Die Stellungnahme der EDSA vom 17.04.2024 zur Wirksamkeit von Einwilligungen bei Pay-or-Consent-Modellen bzw. „PUR-Abos“ hat insbesondere in der Zeitschriftenbranche zu Unsicherheit geführt, ob ihr Pay-or-Consent-Modell – Abschluss eines kostenpflichtigen Abonnements bzw. Bezahlung mit Tracking und Werbung –, über das sich digitale Zeitungen häufig finanzieren, noch haltbar ist. Eine Rettung für die Branche könnten genehmigte Verhaltensregeln nach Art. 40 DSGVO sein. Österreichische Gerichte hatten sich nun mit Fragen zu befassen, wie solche Regeln zu formulieren sind. Das hier zu besprechende Verfahren führte sogar bis zum Österreichischen Verwaltungsgerichtshof (ÖVwGH).
Der Inhalt im Überblick
- Rückblick – Die Kontroverse um Pay-or-Consent
- Verhaltensregeln – eine Rettung für Pay-or-Consent?
- Probleme bei der Umsetzung solcher Verhaltensregeln
- Wie formuliere ich Verhaltensregeln zu Pay-or-Consent (nicht)?
- Keine Klärung inhaltlicher Fragen zu Pay-or-Consent vorm ÖVwGH
- Take-Away für Verhaltensregeln bei Pay-or-Consent
Rückblick – Die Kontroverse um Pay-or-Consent
Strittig war bei Pay-or-Consent stets, ob die Nutzer freiwillig in ihr Tracking einwilligen, konkret, ob die Konditionen der Abo-Variante nicht zu unattraktiv sind und damit ein impliziter Zwang besteht, mit Daten zu bezahlen. Während die DSK dies verneinte, wenn das Entgelt für das Abonnement marktüblich hoch sei, vertrat der EDSA die Auffassung, dass zumindest größere Plattformen, um die Freiwilligkeit zu gewährleisten, eine dritte Variante anbieten sollten, die werbefinanziert sein dürfe, aber nicht auf der Basis von Tracking. Ansonsten schließe deren Marktmacht Freiwilligkeit in der Regel aus. Die Grenze, ab wann sich Plattformen als groß im Sinne der EDSA betrachten dürfen und damit ihr Pay-or-Consent-Modell nicht mehr nur auf Basis der DSK-Stellungnahme rechtfertigen müssen, bleibt jedoch unklar. Hier bedarf es rechtssicherer Lösungen.
Verhaltensregeln – eine Rettung für Pay-or-Consent?
Eine solche könnten Verhaltensregeln gem. Art. 40 DSGVO bilden. Dieser lautet in den relevanten Passagen wie folgt:
(2) „Verbände und andere Vereinigungen (…), die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten (…), mit denen die Anwendung dieser Verordnung (…) präzisiert wird:
(5) “Verbände und andere Vereinigungen (…) legen den Entwurf (…) der Aufsichtsbehörde vor (…). Die Aufsichtsbehörde (…) genehmigt diesen (…), wenn (…) er ausreichende geeignete Garantien bietet.“
Das mit der Zulassung verbundene höhere Vertrauen auf (vermeintliche) Richtigkeit könnte genutzt werden, um das Pay-or-Consent-Modell auch für große Plattformen zu retten. So stellt auch der EDSA nicht in Abrede, dass im Einzelfall zu prüfen ist, ob der Nutzer:
„(…) eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ (Erwägungsgrund 32 DSGVO).
So könne bei der Prüfung, ob abhängig von der Marktmacht der großen Plattformen:
„(.) die Einwilligung (…) freiwillig, erteilt wurde, wofür der (.) Betreiber die Beweislast trägt.“
vorgebracht werden, dass dieses Kontraindiz für die Freiwilligkeit bereits behördlich geprüft und für die Plattformen, die sich den Verhaltensregeln unterwerfen, verneint wurde. Jedenfalls auf nationaler Ebene könnte so ein Mehr an Rechtssicherheit gewonnen werden. Auch wenn damit noch kein Vollbeweis für die Freiwilligkeit erbracht ist, so verringert dies doch die Substantiierungslast und den Druck auf Pay-or-Consent-Anbieter.
Probleme bei der Umsetzung solcher Verhaltensregeln
Es ist aber kein Zufall, dass es bisher nur wenige solcher Regelungen gibt, denn schon die Erarbeitung, angefangen von der Zieldefinition bis hin zur inhaltlichen und redaktionellen Ausarbeitung, erfordert einen erheblichen Aufwand. Wenig motivierend ist auch die von der EDSA für die Genehmigung der Regeln qua zwingend geforderte Einrichtung einer privaten Aufsichtsinstanz (Art. 40 Abs. 4, 41 Abs. 1 DSGVO). Mit den Fragen des ersten Teils zur inhaltlichen Ausgestaltung solcher Regelungen im Kontext von Pay-or-Consent mussten sich die österreichischen Gerichte bis hin zum ÖVwGH befassen.
Wie formuliere ich Verhaltensregeln zu Pay-or-Consent (nicht)?
Mit Antrag vom 23.05.2018 beantragte die spätere Klägerin bei der österreichischen Datenschutzbehörde die Genehmigung von Verhaltensregeln nach Art. 40 Abs. 5 DSGVO. Sie vertrat die Auffassung, dass diese Regeln zum Datenschutz im Presse- und Zeitschriftenbereich (auch) im Hinblick auf digitale Angebote nützlich seien, da die branchenspezifischen Verarbeitungstätigkeiten konkretisiert würden.
Unter anderen wurde für alle Leistungen geltenden Punkt D 1.3 die Verarbeitung personenbezogener Daten unter Einsatz von Cookies ohne Einwilligung, die für den Dienst zwingend erforderlich seien, geregelt, wobei gemäß Punkt D 1.3 Abs. 1 der Begriff „zwingend erforderlich“ unter Beachtung von Art. 6 Abs. 1 lit. f) DSGVO auszulegen sei. Das hätte es ermöglicht, die Finanzierungsinteressen der Presse- und Zeitschriftenbranche im Rahmen der Abwägung einzupreisen, ob Cookies „unbedingt erforderlich“ sind. Folge wäre, dass bei deren überwiegenden berechtigten Interesse neben technisch nötigen weitere Cookies z. B. zum Tracking geladen hätten werden dürfen.
Ferner wurde unter Punkt D 3.2 der Einsatz von Tracking-Cookies bei kostenfreien und unter D 3.3 der bei kostenpflichtigen Inhalten geregelt. Mit Bescheid vom 06.08.2019 wurde der Antrag auf Genehmigung u.a. dieser Punkte zurückgewiesen.
Hiergegen beschritt die Betroffene den Rechtsweg, verlor jedoch in erster Instanz vor dem Bundesverwaltungsgericht.
Das Gericht stützte sein Urteil bezogen auf Punkt 1.3 der Verhaltensregeln darauf, dass das TKG in der zum Antragszeitpunkt geltenden Fassung in § 96 Abs. 3 S. 3 TKG 2003 – aufgehoben durch § 211 TKG 2021 – nur das Laden technisch unbedingt erforderlicher Cookies ohne Einwilligung erlaubt habe. Dies gelte auch bei der Abwägung nach Art. 6 Abs. 1 lit. f) DSGVO, sodass der weitergehende Punkt 1.3 nicht genehmigungsfähig sei.
Bei u. a. dem Punkt 3.2 bemängelte das Gericht wie zuvor schon die Datenaufsicht das Fehlen von Angaben, in welchem Ausmaß nach Einwilligung Zugriff auf die Website gewährt werde, inwiefern die Option bestehe, den entgeltlichen Zugang anonym in Anspruch zu nehmen, inwiefern eine tatsächliche Leistung vorhanden sein müsse, für welche objektiv betrachtet Entgelt verlangt werden könne, und insbesondere, welche Maßnahmen getroffen würden, um die Verhältnismäßigkeit bei der Verwendung von Cookies zu wahren. Ferner würde bei Berücksichtigung der Finanzinteressen vielfach jegliche Abwägung unabhängig vom Einzelfall zugunsten des Verantwortlichen gehen.
Nach diesem Misserfolg erhob die Klägerin Revision zum ÖVwGH.
Keine Klärung inhaltlicher Fragen zu Pay-or-Consent vorm ÖVwGH
Der ÖVwGH wies die Revision als unzulässig zurück.
Gemäß Art. 133 Abs. 4 Bundes-Verfassungsgesetzes sei die Revision u. a. zulässig, wenn eine Rechtsfrage grundsätzlicher Bedeutung im Raum stehe, von der das Urteil abhängt, und die in der Judikatur des ÖVwGH nicht geklärt sei. Das Bundesverwaltungsgericht begründe die Zulassung der Revision zwar mit der fehlenden Judikatur des ÖVwGH benenne aber nicht die zu klärende Rechtsfrage. Daher sei die Revision zurückzuweisen.
Auch die Revisionsbegründung der Klägerin trage nichts Relevantes bei.
Diese regt die Vorlage zum EuGH zum einen mit Fragen zur Freiwilligkeit einer unter den Modellen „Zahlen mit und ohne Daten“ abgegebenen Einwilligung an, die u. a. für den Punkt 3.2 Relevanz haben sollen. Jedoch seien keine Fragen, inwieweit unter solchen Modellen wirksam eingewilligt werden könne, für die Entscheidung des Vorgerichts tragend gewesen.
Zum anderen regt sie die Frage zur Vorlage an, wie die Begriffe „unbedingt erforderlich“ gem. Art. 5 Abs. 3 der RL 2002/58/EG, auf den § 96 Abs. 3 S. 3 TKG 2003 beruhe, auszulegen sei an, ob darunter auch eine näher beschriebene „wirtschaftlich unbedingte Erforderlichkeit“ gefasst werden könne. Dieser Punkt sei für Punkt 1.3 relevant. Nähere Ausführungen, welches Gewicht diese Erforderlichkeit bei der Abwägung nach Art. 6 Abs. 1 lit. f) DSGVO Gewicht hätte, würden indes fehlen, sodass diese Frage für Punkt 1.3 mangels Abwägungsmaterials auch nicht tragend sei.
Take-Away für Verhaltensregeln bei Pay-or-Consent
Letztlich schade, dass im Rahmen des Verfahrens keine positiven Kriterien aufgestellt wurden, die Orientierung zur (Re-)Formulierung von Verhaltensregeln gem. Art. 40 DSGVO im Kontext von Pay-or-Consent hätten geben können. Sind Verhaltensregeln nun die Rettung für Pay-or-Consent? Potenziell. Wenn bei einem nächsten Versuch diese konkret genug gefasst sind, um Behörde und/oder Gericht zu genügen, wäre man der Beantwortung dieser Frage jedenfalls schon mal nähergekommen. So bleibt sie erhalten.
Wie wäre es denn wenn die Betreiber sich einfach mal zusammenschalten um einen ein gemeinsames Abo anzubieten. 10€/m für Zugriff auf alle Artikel ohne Tracking? Bin ich sofort dabei. Den Beweis dass der geforderte Betrag für das „Pur Abo“ den Gegenwert meiner Trackinginformationen und den generierten Werbeeinnahmen beträgt bleibt die Branche bis heute schuldig.
In diesem aSinne ist es absolut zu begrüßen, dass dieser Praxis endlich ein Riegel vorgeschoben wird.