aa. Vorüberlegungen
Art. 4 Nr. 1 DSGVO definiert, welche Arten von Informationen personenbezogene Daten darstellen. Ausgangspunkt bei der rechtlichen Bestimmung des Personenbezugs ist die Prüfung, ob es möglich ist, zwischen der dem datenschutzrechtlich Verantwortlichen (hier: dem Anbieter) im Einzelfall vorliegenden Information und der natürlichen Person (hier: dem Kunden) eine Verbindung herzustellen.
1 Die Datenschutz-Grundverordnung stellt damit die Frage, ob im konkreten Fall auf die Identität des Betroffenen geschlossen werden kann, in den Mittelpunkt der Prüfung. Zwei Fallkonstellationen erfüllen die Legaldefinition des Art. 4 Nr. 1 DSGVO gleichermaßen: Ein personenbezogenes Datum liegt demnach vor, wenn die Identifizierung des Betroffenen direkt aus der vorliegenden Information möglich ist (vgl. den Wortlaut
„identifizierte (…) natürliche Person“).
2 Alternativ reicht es aus, wenn es möglich ist, den Kunden über die Hinzuziehung zusätzlicher Informationen bzw. mithilfe anderweitiger Zwischenschritte zu identifizieren (
„identifizierbare natürliche Person“).
3 Dies bedeutet, dass ein personenbezogenes Datum auch dann vorliegen kann, wenn die in Frage stehende Information
„für sich genommen die Identifizierung der betreffenden Person [nicht] ermöglicht.“4
Viele der in der Praxis vorkommenden oder zumindest denkbaren Fälle von Datenverarbeitung, welche der Personalisierung von Preisen dienen, stellen ohne Weiteres eine Verarbeitung personenbezogener Daten i. S. d. Art. 4 Nr. 1 und 2 DSGVO dar. Leicht zu bejahen ist der Personenbezug etwa dann, wenn ein Kunde auf der Seite eines Anbieters ein Kundenkonto erstellt hat und der Anbieter diesem (konkret auf den Kunden bezogenen) Profil Informationen über den Kunden hinzufügt, um darauf aufbauend seine allgemeine Preissensitivität oder seinen Reservationspreis im Einzelfall zu bestimmen.
5 In einem vergleichbaren Kontext hat diesen Ansatz auch die französische Datenschutzbehörde CNIL in ihrem Verfahren gegen
Google gewählt.
6 Google wurde vorgeworfen, unter Verstoß gegen Transparenzpflichten und ohne wirksame Rechtsgrundlage massenhaft Informationen über seine Nutzer zu sammeln und diese mit ihrem
Google-Acount zu verknüpfen. Der Personenbezug dieser Daten wurde weder von der CNIL noch von
Google selber in Frage gestellt. Stattdessen bezog der Streit sich auf die Frage, ob die Voraussetzungen für eine wirksame Einwilligung i. S. d. Art. 6 I S. 1 lit. a DSGVO vorlagen.
7 Der Personenbezug wurde damit von beiden Seiten implizit vorausgesetzt. Für den Personenbezug spielt es keine Rolle, ob der Kunde die Informationen selbst hinzugefügt hat (etwa durch manuelle Eingabe von Post- und E-Mail-Adresse, Geburtsdatum und Zahlungsinformationen bei Erstellung des Profils) oder ob der Anbieter die Informationen sammelt, dem Profil hinzufügt und dieses im Laufe der Zeit schrittweise erweitert. Speichert er etwa Informationen über das seitenbezogene Nutzungsverhalten des Kunden, werden auf diese Weise personenbezogene Daten generiert.
8 Der Personenbezug ist in diesen Fällen spätestens in dem Moment gegeben, in dem der Anbieter die Verknüpfung zwischen der Information und dem konkreten Profil tätigt: Zumindest von diesem Moment an besteht eine Verbindung zwischen der natürlichen Person (dem Kunden) und der Information (demografische Daten, Kauf- bzw. Surfverhalten auf der Anbieter-Seite, berechnete Prognosen über sein zukünftiges Verhalten bzw. seine Vorlieben und Interessen etc.). Ein personenbezogenes Datum i. S. v. Art. 4 Nr. 1 DSGVO liegt mithin vor und die Datenschutz-Grundverordnung ist anwendbar. Dies gilt auch dann, wenn beispielsweise der im Kundenprofil hinterlegte Wohnort oder das Alter des Kunden (mit) herangezogen werden, um Preise zu personalisieren.
bb. Rechtliche Qualifikation technischer kundenbezogener Daten
Mit Blick auf die nachgewiesenen Fälle von Preispersonalisierung hat sich herauskristallisiert, dass dem Kunden personalisierte Preise oft bereits in dem Moment angezeigt werden, in dem er die Seite des Anbieters ansteuert. Dieses Vorgehen konnte etwa vereinzelt im Falle der Weiterleitung von Preisvergleichsportalen oder, in seltenen Fällen, auch bei Verwendung bestimmter Endgeräte registriert werden. Die Anbieter haben in diesen Fallkonstellationen – welche beide nach hiesigem Verständnis als unmittelbare Preispersonalisierung zu definieren sind – vor allem auf technische Daten abgestellt, welche ihnen vom Endgerät des Kunden übermittelt wurden. Im Falle unmittelbarer Preispersonalisierung ist dies logisch: Der Preis muss möglichst sofort bei Beginn des Besuchs auf der Anbieter-Seite angepasst werden, da es auf den Kunden befremdlich und verwirrend wirkt, wenn während des Webseitenbesuchs der Preis ohne ersichtlichen Grund steigt oder fällt. Mittelbare Preispersonalisierung, vor allem in Form von Gutscheinen oder anderweitig bezeichneten individuellen Rabatten, kann hingegen durchaus zu einem späteren Zeitpunkt erfolgen. Wenn der Anbieter – genauer gesagt: seine Pricing-Software oder die eines eingeschalteten Dienstleisters – etwa bei einem zögernden Kunden oder bei einem solchen, der zuvor auf den Seiten anderer Anbieter gesurft hat, eine erhöhte Preissensitivität vermutet, kann er ihn per Pop-up bzw. über E-Mail oder andere Kommunikationswege mit einem Gutschein zum Kauf bewegen.
Mit dem Blick auf die vorangegangenen Ausführungen zeigt sich, dass technische, vom Endgerät bzw. Browser an den Anbieter übermittelte kundenbezogene Daten eine bedeutende Rolle im Kontext von Personalised Pricing spielen können. Der Begriff technische kundenbezogene Daten wird hier weit verstanden: Er umfasst technische Gerätekennungen jeder Art (beispielsweise Smartphone-IDs und MAC-Adressen), Cookies, IP-Adressen, Referrer Header usw. Dies richtet den Fokus der Untersuchung auf die Frage, ob bzw. unter welchen Umständen diese Daten sich auf eine identifizierbare natürliche Person i. S. d. Art. 4 Nr. 1 Alt. 2 DSGVO beziehen und mithin als personenbezogen einzuordnen sind. Dieser Aspekt ist sowohl auf der ersten als auch auf der dritten Stufe des 3-stufigen Modells relevant: Auf Stufe 1 geht es zunächst um die (rechtliche) Frage, ob überhaupt personenbezogene Daten vorliegen und die Datenschutz-Grundverordnung anwendbar ist. Auf Stufe 3 stellt sich im Kontext der Preiskommunikation – in Fortsetzung dieser Thematik – die (tatsächliche) Frage, ob eine zuverlässige Identifikation des einzelnen Kunden (und mithin die Zuweisung des „richtigen“ Preises) überhaupt möglich ist.
In der Praxis konnten einige Fälle von Preispersonalisierung nachgewiesen werden, welche sich zu diesem Zweck kundenbezogener technischer Daten bedienten. Naturgemäß handelt es sich dabei um Einzelbeispiele, welche aber den Einstieg in die Prüfung erleichtern. Generell gilt, dass die datenschutzrechtliche Bewertung von Preispersonalisierung angesichts der möglichen bzw. erwartbaren zukünftigen technischen Entwicklungen möglichst technologieneutrale Lösungsansätze finden muss.
9 In manchen der genannten Fälle wurden diese Daten von den Endgeräten des Kunden an die Anbieter übermittelt. Diese stellten dabei auf Faktoren ganz verschiedener Art und auf verschiedene Methoden der Preissetzung ab:
Staples bediente sich der IP-Adresse des Kunden, um den Preis in Abhängigkeit von seinem Aufenthaltsort zu bestimmen.
Amazon.com machte die Preise von zuvor gesetzten Cookies abhängig, welche Bestandskunden markieren sollten. Manche Anbieter lasen die sog. Referrer Header aus, um etwa denjenigen Kunden, die von einem Preisvergleichsportal weitergeleitet worden waren, (in der Regel) günstigere Preise anzuzeigen. Teilweise spielte auch das vom Kunden verwendete Endgerät eine Rolle. In der Praxis bisher nicht als Vehikel für Preispersonalisierung nachgewiesen wurde das sog.
Device bzw.
Browser Fingerprinting.
10 Diese Vorgehensweise soll hier dennoch auch Beachtung finden, da auch sie potenziell durchaus dafür in Betracht käme. Die Besonderheit dabei ist, dass der Anbieter beim passiven
11 Fingerprinting nicht zwingend Dateien bzw. Software auf dem Rechner des Kunden speichern muss (vor allem werden keine Cookies gesetzt). Zugleich kann aber anhand der übermittelten technischen Informationen eine durchaus hohe Identifizierbarkeit des Endgeräts erreicht werden. Das aktive
Fingerprinting basiert auf den gleichen Grundprinzipien. Im Gegensatz zur passiven Variante wird hier allerdings auf dem Endgerät des Kunden Programmcode ausgeführt.
12 Diese Tracking-Methode beschränkt sich also nicht auf ein schlichtes „Beobachten“ des Endgeräts des Kunden, sondern erfordert eine aktive Einflussnahme auf dieses.
Allen diesen Datenarten wohnen einige Gemeinsamkeiten, aber auch gewisse Unterschiede inne. Generell gilt, dass es sich bei den kundenbezogenen technischen Daten um solche handelt, welche vom Endgerät des Kunden an den Anbieter gesendet werden oder vom Anbieter ausgelesen werden können. Ihre Übermittlung ist technisch notwendig (etwa im Fall der IP-Adresse, ohne die die anbieterseitige Beantwortung der Anfrage des Kunden, der die Seite aufrufen und auf ihr surfen möchte, nicht möglich wäre) oder zumindest der praktische Regelfall. Der Kunde müsste aktive Maßnahmen tätigen, um den Datenfluss zu stoppen oder um ihn inhaltlich zu beeinflussen, etwa durch Nutzung eines (die wahre IP-Adresse verschleiernden) VPN-Clients. In manchen, nicht aber allen Fällen gestaltet sich die Sachlage so, dass der Anbieter (bzw. ein von ihm genutzter Dienstleister, wie etwa das Werbenetzwerk DoubleClick von Google) selber aktiv tätig wird, um einen Datenfluss vom Kunden an den Anbieter zu etablieren. Typische Fälle dafür sind etwa das Setzen von Cookies beim Kunden und der Einsatz von Zählpixeln oder Software. Hier wird der Anbieter also zu einem bestimmten Zeitpunkt aktiv tätig, um zu einem nachgelagerten Zeitpunkt Informationen über den Kunden zu erhalten.
Bei der datenschutzrechtlichen Qualifikation dieser Daten stellt sich die Frage, ob, und wenn ja, ab welchem Moment und unter welchen Voraussetzungen eine Identifizierbarkeit des Kunden i. S. d. Art. 4 Nr. 1 Alt. 2 DSGVO zu bejahen ist. Den wichtigsten Anhaltspunkt bietet der Wortlaut der Norm: „(…) als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (…) identifiziert werden kann“. Für die Auslegung hinzuzuziehen ist auch Erwägungsgrund 26 DSGVO, wonach bei der Feststellung der Identifizierbarkeit „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
Vor allem die von der Datenschutz-Grundverordnung gemachten Ausführungen zur indirekten Identifizierbarkeit machen deutlich, dass es bei der Bestimmung der Identifizierbarkeit des Einzelnen nicht zwingend auf seine bürgerliche Identität – etwa seinen bürgerlichen Namen – ankommt. Stattdessen wird auf die Individualisierbarkeit des Einzelnen abgestellt.
13 Es reicht aus, wenn der Anbieter den einzelnen Kunden von anderen Personen unterscheiden und gezielt adressieren kann.
14 Dementsprechend spricht Erwägungsgrund 26 DSGVO in diesem Kontext auch vom
„Aussondern“ des Betroffenen. Es muss allerdings grundsätzlich möglich sein, zwischen dem Kunden und der (im Kontext von Preispersonalisierung technischen kundenbezogenen) Information eine Verbindung herzustellen. Wenn dies ausgeschlossen ist, liegt keine Bestimmbarkeit im datenschutzrechtlichen Sinne vor.
15 Mit Blick auf die hier interessierenden technischen kundenbezogenen Daten ist demzufolge eine Risikoanalyse notwendig, mithilfe der – unter Beachtung der Verhältnismäßigkeit im Einzelfall – die Wahrscheinlichkeit zu bestimmen ist, mit der der Kunde identifiziert werden wird.
16
Ohne Weiteres zu bejahen ist die Identifizierbarkeit in den – durchaus häufig anzutreffenden – Fallkonstellationen, in denen der Anbieter anhand technischer Hilfsmittel positive Kenntnis von der Identität des die Seite besuchenden Kunden hat. Hat dieser beispielsweise bei einem Anbieter ein Kundenkonto angelegt und in dessen Online-Shop etwas bestellt und wird mithilfe eines Cookies zu einem späteren Zeitpunkt wiedererkannt, fungiert das Cookie als Online-Kennung i. S. d. Art. 4 Nr. 1 DSGVO.
17 Über den im Cookie enthaltenen Datensatz kann der Kunde vom Anbieter nämlich eindeutig identifiziert werden.
18 Macht der Anbieter sich das daraus ableitbare Wissen zwecks Preispersonalisierung zu Nutze – wie es etwa im ähnlich gelagerten
Amazon.com-Fall geschehen war – ist der Anwendungsbereich des Datenschutzrechts eröffnet. Praxisrelevant ist auch die vergleichbare Konstellation, dass ein Anbieter mehrere Dienste in verschiedenen Geschäftsfeldern anbietet und dadurch mittelbar die Identifizierung des Kunden erleichtert wird.
19 Google bietet etwa neben seinem E-Mail-Dienst
Gmail auch Preisvergleichsportale für Verbrauchsgüter, Flugreisen etc. an. Ist ein Kunde etwa bei
Gmail registriert und eingeloggt, während er bei
Google Flights eine Flugreise sucht, ist die Verbindung der Suchanfrage mit der Identität des Nutzers gegeben und dieser aus Sicht des Anbieters zweifelsfrei identifizierbar i. S. d. Art. 4 Nr. 1 DSGVO. Gleiches gilt ggf. für weitere Suchanfragen über die reguläre
Google-Suchmaschine, welche ebenso mit dem Profil des Kunden verbunden werden können.
Der Personenbezug kann auch dann gegeben sein, wenn kundenbezogene technische Daten es dem Anbieter erlauben, Kunden mit einem hohen Grad an Genauigkeit wiederzuerkennen oder beim Surfen zu verfolgen. Der Unterschied zum zuvor beschriebenen Szenario liegt darin, dass der Anbieter (zunächst) keine positive Kenntnis von der Identität des Kunden hat, ihn aber dennoch von anderen unterscheiden bzw. ihn wiedererkennen kann.
Browser bzw.
Device Fingerprinting-Technologien sind hierfür ein gutes Beispiel. Auch Cookies, welche als eindeutige Kennung fungieren und zum Tracking von Kunden verwendet werden, ohne dass die Identität des konkreten Kunden dem Anbieter bereits (etwa aufgrund eines bestehenden Kundenkontos) zwingend bekannt ist, können dementsprechend personenbezogene Daten darstellen. Für die Bejahung des Personenbezugs kommt es in diesen Konstellationen darauf an, dass
„nach allgemeinem Ermessen wahrscheinlich [vom Anbieter oder einem Dritten Mittel] genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“.20 Die tatsächliche Möglichkeit der Identifizierung des Betroffenen ist damit eine zwingende Voraussetzung, um von einem personenbezogenen Datum sprechen zu können. Die bloße Möglichkeit der Individualisierung bzw. Aussonderung des Einzelnen reicht für sich genommen nicht aus.
21 Dies gilt auch dann, wenn das mittels
Fingerprinting generierte technische Profil des Endgeräts des Kunden eine sichere Reidentifikation erlaubt: Auch in diesen Fällen muss zumindest die Möglichkeit bestehen, dass der „wiedererkannte“ bzw. „ausgesonderte“ Kunde identifiziert wird.
22 Dementsprechend hat der
Düsseldorfer Kreis23 bereits 2014 die Meinung vertreten, dass dauerhaft mit dem auf Kundenseite verwendeten Endgerät assoziierte Geräte- und Kartenkennungen als personenbezogene Daten zu betrachten sind, da in der Regel die Zuordnung zu einer natürlichen Person möglich ist.
24 Diese Aussage bezog sich auf verschiedene technische Daten, welche typischerweise vom Anbieter erfasst werden können.
25
Bei allen diesen Identifikationsmerkmalen kommt es also letztlich darauf an, ob dem Anbieter zugängliche Informationen vorliegen, mit deren Hilfe er auf die Identität des Kunden schließen kann und dies nach objektiven Maßstäben – unter Berücksichtigung etwa der dafür aufzubringenden Kosten und des Zeitaufwandes
26 – mit einer gewissen Wahrscheinlichkeit auch tun wird.
27 Erwägungsgrund 26 DSGVO macht deutlich, dass das zur Identifizierung notwendige Zusatzwissen nicht zwingend beim Anbieter selber vorliegen muss. Es genügt grundsätzlich, wenn die Identifizierung nur über den Rückgriff auf Informationen möglich ist, welche bei einem Dritten vorliegen (vgl. den Wortlaut
„Mittel (…), die von dem Verantwortlichen oder einer anderen Person (…) wahrscheinlich genutzt werden“). Gerade bei technischen Daten ist diese Situation durchaus häufig gegeben. Im Folgenden wird das sog.
Breyer-Urteil des EuGH analysiert, welches sich u. a. mit der Rolle von Dritten im Kontext der datenschutzrechtlichen Identifizierbarkeit beschäftigt hat.
cc. Breyer-Urteil: Identifizierbarkeit durch Dritte
Der EuGH hat sich in der Rechtssache
Breyer zu der Frage geäußert, unter welchen Umständen eine dynamische IP-Adresse in Verbindung mit einem Zeitstempel, der angibt, wann mit dieser Adresse eine bestimmte Webseite aufgerufen wurde, für den Diensteanbieter (also den Betreiber der Webseite) ein personenbezogenes Datum darstellt.
28 Die beklagten Diensteanbieter waren vorliegend (nicht näher bezeichnete) Einrichtungen des Bundes, welche stets die IP-Adressen ihrer Webseitenbesucher sowie bestimmte Informationen über den jeweiligen Seitenbesuch in Protokolldateien gespeichert hatten. Grund für die Speicherung waren die Abwehr und die Verfolgung von Cyberattacken. Eine im Rahmen dieser Entscheidung zu beantwortende Frage war, ob die Identifizierbarkeit eines Webseitenbesuchers zu bejahen ist, wenn dem Betreiber der Webseite nur die (dynamische) IP-Adresse und der Zeitpunkt des Seitenaufrufs bekannt sind.
29 Aus diesen Informationen alleine kann nämlich nicht auf die Identität des Seitenbesuchers geschlossen werden. Die Verbindung zwischen IP-Adresse und Seitenbesucher kann bloß der Internetzugangsanbieter (sog.
Access Provider, etwa die
Telekom) herstellen, welcher dem Seitenbesucher den Internetzugang technisch ermöglicht und ihm die IP-Adresse regelmäßig neu zuweist.
30
Aus dem Urteil lassen sich gewisse Anhaltspunkte für die Frage ableiten, welche Rolle Dritte im Rahmen der datenschutzrechtlichen Identifizierbarkeit mittels kundenbezogener technischer Daten spielen. Der Entscheidung lag die (zutreffende) Prämisse zugrunde, dass der Webseitenbetreiber vom Internetzugangsanbieter nicht ohne Weiteres die Offenlegung der Identität des Besuchers verlangen kann. Dies ist rechtlich nur zulässig über den Umweg der Hinzuziehung von Behörden, welche etwa im Rahmen strafrechtlicher Ermittlungen den Internetzugangsanbieter zur Herausgabe u. a. des Namens verpflichten können.
31 Im Normalfall weiß der Webseitenbetreiber damit nicht, wer hinter der IP-Adresse steht, von der seine Seite aufgerufen wird, und kann dies – solange der Besucher nicht weitere Informationen mitteilt – nur in Ausnahmefällen herausfinden.
Der Internetzugangsanbieter ist damit der Dritte, von dem aus datenschutzrechtlicher Sicht die Frage der Identifizierbarkeit abhängt. Angelpunkt der Entscheidung war damit,
„ob die Möglichkeit, eine dynamische IP-Adresse mit den Zusatzinformationen zu verknüpfen, über die der Internetzugangsanbieter verfügt, ein Mittel darstellt, das vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann.“32 Der EuGH führt aus, dass dies nicht der Fall ist, wenn die Identifizierung des Webseitenbesuchers gesetzlich verboten oder praktisch undurchführbar ist, etwa aufgrund eines unverhältnismäßig hohen Aufwandes an Zeit, Kosten und Arbeitskraft, welcher dazu führe, dass das Risiko der Identifizierung vernachlässigt werden könne.
33 In der beschriebenen Fallkonstellation läge somit – vorbehaltlich einer Prüfung der national gegebenen rechtlichen Möglichkeiten durch das vorlegende Gericht – aufgrund der mit rechtlichen Mitteln ggf. erzwingbaren Identifizierungsmöglichkeit ein personenbezogenes Datum vor.
34 Aus dem Urteil ergibt sich, dass diese rechtliche Möglichkeit der Informationsbeschaffung beim Diensteanbieter liegen muss: Nur wenn sie für ihn besteht, handelt es sich auch für ihn (und nicht etwa nur für den Internetzugangsanbieter oder die Behörde) um ein personenbezogenes Datum.
35
Der vom EuGH entschiedene Sachverhalt betraf eine spezielle, eng gefasste Fallkonstellation. Das
Breyer-Urteil kann deshalb nicht ohne Weiteres wie eine Blaupause auf alle hier interessierenden kundenbezogenen technischen Daten übertragen werden. Dennoch lassen sich daraus Erkenntnisse für ihre rechtliche Bewertung ableiten. Dies lässt sich am Beispiel
Staples verdeutlichen.
36 Das Vorgehen von
Staples (Nutzung der in den IP-Adressen enthaltenen ortsbezogenen Informationen zwecks Preispersonalisierung) ist vergleichbar mit dem vom EuGH entschiedenen Sachverhalt: Da die sich aus dem Aufenthaltsort des Kunden ableitende Preisanpassung zwingend bis zum Ende des (etwaigen) Bestellvorgangs bestehen bleiben muss, ist eine (zumindest vorübergehende) Speicherung der IP-Adresse durchaus denkbar. Ein Personenbezug der verarbeiteten Daten wäre demnach zu bejahen:
Staples kennt zwar im Moment des Seitenaufrufs nicht die Identität des Kunden, sondern nur dessen ungefähren Aufenthaltsort.
37 Ebenso wie im Falle der Einrichtungen des Bundes besteht für
Staples als Diensteanbieter allerdings die grundsätzliche Möglichkeit, diese im Falle von Cyberattacken auf rechtmäßigem Wege herauszufinden. Der EuGH hat die grundsätzliche Möglichkeit des Zugriffs auf die Informationen des Dritten (über den Umweg der Strafverfolgungsbehörde, die als „Vierter“ bezeichnet werden kann) ausreichen lassen.
38 Im Fall
Staples kommt noch hinzu, dass es diesem Anbieter sogar tatsächlich darauf ankommt, Kenntnis von der Identität des Seitenbesuchers zu erlangen. Schließlich handelt es sich um einen potenziellen Kunden, der im Idealfall etwas kauft und in diesem Rahmen seinen Namen, seine Adresse etc. offenlegt. Die Zweckbestimmung im Rahmen der Datenerhebung – Preispersonalisierung – ist also ein weiteres Argument dafür, die erhobenen Daten als personenbezogen zu qualifizieren. Dies alles spricht dafür, im Fall
Staples (so wie in
Breyer) den Personenbezug zu bejahen.
dd. Weiterführende Überlegungen
Einige aus dem
Breyer-Urteil abgeleitete Überlegungen helfen trotz der eng gefassten Fallkonstellation bei der Analyse seiner Implikationen für die datenschutzrechtliche Bewertung online personalisierter Preise. Auf andere technische kundenbezogene Daten, wie etwa auf ID-Nummern von Smartphones, Cookie-IDs oder MAC-Adressen, lässt es sich nicht pauschal übertragen, da dem Anbieter mit Blick auf diese Datenarten keine der Situation bei IP-Adressen vergleichbare rechtliche Möglichkeit der Informationsbeschaffung zur Verfügung steht.
39 Dies ist aber auch nicht
per se notwendig, um den Personenbezug zu bejahen. Der EuGH stellt in seinen Ausführungen nur darauf ab, ob
„die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre“.40 Es kommt damit auf die faktische Möglichkeit der Identifizierung an, unabhängig davon, ob diese mit rechtlichen Mitteln erzwungen werden kann oder auf anderem Wege zustande kommt.
Die wichtigste Erkenntnis im Kontext von Preispersonalisierung ergibt sich aus einem anderen Blickwinkel, nämlich mit dem Blick auf die aus dem
Breyer-Urteil ablesbaren Aussagen zur Relation zwischen der faktischen Identifizierungsmöglichkeit und der dafür maßgebenden zeitlichen Komponente. Der EuGH macht deutlich, dass ein personenbezogenes Datum bereits vorliegen kann, bevor die Identifikation (mittels Rückgriff auf das Wissen Dritter) tatsächlich stattgefunden hat. Dies ergibt sich vor allem aus der folgenden, auf den Konjunktiv zurückgreifenden Aussage:
„Der Anbieter (…) verfügt somit offenbar über Mittel, die vernünftigerweise eingesetzt werden könnten, um mit Hilfe Dritter (…) die betreffende Person (…) bestimmen zu lassen.“41 Die damit zum Ausdruck gebrachte weite Auslegung des Begriffs der Personenbeziehbarkeit spielt auch im Kontext von Preispersonalisierung eine Rolle.
42 Sie verlagert den für die rechtliche Einordnung des Datums maßgeblichen Zeitpunkt recht weit nach vorne. Zugleich verlagert sie damit dogmatisch den Schwerpunkt der Prüfung auf die Frage, ob die Identifizierung des Kunden
„nach allgemeinem Ermessen wahrscheinlich“ ist i. S. v. Erwägungsgrund 26 DSGVO. Auch bei der Bestimmung dieser Wahrscheinlichkeit ist der EuGH eher großzügig: Laut Urteil gelten alle vom Bund gespeicherten IP-Adressen als personenbezogene Daten, obwohl das ihren Personenbezug begründende hypothetische Szenario (Abwehr und Strafverfolgung etwaiger Cyberattacken) nur bei einem Bruchteil der Seitenbesucher tatsächlich Realität werden dürfte. Die Wahrscheinlichkeit, dass der Besucher eines Online-Shops bei diesem auch tatsächlich einen Einkauf tätigt, dürfte
„nach allgemeinem Ermessen“ bedeutend höher sein, sodass ein Personenbezug in diesen Fällen erst recht anzunehmen ist.
Angesichts dieses weit gefassten zeitlichen Maßstabs wird im Kontext von Preispersonalisierung ein Personenbezug bei Erhebung und Verarbeitung kundenbezogener technischer Daten in aller Regel zu bejahen sein, unabhängig davon, ob diesen isoliert betrachtet eine bedeutsame Aussagekraft innewohnt. Dies liegt daran, dass der Anbieter ab dem Moment, in dem ein Kunde seinen Online-Shop aufruft, ein subjektives Interesse
43 und die bei objektiver Betrachtungsweise realistische Aussicht hat, zumindest zu einem späteren Zeitpunkt die Identität des Kunden zu erfahren. Gemeint ist der Zeitpunkt des Kaufvorgangs: Spätestens beim Kauf des Produktes bzw. der Dienstleistung muss der Kunde seine (bürgerliche) Identität offenlegen.
44
Die Identifizierung des Kunden ist damit – wenngleich es dem Anbieter nicht primär um sie, sondern um den Abschluss des Kaufvertrags bzw. Dienstleistungsvertrags geht – Ziel oder zumindest Reflexwirkung der Datenerhebung. Die Fallkonstellationen, in denen technische kundenbezogene Daten mit der Absicht erfasst werden, sie (zumindest möglicherweise) zu Zwecken des
Personalised Pricings zu nutzen, eröffnen deshalb den Anwendungsbereich des Datenschutzrechts.
45 Es kommt nicht darauf an, ob sich die Identifizierung des Kunden tatsächlich realisiert. Vielmehr genügt es, dass die Möglichkeit besteht, die Verknüpfung zwischen technischer Information und Identität herzustellen.
46 Die sich möglicherweise in einem Schaden für Persönlichkeitsrechte niederschlagende Gefahr genügt, um das Schutzsystem der Datenschutz-Grundverordnung auszulösen. Damit liegt auch eine Verarbeitung personenbezogener Daten vor, wenn ein Kunde die Seite des Anbieters aufruft und, ohne einen Kauf zu tätigen, wieder verlässt. Voraussetzung dafür ist, dass der Anbieter die Personalisierung der Preise zumindest als Option vorgesehen und zu diesem Zweck die technischen Daten erhoben hat. Auf die im Einzelfall zum Einsatz kommenden Techniken und die Art der erhobenen Daten kann es dabei nicht ankommen. Um Umgehungen des von der Datenschutz-Grundverordnung installierten Schutzsystems zu verhindern, ist diese technologieneutral ausgestaltet.
47 Deshalb ist sie auch in diesem Sinne auszulegen. Es spielt also keine Rolle, ob der Anbieter
Fingerprinting-Technologien bzw. Cookies einsetzt, um den Kunden zu tracken, oder ob er nur den
Referrer Header ausliest, um darin enthaltene Informationen zur Personalisierung von Preisen einzusetzen.
ff. Zwischenergebnis
Online-Preispersonalisierung eröffnet den Anwendungsbereich der Datenschutz-Grundverordnung gem. Art. 2 I, 4 Nr. 1 DSGVO. Das Datenschutzrecht beinhaltet damit auch eine indirekte Regulierung von Preispersonalisierung. In vielen Fällen ist die für die Bejahung der Anwendbarkeit relevante Frage, ob den verarbeiteten Daten ein Personenbezug innewohnt, gänzlich unproblematisch zu bejahen. Bei der Auswertung von bereits bestehenden Kundenprofilen handelt es sich bei den darin gespeicherten Informationen beispielsweise ohne Weiteres um personenbezogene Daten, da sie mit der dem Anbieter bekannten Identität des Kunden verknüpft werden. Schwieriger wird die rechtliche Bewertung dann, wenn Anbieter mit Informationen zu tun haben (und diese zur Personalisierung von Preisen nutzen), welche aus sich heraus keinen offensichtlichen Personenbezug erkennen lassen und deren Übertragung oftmals aus technischen Gründen geboten ist. Der aus rechtlicher Sicht maßgebende Angelpunkt ist in diesen Fällen die Frage, ob diese Informationen sich auf eine identifizierbare natürliche Person i. S. d. Art. 4 Nr. 1 Alt. 2 DSGVO beziehen oder nicht. Die faktische Identifizierungswahrscheinlichkeit, zu bestimmen nach den Maßgaben des Erwägungsgrundes 26 DSGVO, rückt damit in den Mittelpunkt der datenschutzrechtlichen Prüfung. Aus dem Breyer-Urteil des EuGH lässt sich ableiten, dass die Bejahung der Identifizierbarkeit (und mithin die Annahme von Personenbezug) zu einem durchaus frühen Zeitpunkt möglich ist. Zudem lässt das Urteil sich so verstehen, dass ein personenbezogenes Datum schon dann vorliegen kann, wenn die tatsächliche Identifizierung des Betroffenen von Umständen abhängt, die außerhalb der Einflussmöglichkeiten des Anbieters liegen. Übertragen auf Preispersonalisierung und die in der Praxis zum Einsatz kommenden technischen kundenbezogenen Daten lässt dies den Schluss zu, dass diese Daten bereits im Zeitpunkt der ersten Verarbeitung personenbezogen sind: Der Anbieter erhebt sie mit dem (zumindest mittelbar verfolgten) Ziel, den Kunden später, nämlich im Moment des Kaufabschlusses, zu identifizieren. Die konkrete technische Natur dieser Daten ist irrelevant, sofern ihre Erhebung zumindest auch der Preispersonalisierung und nicht nur technischen Erfordernissen dient. Nur diese technologieneutrale, bereits zu einem frühen Zeitpunkt ansetzende Betrachtungsweise kann den von der Datenschutz-Grundverordnung bezweckten umfassenden Grundrechtsschutz effektiv absichern. Preispersonalisierung unterscheidet sich damit in einem wesentlichen Punkt von anderen Formen von Personalisierung, bei denen die Identität des Internet-Nutzers für denjenigen, der die Personalisierung veranlasst, oftmals nur von zweitrangiger Bedeutung ist. Dies gilt im besonderen Maße für Online-Werbung, deren rechtliche Bewertung mithin unter anderen Vorzeichen stattfinden muss.