"Pay oder Okay" auf heise.de laut deutscher Datenschutzbehörde illegal

"Pay oder Okay" auf heise.de laut deutscher Datenschutzbehörde illegal
Große Auswirkungen auf viele andere deutsche Nachrichtenseiten

heise.de, eine der größten deutschsprachigen Tech-Nachrichtenseiten, stellte die Nutzer:innen vor die Wahl, entweder für ein monatliches Pur-Abo zu zahlen oder ihre persönlichen Daten für Werbung und viele andere Zwecke zur Verfügung zu stellen. Die niedersächsische Landesbeauftragte für den Datenschutz (LfD) entschied nun, dass dieser "Pay oder Okay" Ansatz von 2021 rechtswidrig ist. Nach einer ähnlichen Entscheidung der österreichischen Behörde von Anfang diesen Jahres, ist diese Entscheidung nun ein weiterer Schlag für alle Nachrichtenseiten, die ein solches Modell auf ihren Websites verwenden.

• Entscheidung der Niedersächsischen Landesbeauftragten für den Datenschutz
• noyb-Beschwerde gegen heise.de
• Allgemeine Informationen auf der Website des LfD
• "Pay or Okay"-Beschwerden von noyb
• Entscheidung der österreichischen Datenschutzbehörde (DSB) gegen derStandard.at

Diskussion zu "Pay oder Okay" in Deutschland legt Zahn zu. Wie bereits die österreichische Datenschutzbehörde im Fall derStandard.at, hat nun eine weitere Behörde das Pur-Abo Modell einer Nachrichtenseite für rechtswidrig erklärt. Die niedersächsische Landesbeauftragte für Datenschutz hat eine Verwarnung wegen der im Jahr 2021 verwendeten "Pay or Okay"-Lösung gegen die deutsche Tech-Seite heise.de ausgesprochen. Laut der Behörde könnte der "Pay oder Okay" Ansatz zwar grundsätzlich zulässig sein, die konkrete Vorgehensweise von heise.de war aber nicht gesetzeskonform, da keine spezifische Einwilligung für verschiedene Zwecke möglich war. Diese Entscheidung auch die Bewertung der deutschen Datenschutzkonferenz (DSK) von Pur Abos wider: Im März 2023 hat die DSK ausdrücklich darauf hingewiesen, dass bei "Pay or Okay" Modellen keine spezifische und transparente Einwilligung vorliegt. Sie hat jedoch nicht thematisiert, dass Nutzer:innen exorbitante Preise zahlen müssen, um ihre persönlichen Daten zu schützen.

Felix Mikolasch, Datenschutzjurist bei noyb: "Bei "Pay oderOkay" Lösungen gilt meist "alles oder nichts'': entweder man gibt zu allem seine Zustimmung oder muss bezahlen. Die DSGVO verlangt eine "spezifische" Einwilligung für jede Art der Verarbeitung. Wir begrüßen die Entscheidung aus Niedersachsen. Aber nachdem jahrelang gegen das Gesetz verstoßen wurde, ist eine Verwarnung alleine keine angemessene Reaktion. Eine bloße Verwarnung wird andere Unternehmen nicht davon abhalten, ebenso eine rechtswidrige "Pay or Okay" Lösung einzuführen."

Verarbeitung bereits vor Einwilligung. Laut weiteren Recherchen des LfD hat heise.de sofort beim Aufrufen der Seite - und somit noch bevor die Nutzer:innen aktiv ihre Einwilligung geben konnten - personenbezogende Daten verarbeitet.

Intransparente und erzwungene Einwilligung. Zusätzlich zu den Problemen im Zusammenhang mit "Pay or Okay" wies die LfD darauf hin, dass heise.de rechtswidrige Methoden angewendet hat, um die Nutzer:innen zu beeinflussen. Die LfD stellte außerdem fest, dass die Einwilligung der Nutzer:innen nicht informiert, spezifisch und freiwillig erteilt wurde. Außerdem war es nicht einfach genug, eine zuvor erteilte Einwilligung zu einem späteren Zeitpunkt zu widerrufen. Deshalb kam die LfD zu dem Schluss, dass es keine Rechtsgrundlage für die Verarbeitung der Daten gab.

Unverhältnismäßige Kosten ignoriert. In seiner Beschwerde hat noyb auch die unverhältnismäßigen Kosten für ein Pur-Abo auf heise.de thematisiert. Nach noybs Schätzungen kostet die Leser:innen der Schutz ihrer Privatsphäre 428 Mal mehr, als das Unternehmen mit der Verarbeitung ihrer Daten verdient. Außerdem ist das Abschließen des kostenpflichtigen Pur-Abos wesentlich komplizierter als einfach dem Tracking zuzustimmen. All diese Punkte wurden von der Behörde ignoriert.

Felix Mikolasch, Datenschutzjurist bei noyb: "Unserer Meinung nach gibt es viele Gründe, warum ein 'Pay oder Okay'-Lösung nicht im Einklang mit der DSGVO sein kann. Die Datenschutzbehörde hat das verwendete System ab 2021 nun bereits aus anderen Gründen für rechtswidrig erklärt."

Die Realität hat die Entscheidung überholt. In der Zwischenzeit hat heise.de auf die Entscheidung der LfD reagiert und ist auf ein noch komplizierteres Banner umgestiegen: Auf der ersten Ebene haben die Nutzer:innen die Wahl, entweder 4,95 € im Monat zu zahlen oder dem Tracking zuzustimmen. Erst auf der zweiten Ebene können sie alle Zwecke außer Werbung ablehnen. Das Problem: Studien zufolge öffnen nur etwa 2 Prozent der Website-Nutzer:innen auf der zweiten Ebene eines Cookie-Banners - wodurch fast niemand die Option sieht, die anderen Zwecke abzulehnen.

Felix Mikolasch, Datenschutzjurist bei noyb: "Die Entscheidung der LfD scheint bereits durch die Verwendung eines neuen Banners überholt worden zu sein. Wir werden weiter gegen den "Pay oder Okay" Ansatz vorgehen."