Blog
Newsletter
Shop
Login
„Pay or Okay“ – Pur-Abo-Modell zulässig?
Data Privacy von Chantal Nußbaum
Um eine Website datenschutzkonform zu gestalten, müssen sich Websitebetreiber mit der DS-GVO und dem TTDSG befassen und sich unter anderem mit dem Thema Cookies auseinandersetzen. Pur-Abo-Modelle, auch als „Cookie-Paywalls“ bekannt, sind ein beliebtes Werkzeug von Websitebetreibern – insbesondere Nachrichtenwebsites oder Websites mit journalistischen Inhalten – um unter dem Aspekt der Privatsphäre und der Datenschutzkonformität zusätzliche Einnahmen zu generieren.
Bevor ein User mit dem Erkunden einer Website beginnen kann, wird der Bildschirm durch eine Cookie-Paywall versperrt. Der User muss nun zwischen zwei Optionen entscheiden. Entweder bezahlt der User regelmäßige Gebühren für eine werbe- und trackingfreie Nutzung der Website oder der User liest kostenfrei, dafür jedoch mit Tracking seiner Nutzerdaten und personalisierter Werbung. Es gibt somit nur zwei Möglichkeiten, „pay or okay“ – „alles oder nichts“.
Um das Surfverhalten eines Users tracken und für Werbezwecke nachverfolgen zu dürfen, bedarf es einer Einwilligung des Websitebesuchers. Ohne entsprechende Einwilligung ist ein Tracken oder Nachverfolgen rechtlich nicht zulässig. Aus diesem Grund müssen Websitebetreiber die Einwilligung eines Websitebesuchers vor dem „Betreten“ einer Website einholen, sofern das Verhalten des Nutzers ausgewertet und personalisierte Werbung geschaltet werden soll. Ein datenschutzkonformer Cookie Banner muss mindestens zwei Schaltflächen aufweisen, sodass der Websitebesucher entscheiden kann, ob personenbezogene Daten verarbeitet werden dürfen oder nicht.
Bei einem Pur-Abo Modell gibt es jedoch keine „Ablehnen“-Schaltfläche, außer der Besucher bezahlt. Es heißt somit: entweder für ein monatliches Pur-Abo bezahlen und werbe- und trackingfrei konsumieren oder persönliche Daten für Werbung und viele andere Zwecke zur Verfügung zu stellen. Das bekannteste Beispiel für ein Pur-Abo Modellist gegenwärtig das „Pay or Okay“-System von Meta. Seit November 2023 müssen Nutzer der Social Media Plattformen entweder eine Gebühr von 251,88 € pro Jahr für eine trackingfreie Nutzung bezahlen oder dem Tracking zustimmen.
Ist das Pur-Abo-Modell zulässig?
Die Diskussion zu „Pay or Okay“ hat in Deutschland an Geschwindigkeit gewonnen und wird kontrovers diskutiert. Insbesondere die Freiwilligkeit des kostenlosen Websitebesuchs wird kritisch betrachtet. Eine Einwilligung muss nach der DS-GVO freiwillig, für einen bestimmten Zweck, nach ausreichender Information und unmissverständlich abgegeben werden. Freiwillig impliziert, dass die betroffene Person eine echte Wahl und die Kontrolle hat. Darüber hinaus muss die betroffene Person die Möglichkeit haben, ihre Einwilligung zu verschiedenen Zwecken geben zu können. Wenn ein Websitebetreiber verschiedene Zwecke für die Verarbeitung zusammengefasst hat und nicht versucht, gesonderte Einwilligungen für jeden Zweck einzuholen, fehlt die Freiheit und Granularität.
Die Datenschutzkonferenz der Datenschutzbehörden des Bundes und der Länder (DSK) hat sich am 22.03.2023 zu diesem Thema positioniert und bewertet Pur-Abo Modelle unter Einhaltung bestimmter Voraussetzungen als zulässig.
Datenschutzkonformer Einsatz von Pur-Abo-Modellen
Nach Beschluss des DSK sind nachfolgende Voraussetzungen für einen datenschutzkonformen Betrieb eines Pur-Abo Modells einzuhalten:
- Gleichwertige Alternative
„Grundsätzlich kann die Nachverfolgung des Nutzendenverhaltens (Tracking) auf eine Einwilligung gestützt werden, wenn alternativ ein trackingfreies Modell angeboten wird, auch wenn dies bezahlpflichtig ist. Die Leistung, die Nutzende bei einem Bezahlmodell erhalten, muss jedoch erstens eine gleichwertige Alternative zu der Leistung darstellen, die diese durch eine Einwilligung erlangen. Zweitens muss die Einwilligung alle in der Datenschutz-Grundverordnung (DS-GVO) normierten Wirksamkeitsvoraussetzungen, d. h. insbesondere die in Art. 4 Nr. 11 sowie Art. 7 DS-GVO aufgeführten Erfordernisse, erfüllen. Ob die Bezahlmöglichkeit – also z. B. ein Monats-Abo – als eine gleichwertige Alternative zur Einwilligung in das Tracking zu betrachten ist, hängt insbesondere davon ab, ob den Nutzenden gegen ein marktübliches Entgelt ein gleichwertiger Zugang zu derselben Leistung eröffnet wird. Ein gleichwertiger Zugang liegt in der Regel vor, wenn die Angebote zumindest dem Grunde nach die gleiche Leistung umfassen.“ - Datenverarbeitung bei werbefreier Nutzung
Wenn sich ein Nutzer für die Abovariante entscheidet, dürfen nur Speicher- und Auslesevorgänge erfolgen, die technisch zwingend notwendig sind (§ 25 Abs. 1 TTDSG). Ferner müssen die Erlaubnistatbestände aus Art. 6 Abs. 1 DS-GVO eingehalten werden. - Granularität/Verbot Generaleinwilligungen für Nicht-Abonnenten
„Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen an die Freiwilligkeit dahingehend erfüllt werden, dass Einwilligungen granular erteilt werden können. Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in). Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, kann eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke kann nicht wirksam erteilt werden.“ - Transparenz, Verständlichkeit und Information
Darüber hinaus müssen die Einwilligungen den sonstigen Anforderungen der DS-GVO gerecht werden. Dies gilt insbesondere für den Grundsatz der Transparenz, der Verständlichkeit und dem Nachkommen von Informationspflichten.
Den Beschluss der DSK finden Sie hier.
Bitte beachten Sie: Die Beschlüsse der DSK sind nicht allgemein gesetzlich bindend, sie werden jedoch von der Rechtsprechung als Maßstab bei der Bewertung datenschutzrechtlicher Themen herangezogen und als Richtwert für die praktische Umsetzung gesehen.
Datenschutzverein geht gegen Pur-Abo Modelle vor
Der von Max Schrems gegründete Datenschutzverein noyb geht gegen große Nachrichtenseiten vor, die Pur-Abo Modelle nicht datenschutzkonform einsetzen und reichte bei den jeweils zuständigen Datenschutzbehörden Beschwerde ein. Teils erfolgreich. Betroffen sind Spiegel.de, Zeit.de, Heise.de, FAZ.net, Derstandard.at, Krone.at und T-Online.de.
Pay or Okay-System von Meta – 28 NGOs fordern Ablehnung durch EDSA
In einem offenen Brief haben sich 28 NGOs (darunter auch nyob) zusammengetan und den Europäischen Datenschutzausschuss (EDSA) dazu aufgefordert, das Grundrecht auf Datenschutz zu wahren. Der EDSA soll eine Stellungnahme zum Thema „Pay or Okay“ abgeben und sich klar gegen „Pay or Okay“ aussprechen. Die Gebühr von 251,88 € pro Jahr seien unverhältnismäßig. In Realität hätten Menschen keine richtige Alternative, wenn sie mit den Gebühren konfrontiert werden. Studien bestätigen: 99,9 % stimmen dem Tracking zu, wenn sie mit einer Gebühr konfrontiert sind. Unzählige Unternehmen könnten dem Beispiel von Meta folgen, wenn „Pay or Okay“ legitimiert würde. In diesem Fall wären Menschen mit hohen Kosten konfrontiert, wenn sie ihre Privatsphäre schützen möchten. Eine vierköpfige Familie mit 35 Apps pro Smartphone würde z. B. auf eine Rechnung in Höhe von 35.263,20 € pro Jahr kommen, so noyb.
Neue Verbraucherverträge erkennen Daten als Gegenleistung an
Seit dem 01.01.2022 gilt ein neues (EU)Verbraucherrecht, welches erstmalig die „Bezahlung mit Daten“ regelt. Alle Neuerungen gelten für Verträge und Leistungen, die nach dem 01.01.2022 zwischen Verbraucher und einem Unternehmen abgeschlossen oder zur Verfügung gestellt werden. Durch diese Ergänzungen im BGB werden Daten als Gegenleistung in Verbraucherverträgen anerkannt (§§ 312 Abs 1a, 327 Abs. 3 BGB). Dieses neue Verbraucherrecht ist auch bei Pur-Abo Modellen wirksam. Gleichzeitig werden durch diese Neuregelung die Betroffenenrechte gestärkt, da diese nicht nur die Leistung erhalten sondern auch den gesetzlichen Verbraucherschutz Anspruch haben.
Fazit
Der DSK erklärte in seinem Beschluss den Einsatz von Pur-Abo Modellen unter der Einhaltung bestimmter Voraussetzungen als zulässig. Allerdings wird in der Praxis eine Cookie-Paywall nicht immer datenschutzkonform umgesetzt. Mit der Neuregelung der Verbraucherverträge wurde zudem eine Möglichkeit geschaffen, mit Daten zu „bezahlen“.
Aus unserer Sicht wird die Prüfung von Cookie-Paywalls seitens der Datenschutzbehörden zunehmen. Unseren Kunden empfehlen wir eine eingehende Prüfung der Notwendigkeit, der Vorgehensweise und der Darstellung einer Cookie-Paywall. Zudem muss der Preis für ein Pur-Abo gerechtfertigt und darf nicht unverhältnismäßig sein. Als Datenschutzbeauftragte ist es uns wichtig, Daten bzw. die Menschen hinter den Daten zu schützen, weshalb wir Cookie-Paywalls nur unter bestimmten Umständen empfehlen. Sofern Sie einen Dienstleister für eine Cookie-Paywall/ Pur-Abo beauftragt haben, weisen wir auf den notwendigen Abschluss eines Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO hin.
Kommen Sie gerne auf uns zu wenn Sie Unterstützung bei der Umsetzung eines datenschutzkonformen Cookie-Banners oder Cookie-Paywall benötigen. Wir helfen Ihnen gerne weiter!
Autoren
Markus Espenhain
Unser Geschäftsführer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.
Ioannis Dimas
Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.
Chantal Nußbaum
In den Bereichen Datenschutz und Informationssicherheit liegt ihr Schwerpunkt. Durch Fortbildungen ist sie immer auf dem neusten Stand der Gesetze.
Christian Gleich
Sein Schwerpunkt liegt in dem Kontakt zu Kunden. Durch seine tägliche Arbeit mit unserem gesamten Produktportfolio landen Neuigkeiten immer zuerst bei ihm.
