Worum es wirklich geht Viele digitale Angebote wirken gebührenfrei. In Wahrheit fließt häufig eine klare Gegenleistung. Verbraucher bezahlen nicht mit Euro, sondern mit personenbezogenen Daten. Genau das erkennt unser Gesetz seit 2022 ausdrücklich an. Wo Daten die Gegenleistung sind, greifen die speziellen Verbraucherrechte für digitale Produkte voll. Das schafft Ordnung im Markt, stärkt Transparenz und zwingt Anbieter zu Qualität. Die Bundesverbraucherhilfe benennt die Regeln, ordnet sie ein und formuliert Erwartungen an Unternehmen, die in Deutschland ernst genommen werden wollen. Der rechtliche Ankerpunkt Der Kern steht in § 327 BGB. Die Vorschriften der §§ 327 bis 327u BGB gelten für Verbraucherverträge über digitale Produkte. Das umfasst digitale Inhalte wie Programme, E Books, Musik und Spiele sowie digitale Dienstleistungen wie Cloud Angebote oder Apps. Nach § 327 Abs. 3 BGB gilt dies ausdrücklich auch dann, wenn der Verbraucher als Gegenleistung personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Damit wird die Datenhingabe rechtlich wie ein Preis behandelt. Ausgenommen sind Konstellationen, in denen der Unternehmer die bereitgestellten Daten ausschließlich verarbeitet, um seine Leistungspflicht oder gesetzliche Vorgaben zu erfüllen. Europäische Herkunft und wirtschaftlicher Hintergrund Die deutsche Regelung setzt die EU Richtlinie 2019 770 über digitale Inhalte und digitale Dienstleistungen um. Diese Richtlinie stellt klar, dass Modelle Daten gegen Leistung in den Anwendungsbereich fallen. Ziel ist es, einheitliche Standards zu schaffen und die vertraglichen Rechte von Verbrauchern auch bei vermeintlich kostenlosen Angeboten abzusichern. Der Markt erhält damit klare Spielregeln für Konformität, Aktualität und Rechtsbehelfe. Was genau als Gegenleistung zählt Als Gegenleistung gelten personenbezogene Daten, die der Verbraucher einem Unternehmer überlässt, damit dieser sie für wirtschaftliche Zwecke nutzt. Typische Beispiele sind die Bereitstellung von Namen, Kontakt und Geburtsdatum, um Marketing zu ermöglichen oder Profile zu monetarisieren. Nicht vom Gegenleistungsmodell erfasst sind Daten, die ausschließlich zur Erfüllung der Leistung oder zur Einhaltung rechtlicher Pflichten benötigt werden. Diese Abgrenzung steht sowohl in § 312 Abs. 1a BGB für die allgemeinen Verbraucherregeln als auch im System der §§ 327 ff. BGB. Dadurch gelten Informationspflichten und Widerrufsregeln auch dann, wenn ein Angebot mit Daten bezahlt wird. Die zentralen Rechte bei Daten als Preis Wer mit Daten zahlt, erhält nahezu das volle Paket an Gewährleistungsrechten für digitale Produkte. Das beginnt mit dem Anspruch auf ein mangelfreies digitales Produkt im Sinne von § 327e BGB und reicht über Nacherfüllung, Vertragsbeendigung und Schadensersatz bis zur Beweislastumkehr. Das System ist bewusst am Kaufrecht orientiert, jedoch auf digitale Besonderheiten zugeschnitten. Ein Schwerpunkt ist die Aktualisierungspflicht. § 327f BGB verpflichtet den Unternehmer, während des maßgeblichen Zeitraums notwendige Updates bereitzustellen und Verbraucher hierüber zu informieren. Dazu zählen auch Sicherheitsaktualisierungen. Unterbleiben erforderliche Updates, liegt ein Mangel vor. Für Verbraucher bedeutet das, dass auch eine scheinbar kostenlose App über die gesamte Nutzungsdauer sicher und funktionsfähig gehalten werden muss. Minderung oder Kündigung Die Minderung ist der klassische Weg, den Preis bei Mängeln zu reduzieren. § 327n BGB erlaubt die Minderung jedoch nur, wenn tatsächlich ein Geldpreis geschuldet ist. Wer ausschließlich mit Daten bezahlt, kann folgerichtig nichts mindern. In diesen Fällen ist die konsequente Lösung die Vertragsbeendigung. Das Gesetz will hier Klarheit statt Scheinlösungen. Kommentar und Gesetzesbegründung bestätigen dies. Besonders stark ist der Kündigungsschutz: § 327m Abs. 2 Satz 2 BGB hebt die Erheblichkeitsschwelle für Verträge mit Daten als Gegenleistung auf. Das bedeutet, dass Verbraucher bei kleineren Mängeln nicht an Verträge gefesselt bleiben. Sie dürfen beenden, selbst wenn der Mangel an sich gering wäre. In der Praxis erhöht das den Druck auf Anbieter, mangelfreie digitale Produkte zu liefern und die Qualität dauerhaft zu halten. Abgrenzungen und echte Ausnahmen Nicht jeder Datenaustausch aktiviert das System der §§ 327 ff. BGB. Ausgenommen sind etwa Verträge über freie und quelloffene Software, wenn der Verbraucher keinen Preis zahlt und der Unternehmer personenbezogene Daten ausschließlich zur Verbesserung von Sicherheit, Kompatibilität oder Interoperabilität der Software verarbeitet. Diese Ausnahme soll Innovation im Open Source Umfeld schützen und trägt der gemeinschaftlichen Entwicklungskultur Rechnung. Entscheidend ist die strikte Zweckbindung. Wird darüber hinaus monetarisiert, greift wieder das volle Regime. Schnittstelle zum Datenschutzrecht Die Verbraucherverträge mit Daten als Gegenleistung müssen datenschutzrechtlich tragfähig sein. Eine Einwilligung ist nur gültig, wenn sie freiwillig ist. Das Kopplungsverbot in Artikel 7 Absatz 4 der Datenschutz Grundverordnung und Erwägungsgrund 43 setzen enge Maßstäbe. Eine Dienstleistung darf nicht von einer Einwilligung in eine zusätzliche, für die Vertragserfüllung nicht erforderliche Datenverarbeitung abhängig gemacht werden. Die europäischen Aufsichtsbehörden bekräftigen diese Linie. Unternehmen, die auf Daten als Gegenleistung setzen, müssen Einwilligungen getrennt einholen, Zwecke klar darstellen und echte Wahlfreiheit bieten. Andernfalls sind die Geschäftsmodelle rechtlich unhaltbar. Praxisrelevante Folgen für Verbraucher Wer eine scheinbar kostenlose App nutzt, darf eine mangelfreie Leistung und ordnungsgemäße Updates erwarten. Kommt es zu Störungen, ist der erste Schritt die Nacherfüllung. Bleiben Mängel bestehen, kann bei Daten als Gegenleistung die Vertragsbeendigung erklärt werden. Der Anbieter muss dann die Verarbeitung der bereitgestellten Daten für die vertraglichen Zwecke einstellen und die gesetzlichen Löschpflichten beachten. Eine Minderung kommt nur in Betracht, wenn zusätzlich Geld geflossen ist. Für Verbraucher lautet die klare Leitlinie, die Einwilligungstexte zu lesen, den Update Status zu beobachten und Mängel strukturiert zu dokumentieren. Das erhöht die Durchsetzungskraft. Erwartungen der Bundesverbraucherhilfe an den Markt Wir verlangen von der Digitalwirtschaft kompromisslose Klarheit. Wer mit Daten bezahlt, muss dieselbe Verlässlichkeit erhalten wie beim klassischen Kauf gegen Geld. Anbieter haben saubere Opt-in-Prozesse zu etablieren, Zweckbindungen real zu leben und Updatepflichten planbar zu erfüllen. Geschäftsmodelle, die Qualität aufschieben oder Einwilligungen verstecken, sind nicht marktfähig. Gleichzeitig erwarten wir von der Politik Rechtssicherheit statt weiterer Regelflut. Die §§ 327 ff. BGB und die EU Vorgaben bilden einen ausbalancierten Rahmen. Entscheidend ist die konsequente Anwendung in der Aufsicht und die Durchsetzung durch Zivilgerichte, nicht die nächste Reformwelle. Fazit Kostenlos ist im Digitalen die Ausnahme. Wer mit Daten zahlt, erhält dafür ausgewachsene Rechte. § 327 Abs. 3 BGB macht die Datenhingabe zum Preis und aktiviert die Gewährleistungsmechanik für digitale Produkte. Updates sind Pflicht. Minderung setzt einen Geldpreis voraus. Bei Daten als Gegenleistung steht die Vertragsbeendigung schon bei kleineren Mängeln offen. Ausnahmen gelten eng und zweckgebunden, etwa bei frei lizenzierter Software, die ausschließlich aus Sicherheits- und Kompatibilitätsgründen Daten verarbeitet. Parallel sichert das Datenschutzrecht die Freiwilligkeit der Einwilligung ab. Diese Kombination stärkt Verbraucher und schafft faire Wettbewerbsbedingungen für ernsthafte Anbieter.

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben Datenschutzbehörden europaweit zahlreiche Bußgelder wegen Verstößen gegen die Verordnung verhängt. Die Höhe dieser Geldstrafen variiert erheblich und richtet sich nach der Schwere des Verstoßes sowie der Größe des betroffenen Unternehmens. Die DSGVO sieht dabei Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist.​ Bußgeldrahmen der DSGVO Die DSGVO unterscheidet zwischen zwei Kategorien von Verstößen:​ Geringfügigere Verstöße : Hierzu zählen beispielsweise Verstöße gegen die Pflichten des Verantwortlichen und des Auftragsverarbeiters, wie die mangelnde Umsetzung technischer und organisatorischer Maßnahmen. Für solche Verstöße können Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden.​ Schwerwiegendere Verstöße : Dazu gehören Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten, die Rechte der betroffenen Personen oder die Übermittlung personenbezogener Daten an Drittländer ohne angemessene Garantien. In diesen Fällen können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.​ Aktuelle Bußgelder und Fallbeispiele In den letzten Monaten haben europäische Datenschutzbehörden mehrere erhebliche Bußgelder verhängt:​ Spanien : Die spanische Datenschutzbehörde (AEPD) verhängte im Februar 2025 ein Bußgeld von 1,2 Millionen Euro gegen ein Telekommunikationsunternehmen, weil es ohne ausreichende Identitätsprüfung eine SIM-Karte an einen Betrüger ausgegeben hatte. Dies führte zu einem finanziellen Schaden für den betroffenen Kunden. ​ Rumänien : Die rumänische Datenschutzbehörde verhängte ein Bußgeld von knapp 40.000 Euro gegen ein Telekommunikationsunternehmen, weil es Löschungsanfragen von abgelehnten potenziellen Kunden nicht korrekt bearbeitet und unnötige persönliche Daten angefordert hatte. Finnland : Die finnische Datenschutzbehörde verhängte ein Bußgeld von 950.000 Euro gegen einen Kreditvergleichsdienst, weil Unbefugte durch manipulierte Webadressen Zugriff auf sensible Daten von Kreditantragstellern hatten. Bedeutung für Unternehmen Diese Fälle verdeutlichen, dass Datenschutzbehörden Verstöße gegen die DSGVO konsequent ahnden und dabei auch erhebliche Geldstrafen verhängen. Unternehmen sind daher angehalten, ihre Datenschutzmaßnahmen regelmäßig zu überprüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen, um Bußgelder und Reputationsschäden zu vermeiden.