Die Datenschutzkonferenz (DSK) hat im März dieses Jahres einen neuen Beschluss über die Bewertung von sog. Pur-Abo-Modellen auf Websites veröffentlicht.
Viele Websitebetreiber, insbesondere von Nachrichtenwebsites, bieten ihren Besuchern an, die Inhalte der Website entweder kostenfrei zu nutzen und dafür Tracking und Werbung zu akzeptieren oder gegen ein Entgelt (weitestgehend) vom Tracking ausgenommen zu werden. Manchmal wird auch mit dem Versprechen geworben, zusätzlich keine Werbung einzubinden. Im Pur-Abo-Modell zahlt der Leser dann für einen festgelegten Zeitraum einen bestimmten Betrag, um die Inhalte tracking- und ggf. werbefrei nutzen zu können.
Hier sehen Sie ein Beispiel für ein solches Banner, das die Nutzungsmöglichkeiten der Website zeigt.
In ihrem Beschluss hat sich nun die DSK zu der Rechtmäßigkeit dieser Vorgehensweise geäußert.
Warum kam es überhaupt zu diesem Beschluss?
Bei der Bewertung von Pur-Abo-Modellen geht es im Kern um die Frage, ob die Nutzung einer Website mit Tracking, welches die Nutzer akzeptieren müssen, wenn sie bspw. keine 4,99 € pro Monat dafür bezahlen möchten, um die Inhalte trackingfrei zu nutzen, freiwillig im Sinne der DSGVO bzw. von Art. 4 Nr. 11 DSGVO ist.
Die Anschlussfrage, ob man mit Daten anstatt mit Geld bezahlen kann, hat die DSK jetzt auch zumindest indirekt bejaht und sich damit von den Leitlinien des European Data Protection Board (EDSA) gelöst („…können personenbezogene Daten nicht als Handelsware betrachtet werden. Selbst wenn die betroffene Person der Verarbeitung personenbezogener Daten zustimmen kann, kann sie ihre Grundrechte nicht im Rahmen dieser Vereinbarung eintauschen.“, Rn. 54, S. 17, Leitlinien 2/2019).
Der Beschluss der DSK hält dieses Vorgehen für generell möglich, macht aber auch konkrete Vorgaben und schafft neue Fragen, die leider nicht gleich mit beantwortet werden:
- Eine Nachverfolgung des Nutzerverhaltes mittels Trackings kann mit einer Einwilligung erfolgen. Eine wirksame Einwilligung kann aber nur dann eingeholt werden, wenn alternativ auch ein Nutzen der Website ohne eine Einwilligung in das Tracking möglich ist. Die Tatsache, dass die trackingfreie Nutzung zahlungspflichtig ist, steht dem nicht entgegen. Zusätzlich muss der bezahlende Websitebesucher gleichwertige Leistungen erhalten und die Einwilligung muss den Voraussetzungen des Art. 4 Nr. 11 DSGVO entsprechen. Nicht notwendig ist es, dass beiden Nutzern die exakt identische Leistung angeboten wird. Vielmehr verlangt die DSK nur eine „gleichwertige Alternative“, d. h. bestimmte Spezial-Informationen können somit durchaus der Einwilligungsvariante vorbehalten sein.
- Entscheidet sich ein Nutzer für die Abovariante, dürfen auch weiterhin nur Speicher- und Auslesevorgänge erfolgen, die zwingend technisch notwendig sind, § 25 Abs. 1 TTDSG. Für darüberhinausgehende Funktionen sind die üblichen Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO heran zu ziehen.
- Wird das Pur-Abo nicht abgeschlossen, muss die Wirksamkeit der Einwilligung in das Tracking sichergestellt werden. Liegen mehrere einwilligungsbedürftige Verarbeitungszwecke vor, die auch in wesentlichen Punkten voneinander abweichen, muss der Nutzer die Möglichkeit haben, diese einzeln ab- und anzuwählen.
„Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in). Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, kann eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke kann nicht wirksam erteilt werden.“ (Beschluss der DSK vom 22.03.2023, Nr. 4, S. 2).
Und hier fehlen leider weitere Ausführungen dazu, ab wann denn ein „sehr enger Zusammenhang“ vorliegt und wann „verschiedene Zwecke“ gegeben sind.
Ergänzend dazu erging fast zeitgleich am 29.03.2023 ein Bescheid der österreichischen Datenschutzbehörde (DSB), die sich mit dem Pur-Modell der Tageszeitung „Der Standard“ auseinandersetzte. Dabei geht die DSB den nahezu identischen Weg wie die DSK und hält die Pur-Abo-Variante ebenfalls für rechtskonform.
Max Schrems von der Datenschutzorganisation noyb dazu: „Es ist unklar, wie die Entscheidung umgesetzt werden soll. Sollen wir jetzt für jedes von hunderten Cookie ein einzelnes Abo über ein paar Cent abschließen? Es kann sein, dass diese Entscheidung das Modell ′Pay or Okay′ generell unmöglich macht.“
Fazit
Im Ergebnis blieb der DSK wohl nichts anderes übrig, als das „Bezahlen mit Daten“ auch datenschutzrechtlich mutmaßlich anzuerkennen. Zum 01.01.2022 hat der Deutsche Bundestag eine EU-Richtlinie zur Neuregelung der Verbraucherverträge in nationales Recht umgesetzt. Durch diese Ergänzungen im BGB sind Daten als Gegenleistung in einem zivilrechtlichen Vertrag jetzt anerkannt, §§ 312 Abs. 1a, 327 Abs. 3 BGB. Der Betroffene bekommt im Gegenzug für seine Daten nicht nur eine frei gewählte Gegenleistung, sondern auch den gesetzlich nun vorgesehenen Verbraucherschutz. Dieser stärkt die Rechte des Betroffenen, was der Kerninhalt der DSGVO ist.
8. September 2023 @ 10:35
„ Der Betroffene bekommt im Gegenzug für seine Daten nicht nur eine frei gewählte Gegenleistung, sondern auch den gesetzlich nun vorgesehenen Verbraucherschutz. Dieser stärkt die Rechte des Betroffenen, was der Kerninhalt der DSGVO ist.“
Bitte was? Ich verstehe nicht ganz, wieso es für den Verbraucher besser sein soll mit seinen persönlichsten Daten zu bezahlen, wenn die einzige andere Option ein kostenpflichtiges Abo darstellt. Geht es eigentlich noch? Bevor diese ganzen Pur-Abos aufkamen konnte man mit Cooki-Banners auch einstellen, wie man in diese einwilligt ohne Geld bezahlen zu müssen. Nur weil die großen Konzerne ein bisschen weniger Geld von unpersonalisierten Werbebannern erhalten verlangen sie doch das Geld. Es geht nicht um Datenschutz, wie es die DSGVO eigentlich vorsieht, sondern um Profitmaximierung. Das hätte die DSK und ihr mal lieber so gesehen. Das hat nichts, aber auch gar nichts mit Verbraucherschutz zu tun. Der wäre erst dann gegebene, wenn sowohl bei Einwilligung, als auch bei Ablehnung einer Verarbeitung bei der Zeitung oder dem Verlag ein kostenpflichtiges Abo abgeschlossen werden müsste.
Also, wie kommen Sie zu diesem absolut desaströsen Fazit?
8. September 2023 @ 15:50
Guten Tag und vielen Dank für Ihren Kommentar.
Zweifellos ist es für den Verbraucher damals einfacher gewesen, im Cookiebanner einfach alle nicht notwendigen Cookies und andere Dienste mit einem einfachen Klick abzulehnen. Dennoch ist es nicht rechtswidrig, jetzt für eine Leistung (Bereitstellen, unterhalten und aktualisieren einer Webseite) auch eine Gegenleistung zu verlangen. Der Gesetzgeber hat nun nach fünf Jahren darauf reagiert und dem Verbraucher, der mit seinen Daten zahlt, wesentliche Rechte erstmalig ausdrücklich zugesprochen und so seine Position gegenüber dem Webseitenbetreiber deutlich gestärkt (z.B. grundlose Widerrufsmöglichkeit, keine abweichende Regelungen die zu Lasten der Verbrauchers, einfache und transparente Kündigungsmöglichkeit etc.). Und die DSGVO? Die sorgt in solchen Fällen dafür, das der Verbraucher überhaupt die Auswahl haben muss, auch eine Alternative angeboten zu bekommen. Ob er sie dann nutzt oder nicht bleibt jedem selbst überlassen. Ein Recht auf weiterhin „umsonst“ eine Webseite und deren Inhalte zu nutzen, gibt es aber auch im Datenschutz nicht.
Sehr interessant wird die zukünftige Darstellung der Einwilligungen von Nicht-Abonnenten sein.
Im Extremfall könnte das dazu führen, dass in jedes einzelne Cookie und jeden einzelnen Dienst eingewilligt werden müsste. Das kann zur Folgen haben, dass die Praxis das Modell „Pay or Okay′ generell unmöglich macht“, so Max Schrems von der Verbraucherschutzorganisation noyb.