Leitfaden: Pur-Abo-Modelle und Cookie-Paywalls auf Websites datenschutzkonform einrichten

Viele Websites, insbesondere solche mit journalistischen und redaktionellen Inhalten, stellen den Nutzer heutzutage vor die Wahl, die Seiteninhalte entweder kostenlos aufzurufen und im Gegenzug ein weitgehendes Tracking des Surfverhaltens zuzulassen oder aber gegen Zahlung eines Entgelts von der Webanalyse befreit zu sein. Das Optionsangebot einer zwingenden Tracking-Einwilligung einerseits und eines kostenpflichtigen trackingfreien Seitenbesuchs andererseits wird als „Pur-Abo-Modell“ oder auch „Cookie-Paywall“ bezeichnet und war datenschutzrechtlich lange Zeit umstritten. Wie es nach der DSGVO zu bewerten ist und welche Voraussetzungen für eine datenschutzkonforme Umsetzung beachtet werden müssen, zeigt der folgende Beitrag.

I. Pur-Abo-Modelle: Entgelt für die informationelle Selbstbestimmung

Pur-Abo-Modelle, auch "Cookie-Paywalls" genannt, sind insbesondere auf Internetaufritten von Nachrichtenagenturen und Websites mit journalistischen Inhalten ein beliebtes Instrument, um unter dem Gesichtspunkt der Privatsphäre zusätzliche Einnahmen zu generieren und die journalistische Arbeit der publizierenden Autoren zu entlohnen. Sie breiten sich aber auch auf Blogs und Seiten, die primär der Wissensvermittlung dienen, zunehmend aus.

Pur-Abo-Modelle stellen den Nutzer vor die Wahl zwischen einer kostenlosen Seitennutzung mit umfangreicher Webanalyse und einem bezahlten Browsen ohne Analyse des Nutzungsverhaltens.

Hierfür wird dem Seitenaufruf regelmäßig ein Banner vorgeschaltet, welcher dem Nutzer eine datenschutzrechtliche Entscheidung abverlangt: entweder kostenlose Seitennutzung bei gleichzeitiger zwingender Einwilligung in Tracking-Maßnahmen oder aber entgeltpflichtiges Abonnement für trackingloses Surfen und mehr Privatsphäre:

(Quelle: Zeit.de)

Der Name „Pur-Abo-Modell“ rührt von der zweiten, also der entgeltpflichtigen Alternative unter Tracking-Verzicht her und adressiert den Umstand, dass der Nutzer die Website alternativ mit weitgehender Webanalyse oder aber trackingfrei, also „pur“, im bezahlten Abonnement soll nutzen können.

II. Datenschutzkonformität von Pur-Abo-Modellen

In der Vergangenheit wurden Pur-Abo-Modelle auf Websites ob ihrer datenschutzrechtlichen Zulässigkeit kontrovers diskutiert, weil insbesondere die Freiwilligkeit der für die kostenlose Seitennutzung notwendigen Tracking-Einwilligung in Frage stand.

Angeführt wurde so von einzelnen Datenschutzbehörden die Argumentation, dass das angestrebte Website-Tracking durch Auslesen und Speichern von Informationen (etwa Cookies) auf Nutzerendgeräten im „entgeltfreien Modus“ nur bei ausdrücklicher Einwilligung (gemäß § 25 TTDSG) zulässig sei. Maßgebliche Wirksamkeitsvoraussetzung einer solchen Tracking-Einwilligung sei aber deren Freiwilligkeit und mithin die Möglichkeit des Nutzers, diese nach Belieben zu erteilen oder zu verweigern, Art. 4 Nr. 11 i.V.m. Erwägungsgründen 32, 43 DSGVO.

Werde nun aber der Nutzer eines Internetangebots für die kostenlose Seitennutzung zur Einwilligung gezwungen und stehe ihm als Alternative nur die Zahlung eines Entgeltes zur Verfügung, sei diese Freiwilligkeit gerade nicht hinreichend gegeben. Vielmehr werde die Wahrnehmung des Rechts auf informationelle Selbstbestimmung von subjektiver Zahlungsbereitschaft und objektiver Zahlungsfähigkeit abhängig gemacht.

Am 22.03.2023 positionierte sich nun allerdings die Datenschutzkonferenz der Datenschutzbehörden des Bundes und der Länder (DSK) und erklärte Pur-Abo-Modelle unter Einhaltung bestimmter datenschutzrechtlicher Voraussetzungen für datenschutzrechtlich zulässig.

Diese Voraussetzungen, die für den datenschutzkonformen Betrieb eines Pur-Abo-Modells zu erfüllen sind, werden im Folgenden dargestellt.

III. Voraussetzungen für datenschutzkonforme Pur-Abo-Modelle

Nach Ansicht der DSK sind Pur-Abo-Modelle oder als Synonym verwendete Cookie-Paywalls grundsätzlich datenschutzrechtlich zulässig verwendbar.

Seitenanbieter können also die Nachverfolgung des Nutzerverhaltens grundsätzlich auf eine bei Seitenaufruf zwingend zu erteilende Einwilligung stützen, wenn sie alternativ ein entgeltpflichtiges trackingfreies Modell anbieten.

Gewährleistet werden muss aber, dass hierbei die nachstehenden Voraussetzungen eingehalten werden:

1.) Gleichwertigkeit

Die Leistung, die Nutzer im Pur-Modell, also bei Zahlung des Entgelts unter Abwendung des Tracking, erhalten, muss eine gleichwertige Alternative zur kostenfreien Leistung mit zwingender Tracking-Einwilligung sein.

Maßgeblich ist insofern, dass bei kostenpflichtiger Nutzung mindestens die gleichen Inhalte abgerufen werden können wie bei kostenfreier Nutzung mit Trackingerlaubnis.

Unzulässig wird ein Pur-Abo-Modell also dann, wenn das Seitenangebot im kostenpflichtigen trackingfreien Modell inhaltlich hinter dem zurückbleibt, was im Modell mit zwingender Tracking-Einwilligung geboten wird.

2.) Informiertheit der Tracking-Einwilligung

Um wirksam eingeholt werden zu können und mithin als Rechtfertigung für das Tracking im kostenlosen Seitenmodell dienen zu können, muss die Einwilligung transparent sowie verständlich sein und über alle Datenverarbeitungen aufklären, die mit der Einwilligung gerechtfertigt sein sollen.

Verweise auf die Datenschutzerklärung, in denen sodann die einzelnen Tracking-Maßnahmen ob ihres Umfangs, ihrer Zwecke und den an der Verarbeitung Beteiligten näher erläutert werden, genügen.

3.) Granularität der Einwilligung/Verbot von Generaleinwilligungen

Als wohl wichtigste Zulässigkeitsvoraussetzungen, die gleichzeitig eine maßgebliche Einschränkung ob der Reichweite der zwingenden Tracking-Einwilligung im kostenfreien Modell etabliert, ist die von der DSK geforderte „Granularität“ der Einwilligung.

Danach ist es bei Pur-Abo-Angeboten unzulässig, die verpflichtende Einwilligung als Generaleinwilligung für sämtliche Verarbeitungszwecke auszugestalten.

Vielmehr muss, sofern mehrere, wesentlich voneinander abweichende Verarbeitungszwecke zusammen kommen, dem Nutzer die Möglichkeit gegeben werden, per Opt-In aktiv und freiwillig auszuwählen, für welche Zwecke er seine Einwilligung erteilt willen.

Verpflichtend darf die Einwilligung nur bezüglich eines Verarbeitungszwecks ausgestaltet sein.

Unzulässig wäre es damit, als verpflichtende Voraussetzung für die kostenfreie Seitennutzung eine pauschale Einwilligung für die cookiebasierte Analyse des Nutzungsverhaltens einerseits und den Versand von Newslettern andererseits zu fordern.

Ebenfalls darf eine Einwilligung in cookie-basiertes Tracking nicht mit der Zustimmung zu Push-Benachrichtigungen kombiniert werden.

Inwieweit die Granularität auch für die Webanalyse, also das Besuchertracking an sich, gewährleistet sein muss, hat die DSK nicht hinreichend entschieden.

Es ist also fraglich, ob der Bereich „Tracking des Surfverhaltens“ insgesamt mit einer Pflichteinwilligung abgedeckt werden darf, oder ob diesbezüglich ebenfalls zwischen verschiedenen Verarbeitungszwecken aufgegliedert werden muss, von denen nur einer zwingend vorgegeben werden darf und die anderen freiwillig müssen ausgewählt werden können.

Denkbar und naheliegend ist immerhin, dass

• die cookiebasierte Messung des Erfolgs von Werbeanzeigen zu Statistikzwecken,
• das Conversion-Tracking zur Nachverfolgung von Nutzungshandlungen nach Klick auf eine Werbeanzeige und
• das Erstellen pseudonymisierter Nutzungsprofile über Interessen, Aktivitäten, Standort und demografische Merkmale zur besseren statistischen Erfolgsmessung

dem Sinne nach dem gleichen Verarbeitungszweck dienen.

Dahingegen dürfte es einen anderen, nicht in die Generaleinwilligung einzubeziehenden und separat per freiwilligem Opt-In zu regelnden Verarbeitungszweck darstellen, pseudonymisierte Nutzungsprofile zum Ausspielen interessenbasierter Werbeanzeigen auf der eigenen oder auf Drittseiten auszuspielen (sog. „Remarketing/Retargeting). Hier liegt der Zweck nämlich in der Datenverarbeitung zur Monetasierung von Absatzförderungsinteressen dritter Werbender und nicht in der Verarbeitung zur Optimierung der (Eigen)werbung

4.) Nur erforderliche Speicher- und Auslesungsvorgänge im Pur-Modus

Damit ein Pur-Abo-Modell datenschutzkonform betrieben werden kann, ist schließlich zwingend zu gewährleisten, dass im kostenpflichtigen Modell ohne Erteilung einer Tracking-Einwilligung ein Auslesen und Speichern von Informationen auf dem verwendeten Endgerät nur erfolgt, wenn dies für den Betrieb der Website und die Bereitstellung der wesentlichen Seitenfunktionen zwingend erforderlich ist.

Es dürfen also ohne (dann zwingend freiwillige) Einwilligungen keine (versteckten) Tracking-Maßnahmen stattfinden, da andererseits das Alternativverhältnis zwischen kostenlosem Angebot mit Tracking und kostenpflichtigem Angebot mit Tracking-Schutz faktisch entwertet würde.

IV. Fazit

Pur-Abo-Modelle oder Cookie-Paywalls sind Gestaltungen auf Websites, bei denen der Nutzer zwischen einem kostenlosen und einem entgeltpflichtigen Nutzungsmodell wählen kann. An die kostenlose Nutzung ist eine zwingende Tracking-Einwilligung gekoppelt, während die kostenpflichtige Variante auf Speicher- und Auslesevorgänge zu Analysezwecken verzichtet.

Früher datenschutzrechtlich umstritten, hat die DSK nun Voraussetzungen veröffentlicht, unter deren Einhaltung Pur-Abo-Modelle datenschutzkonform betrieben werden können.

Besonders hervorzuheben ist hier die notwendige Granularität von Einwilligungen. Im kostenfreien Modell darf keine Generaleinwilligung für sämtliche werbebezogenen Verarbeitungszwecke eingeholt werden, sondern nur ein Zweck als zwingend einwilligungspflichtig definiert sein. Verarbeitungen zu anderen Zwecken (neben Tracking zur Webanalyse etwa der Newsletter-Versand, Push-Benachrichtigungen oder Retargeting) müssen weiterhin freiwillig sein.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.