen einhergeht. Beide Alternativen des § 19 I Nr. 1 AGG erfassen (nur) solche Fallkonstellationen, in denen es nicht um einmalige, sondern um häufig auftretende Rechtsgeschäfte geht.248 Dementsprechend sollen nur solche Anbieter (in der Regel Unternehmer i. S. d. § 14 I BGB) verpflichtet werden, die sich mit ihren Angeboten an die Allgemeinheit richten.249 § 19 I Nr. 1 AGG erfasst nur solche Schuldverhältnisse, die typischerweise ohne Ansehen der Person (Alternative 1) und – deshalb250 – vom Anbieter stets zu vergleichbaren Bedingungen eingegangen werden, oder bei denen das Ansehen der Person nach der Art des Schuldverhältnisses eine nachrangige Bedeutung hat (Alternative 2). Aufgrund dieser allgemeinen, typisierenden Betrachtungsweise sind letztlich nur solche Fallkonstellationen erfasst, in denen die Schlechterbehandlung einzelner Kunden willkürlich ist.
Die Voraussetzungen des § 19 I AGG können vorliegen, wenn Anbieter beim Handel mit Waren und Dienstleistungen Preise personalisieren und dies mit einer Schlechterstellung der dort geschützten Gruppen einhergeht. Das Allgemeine Gleichbehandlungsgesetz ist technologieneutral formuliert und gilt unabhängig davon, ob die Parteien das Rechtsgeschäft online oder etwa im stationären Handel abschließen.251 Der Online-Handel mit Gütern des täglichen Bedarfs sowie der Verkauf typischer Dienstleistungen (etwa Flug- und Hotelbuchungen) ist im Regelfall dergestalt „anonym“, dass es dem Anbieter nicht darauf ankommt, wer auf Kundenseite sein Vertragspartner ist: Die Bonität vorausgesetzt, kontrahiert der Anbieter grundsätzlich mit jedem. Auch wenn Profiling dazu genutzt wird, den Preis – und möglicherweise auch das Produkt als solches – zu personalisieren, fällt dieses Verhalten immer noch in den Anwendungsbereich des § 19 I AGG. Das Rechtsgeschäft wird „ohne Ansehen der Person“ abgeschlossen und fällt unter das Diskriminierungsverbot, da auch in solch einer Fallkonstellation nach dem Telos der Norm darauf abgestellt werden muss, ob es dem Anbieter beim Vertragsabschluss bei typisierter Betrachtungsweise auf die Person des Kunden ankommt oder nicht.252 Sofern der Anbieter weiterhin mit jedem potenziellen Kunden den (ggf. unter verschiedenen Aspekten individualisiert angepassten) Vertrag grundsätzlich abschließen würde, lässt die Profiling-basierte Personalisierung den Diskriminierungsschutz nicht entfallen.
c. Rechtfertigung oder Tatbestandsausschluss
Je nach Fallkonstellation kann eine unmittelbare Benachteiligung i. S. d. § 3 I S. 1 AGG oder eine mittelbare Benachteiligung i. S. d. § 3 II AGG vorliegen.253 Aus Sicht des Rechtsanwenders hängt die konkrete Qualifizierung nicht nur von der vom Anbieter gewählten Preissetzungsmethode ab, sondern auch davon, wie transparent er diese – unabhängig von der Einhaltung datenschutz- und lauterkeitsrechtlicher Transparenzpflichten – ausgestaltet.
aa. Unmittelbare Benachteiligung (§ 3 I S. 1 AGG)
Sofern der Anbieter seine Preise erkennbar unmittelbar von ihm bekannten (bzw. mit den Mitteln des Profilings „vorhergesagten“) Eigenschaften des Kunden abhängig macht und diese die Zugehörigkeit zu einer von § 19 I AGG geschützten Gruppe widerspiegeln, ist eine Rechtfertigung über § 20 I AGG denkbar. Diese ist nur im Fall einer unterschiedlichen Behandlung wegen der Religion, einer Behinderung, des Alters, der sexuellen Identität oder des Geschlechts möglich (§ 20 I S. 1 AGG), nicht aber bei Diskriminierung aufgrund der Rasse oder wegen der ethnischen Herkunft. Zudem muss ein sachlicher Grund vorliegen, § 20 I S. 1 AGG, weshalb eine wertende Abwägung nötig ist. Bei Preispersonalisierung stellt innerhalb der in der Norm enthaltenen Regelbeispiele (nur) § 20 I S. 2 Nr. 3 AGG einen tauglichen Ansatzpunkt dar.254 Zulässig ist demnach eine unterschiedliche Behandlung, die „besondere Vorteile gewährt“, sofern zugleich „ein Interesse an der Durchsetzung der Gleichbehandlung fehlt“. Die Gesetzesbegründung nennt dafür beispielhaft zwei Fallkonstellationen. Einerseits bezeichnet sie Vergünstigungen für Gruppen, die in der Regel mangels Erwerbseinkommens weniger leistungsfähig sind – etwa Schüler und Studenten – als sozial erwünscht. Zugleich bewertet sie „die gezielte Ansprache von Kundenkreisen, die der Anbieter anlocken möchte“ als unproblematischen und damit gerechtfertigten Ausdruck wettbewerblichen Handelns.255 Die Gesetzesbegründung stellt u. a. darauf ab, dass das Verbot dieser Vergünstigungen nur dazu führen würde, dass sie nicht mehr gewährt werden, ohne dass dies den bis dahin nicht begünstigten Kunden zugutekommen würde.
Die Beispiele machen deutlich, dass es durchaus Formen der preislichen Ungleichbehandlung von Angehörigen geschützter Gruppen gibt, die normativ und rechtlich nicht zu beanstanden sind. Voraussetzung ist, dass es dem Anbieter vorrangig darum geht, eine bestimmte Gruppe zu begünstigen – und nicht darum, einer Gruppe zu schaden.256 Der beispielhaft in Bezug genommene „Schülerrabatt“ ist gesellschaftlich akzeptiert und dürfte von den wenigsten als problematische Form der Altersdiskriminierung wahrgenommen werden. Auch Vergünstigungen für Frauen in Diskotheken im Rahmen von „Ladies Nights“ und ähnliche Formen von Kundenansprachen sind Teil des normalen Wettbewerbsgeschehens und fallen unter § 20 I S. 2 Nr. 3 AGG.257 Es geht dabei in aller Regel primär um das Bestehen im Wettbewerb, und nicht um das Diskriminieren geschützter Gruppen.
Die Entscheidung, ab wann für eine Ungleichbehandlung aufgrund rein wirtschaftlicher Interessen im Kontext von Preispersonalisierung kein sachlicher Grund i. S. d. § 20 I S. 1 AGG mehr gegeben ist, ist letztlich eine kaum verallgemeinerungsfähige Wertungs- und Abwägungsfrage. Den berechtigten Kundeninteressen, nicht diskriminiert zu werden, stehen die unternehmerische Freiheit und die Privatautonomie des Anbieters gegenüber.258 Der EuGH hat in Test-Achats den Grundsatz der Gleichbehandlung von Mann und Frau implizit und ohne vertiefte Abwägung259 recht kompromisslos über die unternehmerische Freiheit der privaten Versicherungen gestellt und sie durch Ungültigerklärung des Art. 5 II Unisex-RL dazu verpflichtet, das Geschlecht des Versicherungsnehmers bei der Tarifierung gänzlich außen vor zu lassen, obwohl die Berücksichtigung dieses Faktors ökonomisch adäquate Versicherungstarife erlaubt.260 Der Fall ist im weiteren Sinne mit der Situation von Preispersonalisierung vergleichbar: Sowohl bei der risikoadäquaten Berechnung von Versicherungstarifen als auch bei der Profiling-basierten Personalisierung von Preisen geht es im Kern um das Anknüpfen an statistische (und damit pauschalisierende) Erfahrungswerte, um einen individuellen Preis zu kalkulieren. In beiden Fällen kann die Preisgestaltung maßgeblich von der Zugehörigkeit zu geschützten Gruppen abhängig gemacht werden. Test-Achats behandelte eine spezifische Ausnahmeregelung für den Versicherungssektor und bezog sich thematisch (aufgrund des Regelungsgegenstands der Richtlinie) nur auf das Gebot der Geschlechtergleichbehandlung. Das Urteil ist mithin nur bedingt auf die Fallkonstellation der Diskriminierung geschützter Gruppen durch personalisierte Preise übertragbar: Beim Personalised Pricing kommen grundsätzlich auch andere (ggf. geschützte) Gruppen als Anknüpfungspunkt in Betracht. Auch ist zu berücksichtigen, dass Preise im Online-Handel mit Gütern und Dienstleistungen für die Kunden keine vergleichbare Bedeutung haben wie (für die individuelle Lebensplanung eventuell elementare) Versicherungen, sodass eine Rechtfertigung aus rein wettbewerblichen Gesichtspunkten eher in Betracht kommt.
Aus Test-Achats lässt sich die Wertung ablesen, dass Diskriminierungsschutz grundsätzlich einen höheren Stellenwert als die Preisgestaltungsfreiheit des Anbieters hat und dass dieser seine Preissetzungsmethoden ggf. effektiv anpassen muss. Verschiedene Kriterien spielen für die Abwägung eine Rolle. Diese muss wertend, einzelfallbezogen und nach den Grundsätzen von Treu und Glauben vorgenommen werden.261 Die in Bezug genommene Gruppenzugehörigkeit, die Art des individuell bepreisten Gutes, die Höhe der Preisdifferenz im Einzelfall, die Form der Kommunikation mit dem Kunden und das vom Anbieter konkret verfolgte Ziel müssen demnach Berücksichtigung finden.262 Auch dürfte es eine wesentliche Rolle spielen, ob die Schlechterbehandlung bestimmter Gruppen systematisch und reproduzierbar stattfindet oder ob es sich um Einzelfälle („Ausreißer“) handelt.
bb. Mittelbare Benachteiligung (§ 3 II AGG)
Es ist denkbar, dass die Diskriminierung geschützter Gruppen in der Praxis die Form einer mittelbaren Benachteiligung i. S. d. § 3 II AGG annimmt und dass dabei trotz prima facie neutraler Vorgehensweise diskriminierende Ergebnisse produziert werden, obwohl der Anbieter dies nicht unbedingt weiß oder beabsichtigt. Die Feststellung, ob eine mittelbare Diskriminierung vorliegt, erfolgt durch die Bildung von Vergleichsgruppen.263 Um diskriminierende Formen von Preispersonalisierung nachzuweisen, müssten verschiedene Käufergruppen gebildet und es müsste gezeigt werden, dass von Mitgliedern einer geschützten Gruppe regelmäßig und systematisch höhere Preise als von Nicht-Mitgliedern verlangt werden. Eine unzulässige Diskriminierung ist in diesen Fällen gem. § 3 II AGG bereits tatbestandlich ausgeschlossen, wenn die vom Anbieter eingesetzten Mittel „durch ein rechtmäßiges Ziel sachlich gerechtfertigt“ und zugleich „zur Erreichung dieses Ziels angemessen und erforderlich“ sind. Materiell-rechtlich stellen sich – unter dogmatisch anderen Vorzeichen, nämlich bereits auf Tatbestandsebene – die gleichen Abwägungsfragen wie bei der Prüfung des § 20 I S. 1 AGG.264
d. Zwischenergebnis
Das Allgemeine Gleichbehandlungsgesetz beinhaltet in § 19 I AGG ein allgemeines, zivilrechtliches Benachteiligungsverbot. Dieses kann im Kontext von Preispersonalisierung zur Anwendung gebracht werden und Kunden davor schützen, aufgrund ihrer Zugehörigkeit zu einer in § 19 I AGG genannten Gruppe systematisch benachteiligt zu werden. Die Verantwortung für die Beachtung des Benachteiligungsverbots trägt der Anbieter, ohne dass es auf ein Verschulden seinerseits ankäme.
Aufgrund der gebotenen Einzelfallbetrachtung nicht verallgemeinerungsfähig ist die rechtliche Frage, in welchen konkreten Fallkonstellationen unmittelbare Benachteiligungen über § 20 I S. 1 AGG gerechtfertigt werden können. Im Falle mittelbarer Benachteiligung, § 3 II AGG, stellt sich die inhaltlich gleich konturierte Fragestellung, wann ein den Tatbestand ausschließendes rechtmäßiges Ziel auf Seiten des Anbieters vorliegt. Das Urteil des EuGH in Test-Achats legt nahe, dass dem Gleichbehandlungsgebot ein sehr hohes Gewicht zukommt. Die Tatsachenfrage, ob bei einem konkreten Anbieter tatsächlich Preissetzungsmethoden zur Anwendung kommen, durch die geschützte Gruppen systematisch diskriminiert werden, dürfte oftmals schwierig zu beantworten sein. Vor allem bei mittelbaren Benachteiligungen sind auf prozessualer Ebene diffizile Nachweisprobleme zu erwarten, da die notwendige Vergleichsgruppenbildung den Zugriff auf ausreichend großes Datenmaterial notwendig macht.265 Bereits weiter oben hat sich gezeigt, wie anspruchsvoll es in methodischer Hinsicht ist, Preispersonalisierung überhaupt mit der notwendigen Sicherheit nachzuweisen und von dynamischer Preissetzung abzugrenzen. Der Nachweis gruppenspezifischer Diskriminierung dürfte nochmals komplexer sein. Der Schutz des Allgemeinen Gleichbehandlungsgesetzes ist weitreichend: § 21 AGG sieht u. a. die Möglichkeit vor, Unterlassungsklagen zu erheben und Schadensersatzansprüche geltend zu machen.
IV. Zusammenfassende Überlegungen
Auf materiell-rechtlicher Ebene bestehen verschiedene Mechanismen, die geschützte Gruppen vor unzulässiger Diskriminierung durch Preispersonalisierung schützen. Diese finden sich im Datenschutzrecht, im Lauterkeitsrecht und im Antidiskriminierungsrecht. Zwei Regelungstechniken können unterschieden werden: Förderung von Transparenz sowie Handlungsverbote, welche sich auf diskriminierende Handlungen beziehen. Transparenz senkt das Diskriminierungsrisiko: Je nachvollziehbarer und offener Entscheidungsprozesse ausgestaltet sind, desto unwahrscheinlicher ist es, dass sich systematische, unzulässige Ungleichbehandlungen etablieren und unentdeckt bleiben. Dieser Diskriminierungsschutz ist indirekt: Er ist nicht unbedingt das primäre Ziel der einschlägigen Vorschriften, wird durch sie aber mit bewirkt. Handlungsverbote hingegen sind zielgerichtet. § 19 I AGG richtet sich beispielsweise direkt gegen bestimmte Benachteiligungsformen.
Der Schutz durch Transparenz ist im Datenschutzrecht und im Lauterkeitsrecht verankert. Datenschutzrechtlich ergibt er sich vor allem aus den Anforderungen, die Art. 6 I S. 1 lit. a i. V. m. 4 Nr. 11, 7 II DSGVO an eine wirksame datenschutzrechtliche Einwilligungserklärung stellen. Hinzu kommen die in Art. 13 I lit. c, II lit. f und 14 I lit. c, II lit. g DSGVO enthaltenen Informationspflichten und das Auskunftsrecht gem. Art. 15 I lit. a und h DSGVO. Parallel dazu besteht gem. §§ 5a I, 5b IV UWG eine lauterkeitsrechtliche Pflicht, über den Einsatz eines personalisierten Preises in concreto zu informieren. Seit dem 28.5.2022 enthält das bürgerlich-rechtliche Verbraucherschutzrecht eine ausdrückliche dahingehende Informationspflicht, §§ 312d I S. 1, 312j II BGB i. V.m. Art. 246a § 1 I S. 1 Nr. 6 EGBGB.
Einschlägige Handlungsverbote ergeben sich aus dem Datenschutzrecht und dem Antidiskriminierungsrecht. Die Datenschutz-Grundverordnung beinhaltet an verschiedenen Stellen mittelbare Schutzmechanismen mit unterschiedlicher Wirkweise: Art. 9 I DSGVO setzt bei sensiblen (und mithin besonders diskriminierungsgeeigneten) Daten bereits bei der ersten Erhebung an und stellt erhöhte Anforderungen an die Zulässigkeit ihrer Verarbeitung. Art. 5 I lit. a DSGVO gebietet eine Datenverarbeitung nach Treu und Glauben. Dieser Grundsatz kann über Erwägungsgrund 71 DSGVO mit einem Verbot diskriminierender Verarbeitungsweisen „aufgeladen“ werden. Dies ist vor allem für das Profiling zwecks Bestimmung der individuellen Zahlungsbereitschaft relevant. Auch das Verbot automatisierter Einzelentscheidungen (Art. 22 I DSGVO) kann zum Schutz vor diskriminierender Preisgestaltung durch Auslegung des Begriffs „erhebliche Beeinträchtigung“ fruchtbar gemacht werden. § 19 I AGG als genuin antidiskriminierungsrechtliche Regelung verbietet Benachteiligungen bestimmter Gruppen u. a. bei Massengeschäften. Bei diesen Handlungsverboten stellt sich stets die Frage, ob Ungleichbehandlungen im Einzelfall gerechtfertigt werden können. Allgemeingültige Antworten darauf sind nicht möglich, da stets verschiedene Faktoren zu berücksichtigen sind. Es kommt vor allem darauf an, an welche Gruppenzugehörigkeit zu welchem Zweck angeknüpft wird. Wettbewerbliche Erwägungen können an dieser Stelle Berücksichtigung finden und bestimmte diskriminierende Handlungen rechtfertigen. Vorsatz- oder Verschuldensfragen spielen hingegen weder im Datenschutz- noch im Antidiskriminierungsrecht eine Rolle: Die Einhaltung der Verbote obliegt stets dem Anbieter. Der EuGH hat in der Rechtssache Test-Achats den Grundsatz der Gleichbehandlung der Geschlechter pauschal über die ökonomische Realität privatrechtlicher Versicherungen gestellt. Als Blaupause für Abwägungsfragen im Kontext von diskriminierenden Preispersonalisierungsmethoden taugt das Urteil aber kaum, da das Gericht von einer aussagekräftigen Mitteilung und Begründung seiner Erwägungen abgesehen hat.
Die Schutzmechanismen dieser drei Rechtsregime lassen sich auf allen drei Stufen des hier vertretenen Modells verorten: Auf Stufe 1 spielt unter Transparenzgesichtspunkten vor allem die Einwilligung des Kunden eine wesentliche Rolle. Stufe 2 – die Profiling-basierte Annäherung an den Reservationspreis – ist geprägt vom Diskriminierungsverbot des Art. 5 I lit. a i. V. m. Erwägungsgrund 71 DSGVO. Auf der dritten und letzten Stufe kommen die Verbote des Art. 22 I DSGVO und § 19 I AGG zum Tragen. Zudem besteht dort – im Zeitpunkt unmittelbar vor dem potenziellen Kaufabschluss – eine anbieterseitige Informationspflicht. Letztere hat eigenständige Relevanz und entspricht nicht gänzlich den datenschutzrechtlichen Pflichten. Diese greifen typischerweise im Zeitpunkt der ersten Datenverarbeitung (etwa beim Anlegen eines Kundenkontos) und mithin, je nach Fallkonstellation, einige Zeit vor dem eigentlichen Kaufabschluss.266 Die bestehende lauterkeitsrechtliche (§§ 5a I, 5b IV UWG) bzw. verbraucherschutzrechtliche (§§ 312d I S. 1, 312j II BGB i. V. m. Art. 246a § 1 I S. 1 Nr. 6 EGBGB) Informationspflicht hingegen gilt in dem Moment, in dem der Kunde unmittelbar vor dem Kaufabschluss steht. Diese zeitliche Nähe mit der endgültigen Kaufentscheidung dürfte ihre Effektivität weiter steigern und verleiht ihr eine eigenständige Funktion.
Das von den verschiedenen Regelwerken jeweils etablierte Schutzniveau ist uneinheitlich. Dies ergibt sich zunächst aus den unterschiedlichen Regelungsansätzen, die auf den drei Stufen des Modells naturgemäß unterschiedliche Wirkungen zeitigen. Aber auch mit dem Blick auf die konkret geschützten Gruppen ergeben sich Unterschiede. § 19 I AGG verbietet beispielsweise geschlechtsbezogene Benachteiligungen und solche aufgrund des Alters. Dahingehende Diskriminierungen werden weder von Art. 9 I DSGVO noch von Erwägungsgrund 71 DSGVO erfasst. Diese gehen wiederum an anderer Stelle über § 19 I AGG hinaus, indem sie etwa vor Diskriminierungen aufgrund der politischen Meinung oder des Gesundheitszustands des Betroffenen schützen. Bei rein materiell-rechtlicher Betrachtungsweise ließe sich argumentieren, dass es auf diese Unterscheidung nicht ankommt: Auf Stufe 3 des Modells greifen sowohl Art. 22 I DSGVO als auch § 19 I AGG. Mit Blick auf die Durchsetzungsebene hingegen können sich wesentliche Unterschiede ergeben. Das Datenschutzrecht wird – im Gegensatz zum Allgemeinen Gleichbehandlungsgesetz – nicht nur von Privaten, sondern auch behördlich durchgesetzt. Verstöße gegen die hier diskutierten Normen sind zudem bußgeldbewehrt (Art. 83 V lit. a und b DSGVO). Hinzu kommt, dass die Datenschutz-Grundverordnung unionsweite Geltung beansprucht, wohingegen der deutsche Gesetzgeber bei der Umsetzung der Antidiskriminierungs-Richtlinien mehr Gruppen Schutz zugesprochen hat, als unionsrechtlich vorgegeben war. In den Ländern der Europäischen Union kann es insoweit also zu qualitativ unterschiedlichen Schutzniveaus kommen.
Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.