Im November 2023 führte Meta, der Konzern hinter Facebook und Instagram, ein „Pay or Consent“-Modell ein. Seitdem müssen die Nutzenden entweder eine Gebühr entrichten oder sie müssen dem Tracking durch Meta zustimmen. Dies erfolgte als Reaktion auf die Entscheidung C-252/21 des EuGHs („Bundeskartellamt“-Entscheidung), der nur eine Einwilligung als ausreichende Rechtsgrundlage für das Tracking durch Meta angesehen hat.

1. Stellungnahme des EDSA

Aufgrund datenschutzrechtlicher Bedenken haben die Datenschutzbehörden der Niederlande, Norwegens und Deutschlands (Hamburg) diesbezüglich den Europäischen Datenschutzausschuss (EDSA) angerufen. Dieser hat daraufhin im April 2024 eine Stellungnahme zu eben diesen „Pay or Consent“-Modellen veröffentlicht. Darin positioniert er sich zur Wirksamkeit der Einwilligung zur Verarbeitung personenbezogener Daten zum Zwecke der verhaltensbezogenen Werbung im Rahmen von Zustimmungs- oder Bezahlmodellen („Pay or Consent“-Modellen), die von großen Online-Plattformen eingesetzt werden.

In der Stellungnahme vertritt der EDSA die Auffassung, dass bei großen Online-Plattformen die Einwilligung unwirksam sei, wenn der Nutzer lediglich die Wahl zwischen einer kostenpflichtigen und einer kostenlosen Option in Verbindung mit Tracking zu Werbezwecken hat.

Vorab stellt der EDSA klar, dass sich seine Stellungnahme auf die Zulässigkeit von Zustimmungs- oder Bezahlmodellen bei großen Online-Plattformen beschränkt, die anhand ihrer Nutzerzahlen, ihrer Marktposition sowie der verarbeiteten Datenmenge zu definieren sein. Dieses Verständnis dürfte jedenfalls sehr große Online-Plattformen im Sinne des Digital Services Acts (Art. 33 ff.) sowie Gatekeeper im Sinne des Digital Markets Act (Art. 2 Abs. 1) umfassen, während im Übrigen den Plattformbetreibern selbst die Prüfung überlassen bleibt, ob sie vom Anwendungsbereich der Stellungnahme umfasst sind.

In seiner Kernthese führt der EDSA sodann aus, dass es in den meisten Fällen für große Online-Plattformen nicht möglich sein wird, die Anforderungen der DSGVO an eine wirksame Einwilligung zu erfüllen, wenn sie die Nutzer nur vor die Wahl stellen, entweder der Verarbeitung personenbezogener Daten zu Zwecken der verhaltensbezogenen Werbung zuzustimmen oder eine Gebühr zu zahlen, um Zugang zu den angebotenen Diensten zu erhalten.

In diesem Rahmen äußert der EDSA insbesondere Zweifel an der Freiwilligkeit der Einwilligung. Die derzeitige Vorgehensweise großer Online-Plattformen geht für die Nutzer der Dienste mit Nachteilen einher, die die Freiwilligkeit der Einwilligung ausschließt. Zum einen dürfen die erhobenen Gebühren nicht so hoch sein, dass die Betroffenen tatsächlich daran gehindert sind, eine freie Entscheidung zu treffen, zum anderen kann der Ausschluss von bestimmten Diensten etwa soziale oder berufliche Nachteile mit sich bringen. Auch im Hinblick auf die Punkte eines möglichen Machtungleichgewichts zwischen Betroffenen und Verantwortlichen, der Konditionalität, sowie der Granularität sieht der EDSA die Freiwilligkeit der Einwilligung in den meisten Fällen als nicht gegeben an. Im Kontext der Konditionalität ist zu beleuchten, ob eine Einwilligung erforderlich ist, um Zugang zu Waren oder Dienstleistungen zu erhalten, obwohl die Verarbeitung nicht für die Erfüllung des Vertrages erforderlich ist. Die Granularität setzt voraus, dass die betroffene Person frei wählen kann, welchen Zweck der Verarbeitung sie akzeptiert, anstatt mit einer Einwilligungsanfrage konfrontiert zu werden, die mehrere Zwecke bündelt. Das Angebot (nur) einer kostenpflichtigen Alternative zu dem Dienst, der die Verarbeitung zu Zwecken der verhaltensbezogenen Werbung voraussetzt, könne für die Verantwortlichen nicht der Standardweg sein. Vielmehr sollten die Verantwortlichen in Erwägung ziehen eine gleichwertige Alternative anzubieten, bei der keine personenbezogenen Daten zu Zwecken der verhaltensbezogenen Werbung werden und die im Idealfall nicht gebührenpflichtig ist. Dieser Faktor sei besonders wichtig bei der Bewertung einer gültigen Einwilligung nach der DSGVO.

Sollten die Verantwortlichen eine Gebühr erheben, sollten sie in einer Fall-zu-Fall-Prüfung untersuchen, ob, und wenn in welcher Höhe, eine Gebühr angemessen ist. Dabei erinnert der EDSA daran, dass personenbezogene Daten nicht als handelbare Ware betrachtet werden können und, dass die Verantwortlichen berücksichtigen sollten, dass das Grundrecht auf Datenschutz nicht in ein Merkmal umgewandelt werden darf, für dessen Inanspruchnahme die betroffenen Personen bezahlen müssen.

2. Kritik an der Rechtsauffassung des EDSA

Mit dieser Stellungnahme erteilt der EDSA also dem derzeit von großen Online-Plattformen praktizierten Zustimmungs- oder Bezahlmodell eine Absage. Die Stellungnahme des EDSA zeichnet jedoch ein realitätsfernes und paternalistisches Bild. Es wird das Bild eines unmündigen Verbrauchers impliziert, der das Ausmaß seiner Entscheidungen nicht überblicken kann und den es vor sich selbst zu schützen gilt. Der EDSA-Vorsitzenden Anu Talus zufolge „stimmen die meisten Nutzer der Verarbeitung zu, um einen Dienst zu nutzen und sie verstehen nicht die vollen Auswirkungen ihrer Entscheidungen.“ Dieser Ansatz steht im Widerspruch zur Datensouveränität des Einzelnen. Grundsätzlich kann nach der Digitale-Inhalte-Richtlinie und den daraufhin eingeführten §§ 312 Abs. 1a, 327 Abs. 3 BGB jeder frei über seine Daten verfügen und eben auch mit ihnen bezahlen. Indem der EDSA sich gegen das Konzept von Daten als Zahlungsmittel ausspricht, schlägt er eine gegensätzliche Linie zur Datenstrategie der EU und auch der Bundesregierung ein, die die Datennutzung und den Datenschutz in ein harmonisches Gleichgewicht bringen wollen. „Daten gegen Leistung“ ist ein gesetzlich niedergeschriebenes, anerkanntes Prinzip. Zudem scheint der EDSA zu verkennen, dass es auch in der digitalen Welt zur Bereitstellung von Dienstleistungen und Waren einer Gegenleistung bedarf. Eine Zahlungsunwilligkeit oder auch -unfähigkeit führt sowohl in der digitalen als auch in der analogen Welt nicht zur Unzulässigkeit des angewandten Modells.

Auch wenn der EDSA auf den ersten Blick mit seiner Stellungnahme an die oben genannte „Bundeskartellamt“-Entscheidung des EuGH anknüpft, widerspricht er ihm letztlich. Die durch den EuGH akzeptierte kostenpflichtige Alternative scheint ihm nicht auszureichen, um der Freiwilligkeit der Einwilligung zu genügen. Dem geforderten dritten Modell fehlen jedoch die klaren Umrisse. Die aufgeführten Kriterien und Bewertungsmaßstäbe sind offen und allgemein gehalten und schaffen keine Rechtssicherheit.

3. Anwendbarkeit auch auf andere Verantwortliche?

Die EDSA-Stellungnahme richtet sich ausdrücklich nur an große Online-Plattformen. Die Argumente des EDSA gegen ein „pay or consent“-Modell sind jedoch auch auf andere Konstellationen übertragbar. Wenn beispielsweise, wie vom EDSA behauptet, personenbezogene Daten nicht „handelbar“ sind, würde dies einem „pay or consent“-Modell auch dann entgegenstehen, wenn es sich beim Anbieter nicht um eine „große Online-Plattform“ im Sinne des DSA oder DMA handelt.

So verbleibt eine große Unsicherheit auf Seiten der Verantwortlichen. Der EDSA hat es leider versäumt, die Rechtssicherheit zu schaffen. Es bleibt abzuwarten, wie Meta und Co. reagieren. Es bleibt aber auch abzuwarten, wie sich die EDSA-Stellungnahme auf vergleichbare Geschäfts- und Einwilligungsmodelle andere Verantwortlicher auswirkt.