Aufsatz : Meta führt bezahlpflichtiges Abonnement ein – PUR-Modelle an der Schnittstelle zwischen Datenschutz, Privatautonomie und unternehmerischer Freiheit : aus der RDV 1/2024, Seite 20-27
Seit November 2023 werden die Nutzer der Meta-Plattformen Instagram und Facebook vor die Wahl gestellt, entweder die Plattformen mit personalisierter Werbung oder im Rahmen eines bezahlpflichtigen Abonnements ohne Werbung zu nutzen. Die personalisierte Werbung erfolgt seit diesem Zeitpunkt auf Grundlage einer Einwilligung. Das Abonnement hingegen, ermöglicht es dem Nutzer die Plattformen ohne personalisierte Werbung zu diesem Zwecke zu nutzen. In welchem Zusammenhang dieser Schritt mit dem EuGH-Urteil (C-252/21) vom 4. Juli 2023 und der Dringlichkeitsentscheidung des Europäischen Datenschutzausschusses (EDSA) steht und welche Auswirkungen dies auf bereits bestehende „Pay or okay“ Modelle haben kann, wird in diesem Artikel näher beleuchtet.
Meta-Subskriptionsmodell auf den Plattformen Facebook und Instagram
Am 30. Oktober 2023 kündigte der Meta-Konzern offiziell an, auf den Plattformen Facebook und Instagram ein bezahlpflichtiges Abonnement einzuführen.[1] Mit diesem Schritt folgte Meta dem Trend der „Pay or okay“ Modelle, welche sich insbesondere im deutschsprachigen Raum, bei Anbietern von Inhalten und Services z.B. Nachrichten-Websites, anzunehmender Beliebtheit erfreuen. Die Abonnements von Meta werden zum aktuellen Zeitpunkt nur Nutzern im europäischen Wirtschaftsraum (EWR) angeboten. Erstmalig wurden diese Überlegungen im Juli 2023, im Rahmen von US-amerikanischen Berichterstattungen, bekannt.[2]
Seit November 2023 bekamen die Nutzer der jeweiligen Plattform die Aufforderung, sich für die weitere Nutzung mit personalisierter Werbung oder für ein bezahlpflichtige Abonnement zu entscheiden. Die Entscheidung des Nutzers, die Plattform weiterhin wie gewohnt mit Werbung zu nutzen, wird auf eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO gestützt und seitens Meta mit sich ändernden Gesetzen in der Region begründet. Diese Begründung mag im ersten Moment irritieren, da die Einholung der Einwilligung auf Grundlage der seit dem 25. Mai 2018 geltenden DS-GVO erfolgt. Meta bezieht sich jedoch an diesem Punkt auf den Digital Markets Act (DMA)[3] , nicht auf die DS-GVO.
Die Europäische Kommission hat die Plattformen Facebook, Instagram und die Werbeplattform als separate „zentrale Plattformdienste“ eingestuft.[4] Die Folge ist, dass personenbezogene Daten der Endnutzer nicht ohne Einwilligung für den Betrieb von Online-Werbediensten verarbeitet werden dürfen und die personenbezogenen Daten nicht mit anderen von Facebook bereitgestellten Diensten zusammengeführt werden dürfen, Art. 5 Abs. 2 DMA.
Das Abonnement bezieht sich auf das jeweilige Nutzungskonto. In der App kostet das erste Abo 12,99 € im Monat. Nach dem 1. März 2024 wird für jedes weitere Konto, welches in der Kontoübersicht hinzugefügt wird, 8,00 € zusätzlich in Rechnung gestellt. Der webbasierte Abschluss eines Abonnements beläuft sich für das erste Konto auf 9,99 € und für jedes weitere Konto auf 6,00 € im Monat. Der unterschiedliche Preis, je nach Abschlusskanal, wird seitens Meta damit begründet, dass die Gebühren des jeweiligen App-Store Anbieters an die Nutzer weitergegeben werden. Unabhängig des Abschlusskanals gilt das Abonnement sowohl für die Nutzung im Web als auch in der App. Das Leistungsversprechen von Meta umfasst, dass keine Werbung mehr angezeigt und die eigenen Informationen nicht zur Ausspielung von Werbung verwendet werden. Unberührt hiervon ist der organische, d.h. nicht gesponsorte Feed und Nachrichten von Unternehmen sowie Influencern. Demnach bietet Meta weiterhin ein personalisiertes Produkt an. Die Datenverarbeitung zum Zweck der Personalisierung des organischen Feeds erfolgt auf Grundlage eines Nutzungsvertrags gem. Art. 6 Abs. 1 lit. b) DS-GVO.
II. EuGH-Entscheidung Meta gegen Bundeskartellamt
Auch der EuGH äußerte sich bereits in seiner Entscheidung vom 04.07.2023 im Verfahren Meta gegen das Bundeskartellamt zur allgemeinen Zulässigkeit von PUR-Modellen.[5] Neben Fragen zur Zuständigkeit der Wettbewerbsbehörden zu datenschutzrechtlichen Sachverhalten, der Verarbeitung von besonderen Kategorien personenbezogener Daten der Nutzer gem. Art. 9 Abs. 1 DS-GVO befasste sich der EuGH auch mit den Rechtsgrundlagen für personalisierte Werbung. Der EuGH führte aus, dass die Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO gleichwertig sind und somit die Einwilligung keinen Vorrang genießt.[6] Allerdings sind die Rechtsgrundlagen gem. Art. 6 Abs. 1 lit. b) bis f) DS-GVO eng auszulegen.[7] Die Datenverarbeitung zur Erfüllung eines Vertrags ist nur dann erforderlich, wenn sie objektiv unerlässlich ist, um einen Zweck zu erreichen, der notwendiger Bestandteil des Vertrags, d.h. vertraglicher Hauptgegenstand, ist.[8]Die Datenverarbeitung ist hingegen nicht erforderlich, wenn sie für den Verantwortlichen lediglich nützlich ist.[9] Im Fall von Meta ist die Datenverarbeitung zum Zweck der personalisierten Werbung nicht erforderlich, um die Nutzung des sozialen Netzwerkes zu ermöglichen.[10] Folglich kann die Verarbeitung nicht auf Art. 6 Abs. 1 lit. b) DS-GVO gestützt werden. Sodann prüft der EuGH, ob die Verarbeitung gem. Art. 6 Abs. 1 lit. f) DS-GVO zulässig ist. Zwar stellt die Verarbeitung für verhaltensbasierte Werbung ein berechtigtes Interesse dar. Ob die Verarbeitung zur Verwirklichung dieses berechtigten Interesses erforderlich ist, ist jedoch im Einzelfall durch Abwägung zu ermitteln. Diese Abwägungsentscheidung muss das vorlegende nationale Gericht im Hinblick auf Meta durchführen. Der EuGH äußert hierzu eine Tendenz, nach der die Verarbeitung von Meta für Werbezwecke nicht auf Art. 6 Abs. 1 lit. f) DS-GVO gestützt werden kann, da die Verarbeitung einerseits besonders umfassend ist und dieses Ausmaß an Verarbeitung nicht den vernünftigen Erwartungen des Nutzers entspricht.[11] Demnach dürfte nach Auffassung des EuGH nur noch die Einwilligung als taugliche Rechtsgrundlage in Betracht kommen. Nutzer, die keine Einwilligung erteilen, darf der Zugang zum sozialen Netzwerk nicht verwehrt werden. Den Unternehmen steht es allerdings frei, für die Nutzung des einwilligungsfreien Dienstes ein angemessenes Entgelt zu verlangen.[12]
III. Dringlichkeitsentscheidung des EDSA gegen die irische Datenschutzaufsicht DPC
Neben der Ankündigung von Meta am 30.10.2023, ein bezahlpflichtiges Abonnement einzuführen[13], erließ der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss im Dringlichkeitsverfahren gem. Art. 66 DS-GVO. In diesem Dringlichkeitsbeschluss wurde die federführende Aufsichtsbehörde für Meta, die „DPC“ in Irland, aufgefordert, innerhalb von zwei Wochen endgültige Maßnahmen zu ergreifen, welche es Meta verbietet, die Verarbeitung von personenbezogenen Daten zu Zwecken der verhaltensbezogenen Werbung auf die Rechtsgrundlage des Vertrages und des berechtigten Interesses, im gesamten Europäischen Wirtschaftsraum (EWR), zu stützen. Dem Dringlichkeitsbeschluss vorangegangen war eine vorläufige Maßnahme der norwegischen Aufsichtsbehörde vom 14.07.2023, welche es Meta verbot, Nutzerdaten auf Facebook und Instagram für personalisierte Werbung zu verarbeiten.[14]Im Rahmen des Dringlichkeitsverfahrens kann eine Aufsichtsbehörde, wenn sie dringenden Handlungsbedarf sieht, für maximal drei Monate einstweilige Maßnahmen mit Rechtswirkung für ihr eigenes Hoheitsgebiet erlassen. Diese Maßnahmen werden abweichend vom One-Stop-Shop-Verfahren gem. Art. 60 DS-GVO sowie vom Kohärenzverfahren gem. Art. 63 DS-GVO getroffen. Die Aufsichtsbehörde, die die einstweiligen Maßnahmen erlässt, muss die Maßnahmen und die Gründe für ihren Erlass unverzüglich den anderen betroffenen Aufsichtsbehörden, dem EDSA sowie der Europäischen Kommission mitteilen. Ist die Aufsichtsbehörde der Ansicht, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie den EDSA um eine Stellungnahme oder einen verbindlichen Beschluss im Dringlichkeitsverfahren ersuchen.
- EDSA-Beschluss aus dem Dezember 2022
Dem Dringlichkeitsbeschluss aus dem November 2023 ging bereits ein Beschluss des EDSA aus dem Dezember 2022 voraus.[15]
Im Dezember 2022 entschied der EDSA, dass Meta personenbezogene Daten nicht auf Grundlage eines Vertrags für verhaltensbasierte Werbung verwenden dürfe. Die Datenverarbeitung für Werbezwecke sei nicht zur Vertragserfüllung erforderlich, da verhaltensbasierte Werbung kein wesentliches oder zentrales Element des Nutzungsvertrags für die Dienste Instagram und Facebook sei.
Dabei wurden zwei zentrale Argumente vorgebracht. Meta könne seine Dienste auch durch nicht-verhaltensbasierte Werbung aufrechterhalten. Diese Debatte und das Fehlen von Nachweisen für diese Aussage, sind seit Jahren Gegenstand von Streitigkeiten zwischen den Aufsichtsbehörden und der Digital- und Medienbranche. Die Kritiker der verhaltensbasierten Werbung sind bis heute den Nachweis schuldig geblieben, dass nicht-verhaltensbasierte Werbung entgeltfreie Inhalte und Services vollständig finanzieren könnte. Die Verwendung des Begriffs „vertragliche Erforderlichkeit“ durch Meta sollte lediglich technische Notwendigkeiten für die Bereitstellung von Diensten abdecken, nicht aber wirtschaftliche oder geschäftliche Notwendigkeiten wie bspw. Einnahmen zu erzielen. Die Begrenzung der vertraglichen Erforderlichkeit lediglich auf die technische Notwendigkeit, erscheint zu kurz gegriffen und trägt nicht dem Sachverhalt bei, dass auch eine Refinanzierung eines Dienstes gewährleistet sein muss.
Daraufhin kündigte Meta an, sich bei der verhaltensbasierten Werbung auf die Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DS-GVO als Rechtsgrundlage zu berufen. Dieser Schritt wurde von der norwegischen Datenschutzaufsichtsbehörde (Datatilsynet) aufgegriffen, jedoch erneut nicht von der DPC.
- Verbot für verhaltensbasierte Werbung auf Facebook und Instagram in Norwegen
Aufgrund der Untätigkeit der DPC verhängte die Datatilsynet im Juli 2023 ein vorübergehendes Verbot für verhaltensbasierte Werbung auf Facebook und Instagram für Nutzer in Norwegen. Dabei berief sich die norwegische Behörde auf die zuvor geschilderte EuGH-Entscheidung, obwohl dieses Urteil lediglich Daten von Dritten im Fokus hatte. Die norwegische Entscheidung enthielt einen formellen Antrag an den EDSA, das Verbot auf die gesamte EU auszuweiten. Dieser Antrag führte zu der nun vorliegenden Durchsetzungsentscheidung des EDSA.[16]
Die norwegische Datenschutzaufsichtsbehörde konnte das Verbot erlassen, da diese einen dringenden Handlungsbedarf gesehen hatte und entschied sich somit von dem Kohärenzverfahren nach Art. 63 DS-GVO und dem One-StopShop-Verfahren nach Art. 60 DS-GVO abzuweichen. Die Möglichkeit entgegen den zuvor beschriebenen Logiken für das eigene Hoheitsgebiet bis zu drei Monaten Maßnahmen mit rechtlicher Wirkung auszusprechen, wird in Art. 66 DS-GVO geregelt.[17]
An dieser Stelle bleibt die norwegische Aufsichtsbehörde die Antwort schuldig, warum das Verbot für verhaltensbasierte Werbung auf Facebook und Instagram beschränkt war und bspw. Unternehmen wie Netflix, welche die Ausspielung von Werbung ebenfalls auf eine vertragliche Grundlage stützen, hiervon unberührt blieben.[18]
- Kritik am Mechanismus des Dringlichkeitsverfahrens des EDSA
Es stellt sich die Frage nach der Fairness und Funktionsfähigkeit des Dringlichkeitsverfahrens in seiner gegenwärtigen Form, insbesondere angesichts der Tatsache, dass die abschließende Entscheidungsbefugnis beim EDSA liegt, während die Durchsetzung der Entscheidung in den Händen einer nationalen Aufsichtsbehörde verbleibt. Dieser Dualismus von Entscheidungsfindung und Durchsetzung eröffnet eine Diskrepanz, die für betroffene Unternehmen problematisch ist. Verantwortliche und Auftragsverarbeiter sind zwar Adressat einer behördlichen Maßnahme. Sie erhalten jedoch keine Gelegenheit, ihre Sichtweise und Argumente vor dem EDSA vorzutragen und somit die Entscheidung zu beeinflussen.
In einem solchen Szenario haben Unternehmen wie Meta nur das Recht auf gerichtlichen Rechtsschutz gegen die federführende Aufsichtsbehörde, die den verbindlichen Beschluss des EDSA umsetzen muss.
Problematisch ist die fehlende Beteiligungsmöglichkeit für Verantwortliche und Auftragsverarbeiter vor allem dann, wenn die federführende Aufsichtsbehörde eine gütliche Einigung[19] mit dem Unternehmen erzielt hat, der EDSA hingegen eine andere Rechtsauffassung vertritt. In diesem Fall ist die federführende Aufsichtsbehörde trotz entgegenstehender Meinung verpflichtet, eine verbindliche Entscheidung des EDSA umzusetzen.
Im Fall von Meta war die DPC der Auffassung, dass die Datenverarbeitung zum Zweck der verhaltensbasierten Werbung auf Art. 6 lit. b) DS-GVO gestützt werden kann. Der EDSA vertritt hingegen die Auffassung, dass Art. 6 lit. b) DS-GVO keine taugliche Rechtsgrundlage ist. Im Ergebnis richtet sich die Entscheidung des EDSA somit nicht direkt gegen Meta, sondern rügt vielmehr die Auffassung der DPC und fordert diese auf, innerhalb eines Monats behördliche Maßnahmen zu ergreifen.
IV. Subskriptionsmodelle im Kontext des Datenschutzes
Die Subskriptionsmodelle sind ein bewährtes Geschäftsmodell und nahezu in jeder Branche, vom Verlagswesen über die Unterhaltungsbranche bis hin zur Musikindustrie. Neu ist allerdings die Verknüpfung von datenschutzrechtlichen Aspekten mit bekannten und bewährten Subskriptionsansätzen. Der Nutzer hat die Wahl, entweder eine datenschutzrechtliche Einwilligung oder eine rechtsgeschäftliche Willenserklärung zum Abschluss eines Nutzungsvertrages abzugeben. Diese Wahlmöglichkeiten werden umgangssprachlich als „PUR-Modelle“, „Pay or okay“ oder „Pay or consent“ bezeichnet.
- Ausgestaltungsvarianten am Markt
Zum aktuellen Zeitpunkt lassen sich PUR-Modelle anhand fünf verschiedener Kriterien voneinander abgrenzen.[20]
Die ursprüngliche Form des PUR-Abonnements, bietet die Möglichkeit des tracking- und weitestgehend werbefreien Zugangs zu Angeboten eines Diensteanbieters. Es gibt Diensteanbieter, welche teilweise das PUR-Abonnement mit einem Rabatt für Bestandskunden anbieten. Daneben gibt es PURModelle am Markt, welche im Rahmen des bezahlpflichtigen Abonnements weitere Inhalte und Services anbieten. Inwieweit sich dieser Sachverhalt auf die Frage der Zulässigkeit auswirkt, wird im weiteren Verlauf des Artikels beleuchtet.
Ein weiteres Unterscheidungskriterium besteht darin, inwieweit eine trackingfreie Nutzung nur mit kontextueller und Eigen-Werbung oder eine tracking- und komplett werbefreie Nutzung angeboten wird.
Neben den websitespezifischen PUR-Modellen gibt es auch Anbieter, welche ein websiteübergreifendes PUR-Abonnement anbieten. Bei diesen Modellen schließt der Nutzer ein PUR-Abonnement bei einem Dritten ab und erhält in diesen Rahmen einen tracking- und werbefreien Zugang auf einer Vielzahl von angeschlossenen Websites. Am bekanntesten ist contentpass aus Berlin, bei welchem das Abonnement aktuell über 300 Websites in Europa umfasst.
Im Rahmen der Zulässigkeitsprüfung, insbesondere bei der Frage nach der Freiwilligkeit der Einwilligung, prüfen die Datenschutzaufsichtsbehörden in Deutschland insbesondere die Zweckbündelung im Kontext der Einwilligungserteilung. Durch dieses Prüfkriterium ist ein weiteres Unterscheidungskriterium hinzugekommen, nämlich die Frage, inwieweit es neben der Einwilligung und dem bezahlpflichtigen Abonnement die Möglichkeit gibt, einzelne Zwecke abzuwählen und trotzdem Zugriff, auch ohne die Erteilung der Einwilligung, zu erhalten.
Die aktuellen Modelle am Markt stützen sich insbesondere auf die Einwilligung, nach Art. 6 Abs. 1 lit. a) DS-GVO (Abb. 1).
Es gibt jedoch auch Modelle, welche die zustimmungspflichtigen Datenverarbeitungen auf Grundlage des Vertrages stützen. Bei dieser „Vertragslösung“ gibt es wiederum zwei verschiedene Ansätze, deren rechtliche Zulässigkeit noch nicht abschließend geklärt ist.[21] Bei der ersten Variante verpflichtet sich der Nutzer seine Daten unmittelbar durch den Besuch der Website dem Website-Betreiber, dem Publisher, sowie Dritten, den Vendoren, zur Verfügung zu stellen. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b) DS-GVO i.V.m. §§ 312 Abs. 1a, 327 Abs. 3 BGB (Abb. 2).
Bei der zweiten Variante verpflichtet sich der Nutzer vertraglich, eine Einwilligung in die Datenverarbeitung zum Zweck der verhaltensbasierten Werbung zu erteilen. In diesem Fall erfolgt die Datenverarbeitung gem. Art. 6 Abs. 1 lit. a) DS-GVO (Abb. 3).
Allen PUR-Modellen ist gemein, dass die Nutzer um eine datenschutzrechtliche Einwilligung bzw. vertragliche Willenserklärung gebeten werden und alternativ gegen Bezahlung eine tracking- und teilweise werbefreie Nutzung der Inhalte angeboten wird.
- Zulässigkeit von PUR-Modellen aus Sicht der Aufsichtsbehörden
Die Rechtmäßigkeit von PUR-Modellen im generellen zu analysieren, bezieht sich auf die Frage, inwieweit die Wirksamkeitsvoraussetzungen an eine Einwilligung nach der DS-GVO, insbesondere die Freiwilligkeit nach Art. 4 Nr. 11 DS-GVO erfüllt sind.
Gemäß ErwG 42 S. 5 der DS-GVO „sollte von einer freiwilligen Einwilligung nur dann ausgegangen werden, wenn (die betroffene Person) eine echte Wahlmöglichkeit hat und somit in der Lage ist, die Einwilligung zu verweigern oder zu widerrufen, ohne dass ihr dadurch Nachteile entstehen“. Der ErwG 43 Abs. 1 DS-GVO schließt bei einem „eindeutigen Ungleichgewicht“ zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen die Freiwilligkeit der Einwilligung aus. Für die PUR-Modelle stellt sich daher zunächst die Frage, ob der Zugriff auf eine Website von der Einwilligung abhängig gemacht werden kann.
Am 16. Mai 2022 hat die französische Datenschutzaufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) die ersten Bewertungskriterien im Zusammenhang mit Cookie-Walls und sogenannten PUR-Modellen veröffentlicht. Im Ergebnis erkennt die CNIL an, dass viele kostenlose Dienste im Internet durch (zielgruppenspezifische) Werbung finanziert werden. Die CNIL beruft sich auf eine Entscheidung des Staatsrats vom 19. Juni 2020 zu Cookie-Walls, die besagt, „dass das Erfordernis der freien Zustimmung kein allgemeines Verbot der Praxis von Tracker-Walls rechtfertigen kann, da die freie Zustimmung des Einzelnen von Fall zu Fall beurteilt werden muss, wobei insbesondere das Vorhandensein einer echten und zufriedenstellenden Alternative im Falle einer Ablehnung von Cookies zu berücksichtigen ist“.[22]
Die Datenschutzkonferenz (DSK) hat im Arbeitskreis Medien eine einheitliche Position zu PUR-Modellen entwickelt. Diese Position wurde am 22. März 2023 in der Entschließung Bewertung von PUR-Abomodellen auf Websites veröffentlicht.[23] Für die DSK sind PUR-Modelle grundsätzlich rechtmäßig. Voraussetzung ist, dass die angebotene Leistung beim Bezahlmodell eine gleichwertige Alternative zur Leistung darstellt, die der Nutzer nach Erteilung der Einwilligung erhält. Ob der Verantwortliche eine gleichwertige Alternative anbietet, soll insbesondere davon abhängen, ob dem Nutzer gegen ein marktübliches Entgelt ein gleichwertiger Zugang zu derselben Leistung eröffnet wird.[24]
Auch die österreichische Aufsichtsbehörde äußerte sich bereits mehrfach zu PUR-Modellen. Anlass der Entscheidung war eine Beschwerde der Datenschutzorganisation NOYB gegen die Nachrichten-Website „derStandard.at“. Nach Auffassung der österreichischen Aufsichtsbehörde „kann ein kostenpflichtiges Abonnement […] eine tragfähige Alternative für eine Einwilligung sein.“[25] Diese Rechtsauffassung hat die österreichische Aufsichtsbehörde erneut in einer Entscheidung im Falle eines österreichischen Nachrichtenportals bestätigt.[26]
a) Granularität der Einwilligung
Auf Seiten der deutschsprachigen Datenschutzaufsichtsbehörden wird die Freiwilligkeit maßgeblich anhand der Zweckbündelung im Rahmen der Einwilligung bewertet, wobei es hierzu bisher keine abschließende Rechtsprechung gibt.[27] Der Wortlaut des Art. 6 Abs. 1 lit. a) DS-GVO führt aus, dass „die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat“. Dies zeigt, dass es datenschutzrechtlich durchaus möglich ist, eine Einwilligung in mehrere Zwecke zu erteilen. Wird in diesem Kontext ebenfalls der ErwG 43 S. 2 DS-GVO herangezogen – „die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist“ –, zeigt sich, dass auch hier die getrennte Einwilligung in verschiedene Zwecke nicht per se, sondern nur, wenn „dies im Einzelfall angemessen ist“, gefordert wird.
Somit ist nach der DS-GVO eine Bündelung von Einwilligungen für verschiedene Zwecke zulässig, solange dies für den Betroffenen transparent dargestellt wird. Eine Pauschaleinwilligung i.S.e. „Alles akzeptieren“-Buttons, mit der die Einwilligung in alle Datenverarbeitungen gleichzeitig vorgenommen werden kann, ist daher unter dem Blickwinkel der Freiwilligkeit keineswegs unzulässig.
Der EDSA versteht unter der Granularität, dass die Verarbeitungszwecke getrennt dargestellt sind und eine Einwilligung für jeden Zweck eingeholt wird.[28] Für die praktische Umsetzung bedeutet das, dass auf der ersten Ebene des PUR-Modell-Banners alle Einwilligungsbedürftigen Zwecke aufgelistet sind und der Nutzer jeden Zweck per Slider oder Check-Box aktivieren kann. Nur wenn der Nutzer in jeden Zweck separat einwilligen kann, darf zusätzlich ein „Alle Auswählen“-Button vorhanden sein.
Weiterhin ist zu beachten, dass nicht nur die einwilligungsbedürftige Verarbeitungstätigkeiten im Button aufgeführt werden, sondern auch eine Einwilligung für den Zugriff und die Speicherung von Informationen auf der Endeinrichtung des Nutzers gem. § 25 Abs. 1 TTDSG eingeholt wird.[29]
b) Gleichwertigkeit der bezahlpflichtigen Alternative
Die Gleichwertigkeit des bezahlpflichtigen Abonnements, als Alternative zur Einwilligung, wird aktuell anhand zweier Kriterien bewertet. Auf der einen Seite geht es um die Frage, inwieweit sich die Leistung hinter dem bezahlpflichtigen Abonnement im Detail mit dem Weg über die Einwilligung ähneln muss, auf der anderen Seite wird die Gleichwertigkeit auf Grundlage des Preises diskutiert. Im Kontext der Leistungsgleichheit wird sich entscheiden, inwieweit PUR-Modelle, welche PUR-Funktionalitäten und zusätzliche Leistungen bündeln, zukünftig als zulässig betrachtet werden.
Bezüglich des Preises stellt sich die Frage, inwieweit die Datenschutzaufsichtsbehörden befugt sind zu bewerten, ob die monetäre Gegenleistung des Nutzers angemessen ist, insbesondere nach welchen Kriterien sich die Angemessenheit beurteilt. Die dänische Datenschutzbehörde stellt in ihrem Leitfaden zu Cookie-Walls Folgendes fest: „Es ist nicht die Aufgabe der dänischen Datenschutzbehörde, die Preisgestaltung für Inhalte, Dienstleistungen usw. näher zu erläutern.“ Die Unternehmen haben daher einen weiten Ermessensspielraum bei der Bewertung und Festlegung des spezifischen Betrags, der eine Zahlungsalternative zur Einwilligung des Besuchers in die Verarbeitung personenbezogener Daten darstellen muss.“[30]
In der aktuellen Beschwerde der Datenschutzorganisation noyb bezüglich des bezahlpflichtigen Abonnements von Meta führt noyb aus, dass das Entgelt nicht angemessen sei. Der Abo-Preis für die Nutzung von Facebook und Instagram sei gerade bei Gelegenheitsnutzern, die 5-10 Minuten pro Tag online sind, zu hoch. Würde ein Großteil der Website- und App-Anbieter ein ähnlich hohes Entgelt verlangen, so käme auf den Nutzer eine „Datenschutz-Gebühr von € 8.815,80 pro Jahr“ zu.[31]
In einer Annäherung an einen angemessenen Preis hilft der Hinweis auf den tatsächlichen Nutzerwillen nur bedingt weiter. Der Ansatz die Preisgestaltung auf Basis der Kosten mit einem angemessenen Aufschlag vorzunehmen, verschiebt die Frage der Angemessenheit auf den fairen Aufschlag und greift in die Privatautonomie und unternehmerische Freiheit der betroffenen Unternehmen ein. Auch die Forderung, dass der Preispunkt so niedrig sein sollte, dass ein Nutzer jegliche PUR-Abonnements abschließen können muss, ist fragwürdig, da dies der Lebensrealität entgegensteht.
Eine Kompensation verloren gegangener Werbeerlöse, also die Koppelung an den durchschnittlichen Umsatz je Nutzer und die Gewinnmargen, scheint eine sinnvolle Überlegung zu sein. Auf der anderen Seite scheint ein Durchschnittspreis, insbesondere für website-bezogene PUR-Modelle, welche in verschiedenen Ländern mit unterschiedlichen Einkommensschichten agieren, zu kurz zu greifen. Die Entscheidungslogik bei Verbrauchern ein solches Abo-Produkt abzuschließen, wird sowohl von der Sensibilität für den Datenschutz, dem Status des Verbrauchers als bestehender- oder neuer Nutzer und die Bereitschaft für solche Produkte zu bezahlen, beeinflusst. Bildet man auf Basis dieser Faktoren verschiedene Nutzergruppen, zeigt sich, dass der durchschnittliche Umsatz je Nutzer in den Gruppen stark abweicht. Die einfache Berechnung der durchschnittlichen Umsätze der Nutzer, ignoriert diesen Sachverhalt. Im Ergebnis zeigt sich, dass der Kompensationswert somit höher liegen müsste als der reine Durchschnittswert bezüglich der Gesamtumsätze je Nutzer.[32]
V. Fazit und Ausblick
Die europäischen Datenschutzaufsichtsbehörden haben die Legitimität von PUR-Modellen, vorbehaltlich einer Reihe von Anforderungen, anerkannt. Spätestens nach den Ausführungen des EuGH ist die Zulässigkeit von bezahlpflichtigen Alternativen zur Einwilligung auch höchstrichterlich bestätigt und es wird sich zeigen, inwieweit der EDSA, sich auf gemeinsame Bewertungskriterien bei der Einzelfallprüfung verständigen wird. Für jeden Anbieter digitaler Dienste oder Inhalte müssen die gleichen Bewertungskriterien gelten und entsprechende PUR-Modelle nach den gleichen Anforderungen und Standards bewertet werden.
Die Bereitstellung einer angemessenen Alternative ist Wirksamkeitsvoraussetzung für die Einwilligung und stellt sicher, dass weiterhin allen Verbrauchern Zugang zu entgeltfreien Diensten in der europäischen Union ermöglicht wird. Dies gewährleistet nicht nur das Recht auf Schutz personenbezogener Daten, sondern auch das Recht auf Meinungs- und Informationsfreiheit.
Sollten PUR-Modelle nicht mehr als rechtskonforme Lösung angesehen werden, wird dies zur Folge haben, dass sich die Erhebung und Verarbeitung personenbezogener Daten zum Zwecke zielgruppenspezifischer Werbung nachhaltig als kaum mehr möglich gestalten würde. Dies lässt sich auf die fehlende Rechtsgrundlage, gemäß Art. 6 Abs. 1 DS-GVO zurückführen und würde somit das zugrunde liegende Geschäftsmodell de facto verbieten. Die volkswirtschaftlichen und gesellschaftlichen Kollateralschäden wären signifikant.tand: 16.12.2023].
Kristin Benedikt ist Richterin am Verwaltungsgericht Regensburg.
David Pfau ist Head of Data & Privacy bei der conreri digital development GmbH in Hamburg.
[1] Meta, Facebook and Instagram to Offer Subscription for No Ads in Europe, 30.10.2023, abrufbar unter: https://about.fb.com/news/2023/10/facebook-and-instagram-to-offer-subscription-for-no-ads-in-europe/ [Stand: 16.12.2023].
[2] The New York Times, Meta May Allow Instagram and Facebook Users in Europe to Pay to Avoid Ads, abrufbar unter: https://www.nytimes.com/2023/09/01/technology/meta-instagram-facebook-ads-europe.html [Stand: 16.12.2023].
[3] Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14.09.2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte), COM (2020) 825 final.
[4] Zusammenfassung des Beschlusses der Kommission vom 05.09.2023, Beschluss nach Art. 3 der Verordnung (EU) 2022/1925 (Sachen DMA.100020 – Meta – online social networking services; DMA.100024 – Meta – Number-independent interpersonal communicators Services; DMA.100035 – Meta – online advertising services; DMA.100044 – META – Online intermediation Services – Marketplace), bekannt gegeben unter Aktenzeichen C(2023) 6105 final.
[5] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537.
[6] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 92.
[7] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 93.
[8] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 98.
[9] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 99.
[10] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 104.
[11] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 116 ff.
[12] EuGH, Urt. v. 04.07.2023 – C-252/21 – Meta Platforms u.a., ECLI:EU:C:2023:537, Rn. 150.
[13] Meta, Facebook und Instagram bieten Abonnement für No Ads in Europa an, 30.10.2023, abrufbar unter: https://about.fb.com/news/2023/10/facebook-and-instagram-to-offer-subscription-for-no-ads-in-europe/ [Stand: 16.12.2023]
[14] Norwegische Aufsichtsbehörde, Dringende und vorläufige Maßnahmen gegen Meta, 14.07.2023, abrufbar unter: https://www.datatilsynet.no/en/news/aktuelle-nyheter-2023/temporary-ban-of-behavioural-advertising-on-facebook-and-instagram/ [Stand: 16.12.2023]
[15] EDSA, Verbindlicher Beschluss 04/2022 und 05/2022 zur Streitigkeit der irischen Aufsichtsbehörde über Meta Platforms Ireland Limited und deren Facebook Services; Verbindlicher Beschluss 05/2022 zur Streitigkeit der irischen Aufsichtsbehörde über Meta Platforms Ireland Limited und deren Instagram Services, jeweils angenommen am 05.12.2022.
[16] Norwegische Aufsichtsbehörde, Temporäres Verbot von Verhaltenswerbung auf Facebook und Instagram, abrufbar unter: https://www.datatilsynet.no/en/news/aktuelle-nyheter-2023/temporary-ban-of-behavioural-advertising-on-facebook-and-instagram/ [Stand: 16.12.2023].
[17] EDSA, Pressemitteilung vom 07.12.2023: EDPB veröffentlicht dringend verbindliche Entscheidung über Meta, abrufbar unter: https://edpb.europa.eu/news/news/2023/edpb-publishes-urgent-binding-decision-regarding-meta_en [Stand: 16.12.2023].
[18]Https://help.netflix.com/de/legal/privacy
[19] Vgl. EDSA, Leitlinien 06/2022 für die praktische Anwendung der gütlichen Einigung.
[20] BVDW, Umfassender Marktüberblick: PUR-Modelle in Europa – Rechtliche Rahmenbedingungen und Zukunftsaussichten, 05.10.2023, abrufbar unter: https://www.bvdw.org/news-und-publikationen/umfassender-marktueberblick-pur-modelle-in-europa-rechtliche-rahmenbedingungen-und-zukunftsaussichten/ [Stand: 16.12.2023].
[21] Vgl. zur Datenverarbeitung aufgrund eines Verbrauchervertrages umfassend: Wendehorst, NJW 2021, 2913.
[22] CNIL, Cookie-Walls: CNIL veröffentlicht erste Beurteilungskriterien, 16.05.2022, abrufbar unter: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/la-cnil-publie-des-premiers-criteres-devaluation [Stand: 16.12.2023].
[23] DSK, Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22.03.2023, Bewertung von Pur-AboModellen auf Websites.
[24] DSK, Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22.03.2023, Bewertung von Pur-AboModellen auf Websites, Ziff. 1 und 2.
[25] Österreichische Datenschutzbehörde, Bescheid vom 30.11.2018, GZ: DSBD122.931/0003-DSB/2018), abrufbar unter: https://noyb.eu/sites/default/files/2023-04/Standard_Bescheid_geschwärzt.pdf.
[26] Österreichische Datenschutzbehörde, Bescheid vom 29.03.2023, GZ: 2023- 0.174.027, S. 24.
[27] DSK, Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22.03.2023, Bewertung von Pur-AboModellen auf Websites.
[28] EDSA, Leitlinien 05/2022 zur Einwilligung gemäß Verordnung 2026/679, Version 1.1, angenommen am 04.05.2020, Rn. 44.
[29] DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 01.12.2021 (OH Telemedien 2021), Version 1.1, Dezember 2022, Rn. 96.
[30] Dänische Datenschutzaufsichtsbehörde, Cookie-Walls, abrufbar unter: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/cookies/cookie-walls [Stand: 16.12.2023].
[31] Noyb, Beschwerde vom 28.11.2023 gegen Meta Platforms Ireland Limited, Rn. 44 abrufbar unter: https://noyb.eu/sites/default/files/2023-11/Beschwerde%20-%20Meta%20Pay%20or%20Okay%20-%20REDACTED.pdf [Stand: 16.12.2023].
[32] Eric Benjamin Seufert, Was ist eine „angemessene Gebühr“ für ein Social-Media-Abo?, 01.12.2023, abrufbar unter: https://mobiledevmemo.com/what-isan-appropriate-fee-for-a-social-media-subscription/ [Stand: 16.12.2023].