"Pay or Okay" på tekniknyhetssajten heise.de olagligt, beslutar tyska DPA

"Pay or Okay" på tekniknyhetssajten heise.de olagligt, beslutar tyska DPA. Stora konsekvenser för många andra tyska nyhetssidor.

En av de största tyskspråkiga sajterna för tekniknyheter, heise.de, lät användarna välja mellan att betala för ett månadsabonnemang eller att få sina personuppgifter behandlade för reklam och många andra ändamål. Dataskyddsmyndigheten idataskyddsmyndigheten i Niedersachsen (LfD) beslutade att deras "Betala eller okej" tillvägagångssätt från och med 2021 var olaglig. Detta är ännu ett slag mot nyhetsbyråer som använder en sådan modell på sina webbplatser, efter att den österrikiska dataskyddsmyndigheten (DSB) förklarade implementeringen på en österrikisk nyhetssida olaglig tidigare i år.

• Beslut från dataskyddsmyndigheten i Niedersachsen (LfD)
• klagomål frånnoyb mot heise.de
• Allmän information om webbplatsen för dataskyddsmyndigheten i Niedersachsen (LfD)
• "Betala eller okej"-klagomål inlämnade av noyb
• Beslut av den österrikiska dataskyddsmyndigheten (DSB) mot derStandard.at

"Betala eller okej"-diskussion hettar till i Tyskland. I linje med den österrikiska DSB förklarade LfD den "Pay or Okay"-lösning som användes på heise.de 2021 olaglig och utfärdade en reprimand. Även om man ansåg att "Pay or Okay" kunde vara tillåtet i princip, fann den att nyhetsbolagets tillvägagångssätt inte var förenligt med lagen eftersom detinte inte gav möjlighet att specifikt samtycka till vissa ändamål - ett beslut som ligger i linje med riktlinjerna från konferensen för tyska dataskyddsmyndigheter (DSK). I majrch 2023 uttryckte Uttryckte DSK uttryckligen sin oro över avsaknaden av specifikt och transparent samtycke på webbplatser som använder "Pay or Okay"-modeller, utan att ifrågasätta den bredare frågan om att användare måste betala orimliga priser för att hålla sina personuppgifter privat.

Felix Mikolasch, dataskyddsjurist på noyb: "Vanlig 'Peller Okay"-lösningar är ett "take it or leave it"-system, där du måste ge ditt samtycke till allt eller betala. GDPR kräver "specifikt" samtycke för varje typ av behandling. Vi välkomnar beslutet, men efter åratal av lagöverträdelser är en reprimand inte en adekvat lösning för oklara "Betala eller okej" system. En enkel reprimand kommer inte att avskräcka andra från välja detta tillvägagångssätt."

Behandling innan samtycke har lämnats. Enligt ytterligare forskning av LfD, heise.de behandlade användarens personuppgifter uppgifter så snart webbplatsen öppnades. Ingen åtgärd krävdes för att webbplatsen skulle göra det, betydelse heise.de satte spårningscookies innan en användare ens kunde ge sitt samtycke.

Samtycket var inte transparent eller gavs inte fritt. I tillägg till de frågor kring "Pay eller Okay", påpekade LfD påpekade att heise.de använt sig av olaglig och metodisk nudging för att påverka användare till sin egen fördel. TlfD fann också att användarens samtycke inte var informerat, specifikt eller fritt givet. Dessutom var det inte tillräckligt enkelt att återkalla ett tidigare givet samtycke vid en senare tidpunkt - vilket ledde till att LfD drog slutsatsen att det inte fanns någon rättslig grund för att behandla användarens uppgifter.

Oproportionerliga kostnader ignorerades. I sitt klagomål till LfD, noyb också oro över att kostnaderna för "Betala eller okej"-lösningen påpå heise.de är extremt oproportionerliga. Enligt noybs interna beräkningar är det 428 gånger dyrare för användarna att skydda sin integritet än vad företaget tjänar på att behandla deras uppgifter. Dessutom är noyb att det är betydligt mer komplicerat att registrera sig förför den betalda prenumerationen är betydligt mer komplicerat än att bara "samtycka" till att bli spårad. Alla dessa frågor ignorerades i LfD:s beslut.

Felix Mikolasch, dataskyddsjurist på noyb: "Vi tycker att det finns fler anledningar till varför en 'Pay eller Okay'-lösning strider mot GDPR, men DPA fann redan att systemet från 2021 var olagligt på andra grunder."

Verkligheten överträffade LfD:s beslut. Under tiden, har heise.de reagerat på LfD:s beslut och flyttat till en ännu mer komplicerad banner: På det första lagret, användare har möjlighet att antingen betalaing € 4,95/månad eller samtycka till. Först på det andra lagret kan de kan de välja att avvisa alla ändamål utom reklaming. Problemet är följande: Enligt undersökningar, oendast cirka 2 procent av webbplatsanvändarna går till det andra lagret av en cookie banner - vilket innebär att nästan ingen kommer att se möjligheten att avvisa något annat syfte.

Felix Mikolasch, dataskyddsjurist på noyb: "Detverkar som om LfD:s beslut redan har blivit omsprunget av den senaste versionen av "Pay or Okay"-bannern. Vi kommer naturligtvis att gå tillbaka till LfD och fortsätta att bekämpa denna praxis."