Am 17.04.2024 hat der Europäische Datenschutzausschuss (EDSA) seine Stellungnahme zur Wirksamkeit von Einwilligungen im Rahmen von Pay-or-Consent-Modellen – neudeutsch „Pur-Abos“ – unter der DSGVO veröffentlicht. Darin vertritt der EDSA die Auffassung, dass bei großen Online-Plattformen die Einwilligung unwirksam sein soll, wenn der Nutzer „nur“ die Wahl zwischen einer kostenpflichtigen und einer „kostenlosen“ Option in Verbindung mit Tracking zu Werbezwecken hat. Der Beitrag stellt die Argumentation des EDSA, wie er zu seiner Auffassung gelangt ist, anhand einer zur besseren Verständlichkeit ins Deutsche übersetzten Fassung der Stellungnahme dar.
Der Inhalt im Überblick
Was ist der EDSA überhaupt?
Aber besser von Anfang an: Was ist der EDSA überhaupt? Der EDSA ist ein Ausschuss auf europäischer Ebene, der sich aus den Datenschutzbehörden der EU- und EWR-Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten (EDSB) zusammensetzt. Seine Hauptaufgabe besteht, die einheitliche Anwendung der DSGVO innerhalb der EU sicherzustellen. Zu diesem Zweck kann der Ausschuss auf Ersuchen unverbindliche Stellungnahmen zu Fragen abgeben, die für die Anwendung der DSGVO von allgemeiner Bedeutung sind oder einer länderübergreifenden Erörterung bedürfen. Wie schon zur Einführung von Pay-or-Consent-Modellen bei Meta und Instagram berichtet, fehlte es aus Sicht mehrerer nationaler Aufsichtsbehörden an einem EU-weiten Konsens darüber, unter welchen Bedingungen eine Einwilligung zum Tracking für Werbezwecken wirksam erteilt werden kann. Hierzu hat sich der EDSA in der hier hiesigen Stellungnahme befasst.
Pay-or-Consent? – kurze Erinnerung was das ist
Doch worum geht es bei Pay-or-Consent-Modellen? Ganz banal: Um Geld. Wie die analogen, so stehen auch die digitalen Marktteilnehmer vor dem Problem, ihre Inhalte zu finanzieren und bestenfalls Gewinne zu erwirtschaften. Ein Beispiel für eine problembeladene Branche ist die Presse, deren Artikel oft gedruckt und digital verfügbar sind. Zur Finanzierung des digitalen Angebots haben sich zwei Möglichkeiten etabliert. Entweder kann der Nutzer ein kostenpflichtiges Abonnement abschließen oder er willigt ein, dass sein Online-Verhalten getrackt und für die werbliche Ansprache genutzt wird. Um die Finanzierung nach einer der beiden Optionen sicherzustellen, wird auf der Website vor der Weiterleitung zum Artikel technisch ein Banner vorgeschaltet, auf dem sich der Nutzer zwingend für eine der beiden Finanzierungsarten entscheiden muss.
EDSA prüft Pay-or-Consent nur bei großen Plattformen
Vorab der EDSA seine Meinung herleitet, stellt er klar, dass sich seine Stellungnahme auf die Zulässigkeit von Pay-or-Consent-Modellen auf großen Online-Plattformen beschränkt. Wann eine große Online-Plattform vorliegt, will der EDSA anhand folgender Kriterien beurteilen:
- Die Anzahl der Nutzer,
- Die Marktposition der Online-Plattform,
- Die durch die Online-Plattform verarbeitete Datenmenge.
Dabei unterstellt der Ausschuss, dass große Online-Plattformen auch über eine große Marktmacht verfügen. Die Marktmacht solcher Plattformen wertet der EDSA als Indiz für fehlende Freiwilligkeit. Zur Begründung verweist er auf das EuGH-Urteil in der Rechtssache C-252/21. Dort hat der EuGH entschieden, dass die Marktmacht sozialer Plattformen ein Aspekt ist, der bei dieser Frage zu berücksichtigen ist:
„ob die Einwilligung (…) freiwillig, erteilt wurde, wofür der (.) Betreiber die Beweislast trägt.“
Gemessen daran dürften jedenfalls sehr große Plattformen im Sinne des Gesetzes über digitale Dienste (Art. 33 ff.) und Gatekeeper im Sinne des Gesetzes über digitale Märkte (Art. 2 Abs. 1) auch große Online-Plattformen im Sinne des EDSA sein. Im Übrigen muss jeder Plattformbetreiber selbst prüfen, ob er sich für groß genug hält.
Kernthese des EDSA zu Pay-or-Consent-Modellen und deren Folgen
Nach diesem Prolog fasst der EDSA seine Kernthese wie folgt zusammen:
„In den meisten Fällen wird es für große Online-Plattformen nicht möglich sein, die Anforderungen an eine gültige Einwilligung zu erfüllen, wenn sie die Nutzer nur vor die Wahl stellen, entweder der Verarbeitung personenbezogener Daten für verhaltensbezogene Werbezwecke zuzustimmen oder eine Gebühr zu zahlen.“
Da neben der Einwilligung keine andere Rechtsgrundlage die Verarbeitung von Nutzerdaten zu Werbezwecken erlaubt, droht das Pay-or-Consent-Modell insoweit zu kippen – mit erheblichen finanziellen Folgen für Plattformen.
Im Einzelnen: Wie leitet der EDSA seine Aussage zu Pay-or-Consent her?
Zum Beginn seiner Herleitung verweist der EDSA generell auf die Voraussetzungen, wann eine Einwilligung als freiwillig anzusehen ist. Hierzu steht in Erwägungsgrund 32 der DSGVO zur Einwilligung generell:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen (…) oder einer mündlichen Erklärung.“
Konkretisierend zur Freiwilligkeit liest man in Erwägungsgrund 42 der DSGVO:
„Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“
Insoweit stellt der EDSA nicht in Abrede, dass stets individuell zu prüfen ist, ob diese Bedingungen vorliegen, also dass die Nutzung von Pay-or-Consent-Verfahren nicht per se unzulässig ist, er meint aber einschränkend für große Online-Plattformen:
„Das Angebot nur einer kostenpflichtigen Alternative zu dem Dienst, der die Verarbeitung für Zwecke der (.) Werbung einschließt, sollte nicht der Standardweg (…) sein. Vielmehr sollten die für die Verarbeitung Verantwortlichen bei der Entwicklung der Alternative zu der Version des Dienstes mit verhaltensbezogener Werbung in Erwägung ziehen, den betroffenen Personen eine „gleichwertige Alternative“ anzubieten, für die keine Gebühr zu entrichten ist, wie etwa die kostenlose Alternative ohne verhaltensbezogene Werbung.“
Zur inhaltlichen Ausgestaltung der eine „gleichwertigen Alternative“ führt der EDSA weiter aus:
„Diese Alternative (…) kann beispielsweise eine Version des Dienstes mit einer anderen Form der Werbung sein (…) z.B. kontextbezogene oder allgemeine Werbung oder Werbung, die auf Themen basiert, die die betroffene Person aus einer Liste von Interessengebieten ausgewählt hat.“
Im Übrigen sei die Alternative „gleichwertig“, wenn:
„keine andere oder schlechtere Qualität aufweist und keine Funktionen unterdrückt werden.“
Ferner sei:
„(…) die Frage, ob eine kostenlose Alternative, bei der die Nutzung nicht zur individuell werblichen Ansprache verwendet wird oder nicht, ein besonders wichtiger Faktor, der bei der Beurteilung der Frage zu berücksichtigen ist, ob die (.) Personen eine echte Wahlmöglichkeit haben und ob die Einwilligung daher gültig ist.“
Zuletzt sollten sie bei der Bemessung der Höhe des Entgelts:
„(…) sicherstellen, dass die Gebühr die betroffenen Personen nicht daran hindert, ihre Einwilligung zu verweigern, und sie nicht dazu zwingt, ihre Einwilligung zu geben.“
EDSA und Pay-or-Consent – Quo Vadis?
Die „Meta-Message“ des EDSA an große Online-Plattformen lässt sich wohl wie folgt zusammenfassen:
„(…) große Online-Plattformen sollten darauf achten, dass das Grundrecht auf Datenschutz nicht in eine Funktion umgewandelt wird, für deren Nutzung die betroffenen Personen bezahlen müssen.“
So sehr man dem im Allgemeinen zustimmen kann, bleibt doch ein bitterer Beigeschmack für die Online-Plattformen. Zum einen bleibt für viele Akteure die Unsicherheit, ob man eine große Online-Plattform ist und damit die Meinung der EDSA relevant ist. Denn abgesehen von den offensichtlichen Fällen international agierender Plattformen haben die Kriterien des Komitees wenig Substanz. Auch inhaltlich dürfte der EDSA nur wenige Anhänger finden, legt er doch quasi die Axt an eine etablierte Finanzstrategie vieler Plattformen. Auch aufgrund der zumindest noch abweichenden Meinung der DSK dürften viele Plattformanbieter noch von einer Änderung ihres Angebotsportfolios absehen. Inwieweit die Auffassung des EDSA ein „Sturm im Wasserglas“ ohne größere Folgen für Pay-or-Consent-Modelle bleibt, dürfte sich daher vor allem an der Umsetzungsbereitschaft der nationalen Datenschutzbehörden zeigen, die insoweit qua als Marktaufsicht tätig werden müssten.
Wie sieht es eigentlich mit der Wirksamkeit der Einwilligung ins Tracking und der werblichen Ansprache aus, wenn der fragliche Artikel nach erfolgter Einwilligungserklärung dann nach weniger Sätzen doch hinter einer paywall verborgen bleibt? Eine mir relativ oft begegnende Vorgehensweise, die mir rechtlich sehr fragwürdig erscheint. Dürfen klar kostenpflichtige redaktionelle Beiträge überhaupt mit einem zusätzlichen pay-or-consent-Zugang versehen werden? Vielen Dank!
Vielen Dank für die Frage. Der Regelfall bei Pay-or-Consent-Verfahren ist, dass alternativ mit Geld oder durch Bereitstellung der eigenen Verhaltensdaten gezahlt wird, nicht kumulativ. Bei dieser Ausgestaltung dürfte es grundsätzlich keine zusätzliche Paywall geben, da dies einer Doppelzahlung gleichkäme. Zulässig kann aber je nach Ausgestaltung sein, dass sich Anbieter die Inanspruchnahme abgrenzbarer Zusatzleistungen gesondert vergüten lassen. Was konkret eine abgrenzbare Zusatzleistung ist, darüber wird man streiten können.
In der Konstellation einer nachgelagerten Paywall spricht einiges dafür, dass die Einwilligung mangels Informiertheit des Nutzers unwirksam ist. Um als informiert zu gelten, muss der Anbieter den Kunden über alle für die Kaufentscheidung wesentlichen Aspekte aufklären. Hierzu dürfte auch die Aufklärung über die eingeschränkte Lesbarkeit gehören, da nach Abschluss des Abonnements bzw. der Einwilligung in das Tracking in der Regel davon ausgegangen werden kann, dass ein vollständiger Zugriff auf den Artikel möglich ist.
Nichtsdestotrotz wird die Enttäuschung hierüber nicht ändern, dass nach Erteilung der Einwilligung Daten durch auf dem Endgerät abgelegte Cookies erhoben werden. Diese sollten, um sich nicht ohne Not zu verkaufen, gelöscht werden.
Wie so oft bei Google, Facebook, Messenger & META. Man ist dort Meister im umgehen von Gesetzen und Regeln. Hierbei auch der Umgang mit selbst erstellten Normen. Bei Widerspruch erfährt man zuletzt, die Algorythmen und die Vielzahl an Mitarbeitern, welche an Covid erkrankt sind, sind Schuld am Datenmissbrauch. Pay Or Not hat dazu geführt, dass Facebook selbst entscheidet, welche Nachrichten der User erhält, welches auch den Freundeskreis einbezieht. Ab und an bekommt man dann Meldung, die Nachricht stammt aus einem Nicht_Eu-Mitgliedsland, deshalb könne der Inhalt mangels Überprüfung auf Einhaltung der EUDSGVO nicht angezeigt werden. Dies betrifft alle Nachrichten, deren Absender sich außerhalb der EU befindet. Deutlich ist auch, dass nur eine begrenzte Anzahl an Nachrichten (gefiltert) durchkommt. Die Echtheit eines Profils (Forderung von Realnamen) wird in keiner Weise beachtet, daher sind FAKE-Nachrichten in der tägl. Überzahl. NEU sind komplett per KI erstellte Werbeanzeigen, die sogar (innerhalb der EU/ Europa) zu Straftaten auffordern. Kauf gefälschter Waren und deren Import ist eine Straftat, welche von FB geduldet wird. Am 24.06.24 so eine META-Nachricht will man verstärkt mit „KI & AI“ arbeiten und hat eine Umfrage gemacht, wobei man Zustimmen oder Ablehnen konnte. Angeblich wird man meiner Ablehnung bei mir entsprechen. Meine Begründung würde man akzeptieren! Bin gespannt, ob damit FAKE-KI-Werbung/ Meldungen dann ausbleiben. …Vielen Dank für Ihre Arbeit!