Worum geht's?
Diese Situation kennen Sie bestimmt: Sie rufen ein News Portal oder die Online Zeitung im Webbrowser auf - und plopp. Bevor der Lesestoff sichtbar wird, schiebt sich ein Banner ins Sichtfeld und fragt nach der Zustimmung zum Nutzertracking. Beim Besuch von Seiten mit journalistischen und redaktionellen Inhalten sieht man immer öfter, dass statt der bekannten "Ablehnen"-Schaltfläche ein "Jetzt Pur abonnieren" Button prankt. Wir erklären Ihnen, wieso Pur-Abo-Modelle für Content-getriebene Unternehmen die neue Alternative zum klassischen Cookie Banner sind und unter welchen Voraussetzungen diese datenschutzkonform eingesetzt werden können.
1. Was ist ein Pur-Abo?
Pur-Abos sind im Kern erweiterte Cookie Banner. Bei einem Pur-Abo-Modell können Nutzer eine regelmäßige Abonnementgebühr zahlen, um auf die gewünschten Websites mit Medieninhalten oder Dienstleistungen werbe- und trackingfrei zuzugreifen. Oder sie lesen kostenfrei weiter - dafür allerdings mit Tracking von Nutzerdaten und personalisierter Werbung.
Beispiel: Das Pur Abo von ZEIT ONLINE
2. Wie funktioniert ein Pur-Abo-Modell und für wen ist es interessant?
Es geht bei Pur-Abos nicht darum, den Nutzer für die Inhalte auf der Website zur Kasse zu bitten. Es geht vielmehr darum, den Leser dafür zahlen zu lassen, dass seine personenbezogenen Daten während der Nutzung der Website nicht durch digitale Marketingmaßnahmen zu Geld gemacht werden.
Normalerweise verdienen Medienunternehmen und Content- beziehungsweise redaktionell-getriebene Unternehmen mit Tracking von Nutzerdaten und personalisierter Werbung mittelbar Geld. Zum Beispiel durch Werbeeinnahmen oder gezieltes Marketing auf Bezahlprodukte. Seit Einführung der DSGVO und der Notwendigkeit von Consent Tools auf Webseiten, ist das allerdings nicht mehr ohne Einschränkungen möglich. Denn: Webseitenbesucher auf Medienportalen lehnen regelmäßig Tracking und personalisierte Werbung einfach per Cookie-Banner-Schaltfläche ab.
Dadurch reduziert sich der Mehrwert von Online Content für Unternehmen mit redaktionellen Inhalten. Die Pur Abo Modelle bieten Betreibern solcher Webseiten eine Form der indirekten Finanzierung für Online-Journalismus und Medien.
3. Pur-Abo oder Cookie Banner - wo liegt der Unterschied?
Rechtlich gilt, dass das Tracken und Nachverfolgen von Nutzerdaten zu Werbezwecken nur mit Einwilligung der Betroffenen zulässig ist. Deshalb ist für jeden Websitebetreiber der das Online-Verhalten seiner Besucher tracken und für personalisierte Werbung auswerten möchte, eine vorherige Einwilligung des Nutzers über ein Consent Tool mit Cookie Banner Pflicht. Ein rechtskonformes Cookie Banner muss wiederum (mindestens) zwei Schaltflächen haben, sodass der Webseitenbesucher entweder der Verarbeitung seiner personenbezogenen Daten zustimmen kann oder die Möglichkeit hat abzulehnen.
Mehr zur Cookie-Banner-Thematik lesen Sie in unserem Artikel: So muss ein Cookie Banner aussehen, um nicht abgemahnt zu werden.
Bei den Pur-Abos ist genau das aber nicht der Fall. Denn: Eine "Ablehnen"-Funktion haben die Abo-Banner gerade nicht. Entweder der Leser akzeptiert Tracking und Werbung oder er muss zahlen. Ansonsten kann er die redaktionellen Inhalte, Content und sonstige Medien der Website schlicht nicht konsumieren. Das hat in der Vergangenheit für allerlei Unmut bei Internetnutzern gesorgt - gerade weil an rechtskonforme Cookie Banner innerhalb der EU hohe Anforderungen gestellt werden und eine fehlende freiwillige Einwilligungsmöglichkeit regelmäßig zu Abmahnungen und sogar zu Strafzahlungen für Webseitenbetreiber und Unternehmer führt. Die Frage stand im Raum: Ist es denn noch eine freiwillige Einwilligung, wenn das Ablehnen von Nutzungsanalysen & Werbe Tracking nicht gerade wenig kostet?
Gut zu wissen
Praktisch sind Pur-Abo-Modelle allerdings nur eine spezielle Implementierung von normalen Cookie-Consent-Tools und keine gesonderten Programme.
Webseitenbetreiber können das Pay-or-Accept Modell entweder (selbst) im Code ihres Consent-Tools implementieren (lassen) oder eine vom Consent-Tool Anbieter bestehende Integration verwenden, sofern es eine gibt.
4. Ist das Pur-Abo-Modell datenschutzkonform?
Zu dieser Frage hat sich die Datenschutzkonferenz (DSK) nun geäußert. Am 22. März 2023 haben sich die deutschen unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit der datenschutzrechtlichen Kompatibilität von Pur Abos auf Webseiten in einem Beschluss auseinandergesetzt.
Bezahlpflichtiges trackingfreies Modell grundsätzlich zulässig
Die DSK ist der Ansicht, dass datenschutzrechtlich erstmal nichts dagegen spricht das trackingfreie Erlebnis auf einer Website bezahlpflichtig anzubieten. Es müssen aber bestimmte Voraussetzungen eingehalten werden. Folgende Punkte wurden hervorgehoben:
1. Bezahlabo als gleichwertige Alternative zur Einwilligung ins Tracking
Das heißt zum einen, dass sowohl die kostenfreie Einwilligung, als auch die Bezahlvariante "ein[en] gleichwertige[n] Zugang zu derselben Leistung" möglich machen muss. Bedeutet: Der Bezahlkunde soll nicht weniger oder etwas ganz anderes auf der Website lesen können, als der kostenlose Nutzer, der in das Nutzertracking eingewilligt hat.
Zum anderen sollen die Pur Abo Modelle ein "marktübliches Entgelt" kosten. Was genau marktüblich ist, hält die DSK nicht fest. Nach unserer Recherche liegen die meisten Pur Abo Modelle bei ca. 2 bis 5 Euro monatlich. Ob diese Preisspanne allerdings in einem guten Verhältnis zu der dadurch abonnierten Leistung steht, wird nicht diskutiert.
2. kein weiteres Tracking des Nutzers bei Pur-Abos Ohne Einwilligung
Abonniert der Nutzer ein trackingfreies Abo, dürfen die Abo-Anbieter die Daten des Nutzers nur zu Speicher- und Auslesevorgängen verwenden, die für die jeweilige Website für die "Dienstbereitstellung" unbedingt erforderlich sind (Art. 25 TDDDG (ehemals TTDSG)). Sprich, wenn Sie ein kostenpflichtiges trackingfreies Pur-Abo anbieten, muss auch drin sein, was draufsteht: Sie dürfen dann die personenbezogenen Daten ihrer Abonnenten nicht ohne Weiteres zur Nachverfolgung ihres Verhaltens, zur Profilbildung oder Werbe Tracking nutzen.
Gibt es eine Konstellation, bei der Webseitenbetreiber von Medienplattformen und ähnlichem trotzdem das Nutzerverhalten Ihrer Pur-Abonnenten rechtskonform tracken können?
Aus dem Beschluss der DSK ergibt sich: Der Webseitenbetreiber darf auch im Rahmen eines Pur Abonnements grundsätzlich weiterhin das Nutzerverhalten tracken, wenn er vorher eine freiwillige Einwilligung des Abo-Kunden eingeholt hat (oder eine Ausnahme nach Art. 6 Absatz I Ziffer b-f oder Art. 9 DSGVO vorliegt.)
Ob diese Vorgehensweise aus Sicht der Abonnenten verständlich wäre, ist eine andere Frage. Datenschutzkonform wäre es allerdings schon.
3. Granulare Einwilligung in Verarbeitungszwecke für Nicht-Abonnenten
Damit die Einwilligung in das Nutzertracking vom Nicht-Abonnenten wiederum wirksam ist, müssen laut DSK auch hier bestimmte Voraussetzungen vorliegen. Im Beschluss heißt es:
"Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen an die Freiwilligkeit dahingehend erfüllt werden, dass Einwilligungen granular erteilt werden können. Dies bedeutet unter anderem, dass Nutzende die Möglichkeit haben müssen, die einzelnen Zwecke, zu denen eine Einwilligung eingeholt werden soll, selbst und aktiv auswählen zu können (Opt-in)."
Wie soll das in der Praxis aussehen? Das spezifiziert die DSK nicht. Gemeint ist wahrscheinlich die Unterscheidung in essenzielle, nicht essenzielle und Marketing Cookies für den Nicht-Abonnenten. So, dass dieser wiederum auswählen kann, in welche Verarbeitungszwecke er einwilligt und in welche nicht. Würde man dies jedoch konsequent durchziehen durchkreuzt diese Vorgabe den Nutzen des Pur Abo Modells für den Anbieter. Nämlich dann, wenn der Leser doch wieder über Einstellungen die einzelnen Tracking und Werbezwecke ablehnen kann und so kostenfrei ebenso ein tracking- und werbefreies Leseerlebnis einstellen könnte. Der Sinn eines Pur-Abo-Modells liefe ins Leere.
Nach unserer Recherche werden die Vorgaben von Medienwebsites, die Pur-Abo-Modelle nutzen, bislang nicht immer umgesetzt. Die praktische Ausgestaltung der von der DSK geforderten "Granulierung" sieht man beispielsweise bei der Nachrichten-Website heise: Dort gibt es zwar die Möglichkeit für den Websitebesucher einzelne Datenverarbeitungen abzulehnen. Der Nicht-Abonnent muss aber stets in personalisierte Werbung und die damit zusammenhängende Profilbildung einwilligen, um die Inhalte des Mediendienstes konsumieren zu können. Andernfalls ist der Content schlicht nicht lesbar.
Beispiel: Das Pur-Abo von heise online
Verbindliche rechtliche Vorgaben oder ähnliches gibt es für die konkrete Ausgestaltung eines Pur-Abo-Modells mit "Granulierung" momentan noch nicht. Das heißt: wie der von der DSK geforderte Opt-In in Verarbeitungszwecke für Nicht-Abonnenten des Pur Abos rechtlich aussehen und umgesetzt werden muss, ist nicht allgemeingültig geregelt. Wollen Sie selber ein Pur Abo Modell für die eigene Website einsetzen, sollten Sie zumindest eine derartige Unterscheidung in Ihrem Pur-Abo Cookie Banner implementieren.
Bericht der DSK
Den gesamten Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22. März 2023 finden Sie unter datenschutzkonferenz-online.de.
Wichtig zu verstehen: Die DSK ist kein gesetzgebendes Organ. Bei den Stellungnahmen der DSK handelt es sich um "abgestimmte datenschutzrechtliche Empfehlungen und Stellungnahmen", diese sind allerdings nicht rechtlich bindend. Ein datenschutzrechtlicher Richtwert für die Praxis sind sie aber auf jeden Fall.
Führen Sie ein Content-basiertes Unternehmen und wollen ein Pur-Abo-Modell auf Ihrer Webseite implementieren - oder haben dies bereits getan -, sollten Sie deshalb die Voraussetzungen der DSK für Ihr erweitertes Cookie Banner umsetzen.
Mehr Infos zur DSK und Ihren Aufgaben lesen Sie auf folgenden Webseiten:
5. Kritik an Pur-Abo-Modellen
Kritik an dem Konzept von Pur-Abo Modellen ist ebenso präsent. Nicht nur die österreichische Datenschutzbehörde, sondern auch Datenschützer sehen Pur-Abo-Modelle im Hinblick auf Einnahmen durch die kostenfreie Variante und Kosten der Bezahlvariante als problematisch an. Eine Verwarnung der Niedersächsischen Datenschutzbeauftragten stellt im Zusammenhang mit Pur-Abo-Modellen eine Unzulässigkeit von pauschalen, also nicht spezifisch erteilten Einwilligungen in die Datenverarbeitung fest.
Österreichische Datenschutzbehörde (DSB)
Die DSB hat, genauso wie die DSK, die Zulässigkeit von Pur-Abo Modellen grundsätzlich bejaht. Allerdings verlangt sie darüber hinaus, dass die Webseitenbesucher jeder Datenverarbeitung einzeln zustimmen oder entsprechend ablehnen können. Der Grund: Die DSGVO schreibt eine spezifische Einwilligung vor. Eine pauschale Einwilligung sollte ein Pur-Abo Banner laut DSB daher nicht enthalten.
NOYB
Datenschützer der von Max Schrems gegründeten Organisation NOYB haben Beschwerden gegen die Pur-Abo-Modelle eingereicht. In den Beschwerden nehmen sie Bezug auf den Beschluss der DSK und sehen die in den Stellungnahmen der DSK angeführten Richtlinien zur Implementierung von Pur-Abo-Modellen auf Websites als nicht erfüllt an. Zwar sind die Stellungnahmen, wie bereits erläutert, nicht rechtlich bindend, können allerdings als richtungsweisend betrachtet werden. So sollen die Leistungen der Pur-Abo-Modelle eine gleichwertige Alternative zu der kostenfreien Variante bieten. Die Datenschützer bemängeln die Verhältnismäßigkeit, wenn die Einnahmen bei der Datenweitergabe im Centbereich liegen und für die Bezahlvariante monatliche Kosten von mehreren Euro anfallen. Zudem kritisieren Sie, dass nicht, wie in der DSGVO gefordert, spezifische Einwilligungen in die Datenverarbeitungen eingeholt werden.
Fazit
Um nicht selbst mit Ihrem Unternehmen in der Kritik zu stehen, sollten Sie bei Nutzung von Pur-Abo-Modellen auf Ihrer Unternehmensseite unbedingt die Vorgaben der DSK berücksichtigen. Ermöglichen Sie den Nutzern eine granulare Einwilligung in die Datenverarbeitung beim kostenfreien Modell. Die Pur-Abo-Variante sollte eine verhältnismäßige Alternative darstellen und dem Nutzer im Hinblick auf Kosten und Verfügbarkeit von Artikeln ein gleichwertiges Angebot bereitstellen.
- Zurück zur Übersicht: "Datenschutz"
- Was müssen Unternehmen nach der DSGVO intern regeln?
- Google Analytics
- Google Consent Mode
- Datenschutz bei Zoom
- Datenschutz bei Videokonferenzen
- Datenschutz von Mitarbeiterdaten
- Formulare
- Datenschutz & Datenschutzerklärung für Handwerker
- Datenschutz für Immobilienmakler