Dieser Blogbeitrag behandelt den datenschutzrechtlichen Rahmen und inwiefern dieser die Verwendung von Verbraucherdaten zur Personalisierung durch Algorithmen erlaubt. Das Unternehmen muss für ein möglichst effizientes Matching von Kunden und Produkten die Kundenpräferenz sowie deren Zahlungsbereitschaft erlernen. Hierfür unabdinglich sind anfangs Trainingsdaten in Form von umfangreichen Datensätzen zur Erlangung dieser Kenntnis, sowie in weiterer Folge die Daten des betroffenen Users: Je mehr und je persönlicher diese Daten sind und je mehr Trainingsdaten dem Algorithmus zum „Anlernen“ bereitgestellt wurden, umso genauer kann ein dem User entsprechendes Profil erstellt werden. Dies hat im Einklang mit dem Ziel der DSGVO, dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) zu geschehen.

Durch die Herausarbeitung in der Einleitung, welche Daten von Vebrauchern für die Bestimmung von personalisierten Preisen nötig bzw. vorteilhaft sind (Standort, Alter, Nationalität, IP-Adresse, Surfverhalten durch Cookies/Kundenkonto usw) sowie Besonderheiten spezifischer Datenquellen wie Social Media, Open Data, sensibler Payment Data von Kredit- und Bankomatkarten sowie App-Daten kann hier speziell auf diese eingegangen werden und erörtert werden, welche Erfordernisse im Lichte der DSGVO zur Erhebung bzw. zur Verarbeitung nötig sind.

Der erste Schritt ist die rechtliche Beurteilung dieser unterschiedlichen Datenarten:

Personenbezogene Daten sind in Art 4 Nr 1 DSGVO definiert und unterliegen im Gegensatz zu anonymen Daten den Regelungen der DSGVO. Diese personenbezogenen Daten werden durch die Kategorie der besonderen personenbezogenen Daten weiter unterteilt, diese dürfen aufgrund ihrer Sensibilität nur in den Fällen des Art 9 Abs. 2 und 3 erhoben und verarbeitet werden, zB. durch das Einverständnis des Betroffenen.

Alle anderen personenbezogenen Daten unterliegen den Grundsätzen der Verarbeitung nach Artikel 5 DSGVO, wie beispielsweise Transparenz, Angemessenheit, Richtigkeit sowie Intergrität und Vertraulichkeit. Zudem ist die Verarbeitung dieser Daten nur rechtmäßig, sofern eine der Bedingungen des Artikel 6 Abs1 DSGVO erfüllt ist, wie die Einwilligung (lit a), zur Erfüllung eines Vertrages (lit b), aufgrund berechtigter Interessen des Verantwortlichen oder Dritter, sofern eine Interessensabwägung hinsichlich der Grundrechte nichts anderes ergibt (lit f).

Die Einwilligung in die Verarbeitung der Daten kann in unterschiedlichen Ausformungen geschehen, wie durch Akzeptieren der Datenschutzerklärung beim Besuch einer Website oder bei Erstellen eines Kundenkontos. Auf diese Art der Einwilligung und deren Informationsausgestaltung ist aber näher einzugehen und inwiefern diese Daten zur Personalisierung herangezogen werden.  Für eine wirksame Einwilligung muss diese freiwillig und in Kenntnis der Umstände erfolgen. Kunden können diese meist sehr komplexen Vorgänge bei der Personalisierung jedoch kaum erfassen, daher muss die Einwilligung so ausgestaltet sein, dass sich ein Durchschnittsverbraucher der Tragweite der Einwilligung bewusst ist und dementsprechend deutlich geschehen.

Die Tragweite des Kopplungsverbots nach der DSGVO und deren mögliche Ausformungen in Bezug auf personalisierte Preise gilt es in diesem Zusammenhang zu erörtern. Nach diesem darf eine vertragliche Leistung nicht von der Einwilligung in die Datenverarbeitung abhängig gemacht werden, daher ist ein Ausschluss des Einzelnen aufgrund fehlender Zustimmung nicht möglich. Fraglich ist hingegen, ob es für Webshop-Betreiber möglich ist, bei fehlender Einwilligung einen deutlich erhöhten Preis festzusetzen, (der weit über allen möglichen personalisierten Preisen liegt) sofern der User verweigert, seine Daten preiszugeben. Daher würde ihm weiterhin der Markt eröffnet werden, jedoch zu deutlich schlechteren Konditionen als mit Einwilligung in die Datenverarbeitung. Die Erlaubtheit von derartigen Umgehungen ist insbesondere im Bezug auf das Kopplungsverbot genauer zu prüfen.

Die Ausnahme des Art 6 Abs 1 lit b DSGVO (dh. die Erforderlichkeit der Daten zur Erfüllung eines Vertrages) wird zur Verarbeitung personenbezogener Daten nicht erfüllt sein, wenngleich der Preis zu den essentiali negotii eines Vertrags gehört. Denn die Erfüllung eines Vertrags ist sehr wohl auch ohne die Bildung von personalisierten Preisen möglich, wie bisher durch einen Einheitspreis. Artikel 6 Abs 1 lit f DSGVO wäre als Öffnungsklausel hinsichtlich der Erhebung von Daten denkbar, da berechtigte Interessen (wirtschaftlicher Natur) des Unternehmers gegeben sind, personalisierte Preise zu bilden. Hier ist daher auf die Intensität des Eingriffs sowie auf die Erwartungshaltung des Betroffenen durch eine Interessensabwägung beider Seiten näher einzugehen: Hier wird abhängig von der Art der personenbezogenen Daten die Erhebung und Speicherung zur Bildung personalisierter Preise erlaubt sein. Die Abgrenzung der Intensität des Eingriffs, der erhobenen Daten und der gegenüberstehenden Interessen des Betroffenen sind in diesem Zusammenhang wichtig, um die Erlaubnis des Sammelns einschätzen zu können. Dies ist anhand verschiedener Fallkonstellationen darzulegen und zu beurteilen.

Auch die anderweitige Beschaffung von Daten, wie der Datenhandel oder die Sammlung durch Dritte (wie etwa eingebettete Plugins auf Webseiten) werfen einige datenschutzrechtliche Fragen auf, die in der Arbeit genauer behandelt werden. Auch ist personalisiertes Marketing durch Drittanbieter und deren Daten und neue Techniken, wie Facebooks „Custom Audiences“ im Zusammenhang mit der Vermischung von Datensätzen zu betrachten und die rechtliche Erlaubtheit von Techniken wie dieser zu hinterfragen.

Da diese Preisbildungen mittels People Analytics-Anwendungen vollzogen werden, die Profile bilden, um im nächsten Schritt den Preis kalkulieren zu können, ist zu prüfen, ob diese Art der Verarbeitung unter das Verbot von ausschließlich automatisiert generierten Einzelentscheidungen nach Art 22 DSGVO fällt.

Diese Entscheidung muss, um unter Artikel 22 DSGVO subsumierbar zu sein, rechtliche Auswirkungen gegenüber dem Betroffen entfalten oder diesen in ähnlicher Weise beeinträchtigen. Eine rechtliche Auswirkung ist hier fraglich, da es sich bei einem personalisierten Preis nur um ein öffentliches Anbieten einer Leistung („invitatio ad offerendum“) handelt und dieses ohne Abgabe eines Angebots des Betroffenen („offert“) keine rechtlichen Auswirkungen entfaltet. Unklar verhält es sich hinsichtlich der „Beeinträchtigung in ähnlicher Weise“, da der Betroffene bei mangelnder Alternative zum Vertragsschluss gezwungen sein kann, oder eine diskriminierende Preisgestaltung nach Art 9 DSGVO vorliegen könnte.  Zudem normiert Art 22 DSGVO in Abs 2 Ausnahmen, bei denen eine Verarbeitung der Daten erlaubt ist, wie die Erforderlichkeit der Automatisierung: Ob die Begründung der Effektivität und Kostenvermeidung, wie sie bei Massengeschäften im E-Commerce auftritt, ausreichend ist, sofern auch anders ein Preis gebildet werden kann, ist mE fraglich. Diese Ansicht wird jedoch in weiten Teilen der Literatur vertreten.

Parallel gilt es zu klären, wie es sich mit pseudonymisierten Daten verhält, also Daten, die nur mittels weiterer Daten Aufschluss über den Betroffenen geben. Erwägungsgrund 26 der DSGVO nach sollten diese Daten, da der Verarbeiter die Möglichkeit hat, diese zu personenbezogenen Daten werden zu lassen (je nach Wahrscheinlichkeit einer Personifizierung), auch gleich behandeln. Die Abgrenzung zwischen pseudonymisierten und personenbezogenen Daten fällt hier deshalb sehr schwer, weil viele Daten anhand weiterer Daten Aufschluss über die betroffene Person geben können. Gänzlich anonyme Daten, die auch in Verbindung mit anderen Informationen keinen Personenbezug herstellen lassen, sind für die Personalisierung von Preisen unbrauchbar.

Auch sind die Informationspflichten der DSGVO im Zusammenhang mit der gängigen Praxis des Fencing zu hinterfragen, sowie das Verbot des Profiling näher auszuführen und inwiefern diese Regelung bei der Personalisierung von Preisen Anwendung findet.  Erwähnenswert ist in diesem Zusammenhang auch die E-Privacy-Verordnung, durch welche eine einheitliche Regelung hinsichtlich des digitalen Binnenverkehrs angestrebt wurde und die Regelungen der DSGVO sinnvoll ergänzen und als lex specialis konkretisieren sollte. Insbesondere sollten wichtige Vorgaben zum Einsatz von Cookies, Pixeln oder anderen Tracking-Methoden gesetzt und Usern dadurch ein besserer Datenschutz garantiert werden: Da der erste Entwurf aus 2017 scheiterte, ist fraglich, ob und inwiefern diese Verordnung noch umgesetzt wird. Ein neuer Entwurf wird aktuell im Rat der europäischen Union diskutiert.

Die Aufarbeitung des datenschutzrechtlichen Rahmens ist in dieser Arbeit vor allem als Vorfrage hinsichtlich der Zulässigkeit von personalisierten Preisen nötig, um mögliche Anknüpfungspunkte in anderen Rechtsmaterien zu finden und erörtern zu können. Zudem wird eruiert, inwiefern die DSGVO selbst eine Öffnungsklausel für Rechtsverletzungen anderer Rechtsbereiche beinhaltet, dies auch im Hinblick auf aus der DSGVO entspringenden Rechtsbehelfen, wie den weit formulierten Art 82 DSGVO, der jeder Person, die aufgrund eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, einen Schadenersatzanspruch einräumt. Ob eine Personalisierung von Preisen mittels unrechtmäßig erlangter Daten zu einem Schaden iSd Art 82 DSGVO führen kann, ist in der Arbeit zu behandeln und anhand entsprechender, aktueller Judikatur zu beurteilen. Auch wird in diesem Zusammenhang das Verhältnis des Datenschutzrechts zu anderen Rechtsbereichen, insbesondere dem Vertrags- und Wettbewerbsrecht behandelt.