10. Oktober 2025

Kopplungsverbot nach DSGVO

Einleitung

In unserer zunehmend digitalisierten Welt ist der Schutz personenbezogener Daten selbstverständlich von zentraler Bedeutung und sollte große Beachtung finden. Die Datenschutz-Grundverordnung (DSGVO) stellt dabei seit ihrem Inkrafttreten seit 2018 sicher, dass die Verarbeitung personenbezogener Daten an klare rechtliche Voraussetzungen geknüpft ist – insbesondere an die Freiwilligkeit einer Einwilligung natürlicher bzw. betroffener Personen. Weitere Rechtsgrundlagen werden ebenfalls in der DSGVO benannt, sowohl in Art. 6 DSGVO als auch in Art. 9 DSGVO, allerdings soll sich dieser Beitrag hauptsächlich mit der Einwilligung sowie dem damit verbundenen Kopplungsverbot beschäftigen.

Was ist das Kopplungsverbot?

Das Kopplungsverbot ist kein absolutes Verbot, sondern ein Prüfkriterium für die Freiwilligkeit der Einwilligung (Art. 7 Abs. 4 DSGVO, ErwGr. 43). Unzulässig ist die Kopplung, wenn Daten nicht für den eigentlichen Zweck erforderlich sind, um den Vertrag bzw. die Dienstleistung zu erfüllen.

So heißt es im Gesetz: „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“ (Art. 7 Abs. 4 DSGVO).

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen
& Kunden überzeugen durch
einen ext. Datenschutzbeauftragten.

Anforderungen des Kopplungsverbots

Wichtig zu erwähnen ist an dieser Stelle, dass eine Einwilligung laut des Erwägungsgrundes 47 nicht als freiwillig erteilt gilt, wenn keine echte oder freie Wahl besteht oder die betroffene Person nicht in der Lage ist, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen.

Das heutige Spannungsfeld in diesem Zusammenhang entsteht dadurch, dass viele Unternehmen probieren, zusätzliche Einwilligungen zur Datenverarbeitung einzuholen, um beispielsweise personalisierte Werbung versenden zu können oder Nutzungsanalysen durchzuführen.

Das Kopplungsverbot dient in diesem Zuge dem Schutz der informationellen Selbstbestimmung, sodass betroffene Personen frei entscheiden können, ob und in welchem Umfang sie in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Dabei dürfen die Personen nicht gezwungen werden, mehr Daten preiszugeben, als für eine angeforderte Dienstleistung erforderlich ist.

Allerdings ist nicht jede Koppelung automatisch unzulässig. Eine Kopplung kann in einigen Fällen auch zulässig sein, wenn diese für die Datenverarbeitung objektiv notwendig ist, damit ein Unternehmen eine Dienstleistung für Kunden erbringen kann. Zentraler Prüf- bzw. Abgrenzungspunkt ist folglich die Erforderlichkeit und Notwendigkeit der Verarbeitung, wie zum Beispiel, bei der Angabe einer Adresse für eine Lieferung, den Kontodaten für eine Zahlungsabwicklung oder der E-Mail-Adresse für einen Login.

Leider wird in der Praxis häufig versucht, das Kopplungsverbot zu umgehen, beispielsweise durch eine unklare Gestaltung von Einwilligungsformularen oder entsprechenden „Alles oder Nichts“-Optionen. Dabei können Verstöße gegen das Kopplungsverbot für Unternehmen zu Untersagungsverfügungen, Bußgeldern oder Schadensersatzforderungen führen. Wichtig ist es in diesem Zusammenhang zu erwähnen, dass Datenschutzaufsichtsbehörden durchaus zunehmend auf jene Fälle achten und die Sanktionen deutlich vermehrt verhängt werden. Erfahrene Datenschutzbeauftragte kennen sich gut mit der Gratwanderung einer zulässigen Kopplung aus. Sollten Sie eine Datenverarbeitung für mehrere Zwecke (gekoppelt) vornehmen, ist eine Prüfung empfehlenswert.

Unsicher im Datenschutz?

Erhalten Sie kostenfreie Muster für die Umsetzung in Ihrem Unternehmen.

Aktuelle Rechtsprechung zum Kopplungsverbot

OLG Stuttgart:

Beispielgebend lässt sich ein Urteil des OLG Stuttgart nennen, welches von der Transparenz des Lebensmittel-Einzelhändlers „Lidl“ gegenüber den Verbrauchern bei der Nutzung der Lidl Plus App handelt. Fraglich war im Zuge des Urteils, ob die App-Nutzer:innen mit ihren Daten zahlen, um Rabatte zu erhalten.

Nutzer:innen müssen grundsätzlich bei der Registrierung in der App personenbezogene Daten, wie den Namen, das Geburtsdatum und die Mobilfunknummer angeben, obwohl die Nutzung der App laut der Teilnahmebedingungen als „kostenlos“ deklariert wird.

In erster Instanz hat das OLG Stuttgart nun mit Urt. v. 23.9.2025 – 6 UKl 2/25 entschieden, dass der Anbieter die Gestaltung der App unverändert lassen kann.

Demnach wurde die Klage des Verbraucherzentrale-Bundesverbands (kurz: vzbv) abgewiesen. Es wurde entschieden, dass Lidl nicht verpflichtet sei, die Bereitstellung personenbezogener Daten als Gesamtpreis für ihre Dienstleistungen zu kennzeichnen.

Nach den relevanten gesetzlichen Bestimmungen muss ein Unternehmen den Preis für seine Leistungen angeben, jedoch nicht andere Gegenleistungen wie personenbezogene Daten, sodass die Bezeichnung als „kostenlos“ nicht als – per se – irreführend gewertet werden kann. Als Begründung wird dabei angeführt, dass keine Kosten im Sinne der Preisangabenverordnung entstehen und die Verbraucher über die Datenverarbeitung umfassend informiert werden.

Aufgrund der – jedoch – ungeklärten Rechtslage wurde durch das OLG Stuttgart eine Revision zugelassen. Das OLG Stuttgart ist allerdings nicht der Ansicht, dass Lidl die Nutzenden seiner Rabatt-App deutlicher als bisher über den Preis der Nutzung informieren muss. Es sieht scheinbar danach aus, dass die Verbraucherzentrale in Revision gehen und die Frage zum Bezahlen mit Daten höchstrichterlich klären lassen wird.

ÖBVwG:

Als weiteres spannendes Urteil stellt sich die Entscheidung des österreichischen Bundesverwaltungsgerichts (ÖBVwG) (Az. W291 2272970-1/30E, W291 2272971-1/32E) dar, welche die Rechtswidrigkeit des „Pay or Okay“-Modells in Hinblick auf das Lesen der Tageszeitung „DerStandard“ bestätigt.

Bei dem sogenannten „Pay or Okay“ -Modell handelt es sich um ein Modell, bei welchem die Nutzer:innen entweder in die Verarbeitung der Daten einwilligen, um den Dienst nutzen zu können oder einen Geldbetrag zahlen müssen, um den Dienst ohne Tracking oder personalisierte Werbung nutzen zu können.

Die Datenschutzbehörde (DSB) in Österreich hatte bereits entschieden, dass die Umsetzung dieses Modells rechtswidrig ist, insbesondere, da die Einwilligung pauschal erfolgte, ohne die Möglichkeit zur individuellen sowie differenzierten Zustimmung in die einzelnen Zwecke und eine pauschale Zustimmung für unterschiedliche Zwecke, wie Tracking, Werbung und Analyse nicht den Anforderungen des Art. 6 und 7 DSGVO genügt. Problematisch war somit, dass durch einmaligen Klick auf den Button „Einverstanden“ in sämtliche zur Rede stehenden Datenverarbeitungsvorgänge eingewilligt wurde.

Zwar hatte die Datenschutzbehörde 2018 und 2019 das verwendete Modell zunächst für zulässig erachtet, 2023 dann aber einen Verstoß bestätigt.

Hier wurde ein Verstoß gegen die DSGVO festgestellt und das Gericht stützte sich in seiner Begründung zur Unrechtmäßigkeit der Verarbeitung ebenso wie schon die Datenschutzbehörde in ihrem vorangegangenen Bescheid auf eine mangelnde Granularität der datenschutzrechtlichen Einwilligung. Zusammengefasste Zwecke für eine Verarbeitung beeinträchtigen die Entscheidungsfreiheit des Nutzers und daher ist die Einwilligung als nicht wirksam anzusehen. Auch wollte sich das Gericht, aufgrund der mangelnden rechtsgültigen Einwilligung, nicht mit weiteren Erlaubnistatbeständen auseinandersetzen.

Allerdings wurde die Revision beschränkt auf die Frage des Verstoßes gegen Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 Abs. 1 DSGVO beim Besuch der streitgegenständlichen Website zugelassen. So kann der Verlag gegen das Urteil vorgehen und die Frage der möglichen Bündelung von datenschutzrechtlichen Einwilligungen letztlich doch beim EuGH liegen, welcher über diesen Fall entscheiden muss.

Fazit

Das Kopplungsverbot ist kein starres Verbot, sondern der Lackmustest für echte Freiwilligkeit der Einwilligung. Gekoppelte Verarbeitungen sind nur dann tragfähig, wenn sie objektiv erforderlich für die Leistung sind oder separat, freiwillig und granular eingewilligt werden. Je stärker verschiedene Zwecke (z. B. Vertrag, Komfortfunktionen, Analyse, personalisierte Werbung) gebündelt werden, desto eher fällt die Freiwilligkeit – und damit die Rechtmäßigkeit –. Wer Zwecke sauber trennt, transparent kommuniziert und einfache Ablehnung/Widerrufe ermöglicht, reduziert Aufsichts- und Haftungsrisiken und stärkt zugleich Vertrauen.

Als Empfehlung für die Praxis im Unternehmensalltag können Sie demnach mit folgenden Fragen die Zulässigkeit bewerten:

Ist der Zweck für die Leistung nötig?
→ Ja: zulässig als Pflicht.
→ Nein: separates Opt-in (freiwillig, granular, jederzeit widerrufbar).
Führt Ablehnung zu Nachteilen über das Erforderliche hinaus?
→ Ja: Risiko hoch → Alternativen schaffen/Angebot anpassen.
→ Nein: gute Ausgangslage.
Sind mehrere Zwecke in einem Schalter gebündelt?
→ Ja: auftrennen (Werbung, Analyse, Komfort getrennt).
→ Nein: beibehalten.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Konstanze Krollpfeiffer

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy

Kopplungsverbot nach DSGVO

Was ist das Kopplungsverbot?

Anforderungen des Kopplungsverbots

Aktuelle Rechtsprechung zum Kopplungsverbot

Fazit

Wir verwenden Cookies