18.09.2023
Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS
Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Inhalt
- Warum sind Cookie-Walls problematisch?
- Alternative zu klassischen Cookie-Walls: PUR-Modelle
- Stets notwendig: transparente und verständliche Informationen
- Bezahlvariante als gleichwertige Alternative zur Einwilligung
- Ohne zusätzliche Einwilligung: nur unbedingt erforderliche Dienste möglich
- Keine pauschale Gesamteinwilligung
- PUR-Modelle – lohnt sich die Umsetzung?
- Wir unterstützen Sie bei der Erfüllung von datenschutzrechtlichen Anforderungen

Dr. Philipp Siedenburg
Director Datenschutz
Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Die Zulässigkeit der dafür eingesetzten Cookie-Walls ist seit langem rechtlich umstritten. Da der Zugriff auf die Inhalte von der Zustimmung der Nutzer:innen zum Werbetracking abhängt, wird die datenschutzrechtliche Freiwilligkeit der Einwilligung in Zweifel gezogen. Um personalisierte Werbung dennoch rechtssicher umzusetzen, haben sich in jüngster Zeit Alternativen zu klassischen Cookie-Walls etabliert. Mittels sogenannter PUR-Modelle wird den Nutzerinnen und Nutzern eine Wahlmöglichkeit zwischen der Einwilligung in das Werbetracking und einem kostenpflichtigen Abonnement angeboten. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
Warum sind Cookie-Walls problematisch?
Cookie-Walls blockieren den Zugriff auf ein bestimmtes Telemedienangebot. Erst nach Zustimmung der Nutzer:innen in das Werbetracking wird diese Zugriffssperre aufgehoben. Technisch basiert das Tracking in der Regel auf Informationen, die auf dem Endgerät gespeichert und abgerufen werden – in der Regel Cookies, Elemente im Web Storage, JavaScript und Tracking-Pixel. Für ein solches Vorgehen ist nach § 25 Abs. 1 TTDSG grundsätzlich eine Einwilligung erforderlich, deren Wirksamkeit an den Vorgaben der DSGVO zu messen ist. Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung u. a. „freiwillig“ und damit ohne Zwang erfolgen.
Im Falle einer Cookie-Wall befinden sich die Nutzer:innen jedoch in einer „take it or leave“-Situation und müssen entweder einwilligen oder können eben nicht auf die gewünschten Inhalte zugreifen. Aus der Alternativlosigkeit der Einwilligung für den Zugang zum Dienst wird häufig eine Zwangslage und damit die fehlende Freiwilligkeit der erteilten Einwilligungen abgeleitet. Diese restriktive Auffassung wird insbesondere von den Datenschutzbehörden vertreten. Ob tatsächlich eine Zwangslage vorliegt und ob diese nicht ggf. in der konkreten Situation gerechtfertigt ist, muss jedoch im Einzelfall geprüft werden. Die Zulässigkeit einer Cookie-Wall kann daher zwar nicht von vornherein verneint werden, ihre Anwendung ist in der Praxis jedoch mit erheblicher Rechtsunsicherheit verbunden.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Alternative zu klassischen Cookie-Walls: PUR-Modelle
Um den strengen Maßstäben der Datenschutzbehörden gerecht zu werden, setzen die meisten Telemedienanbieter bei der Finanzierung ihrer Inhalte mittlerweile auf sogenannte PUR-Modelle. Diese ermöglichen es den Nutzer:innen, zwischen einem Zugang mit Einwilligung zum Werbetracking und einer Bezahlalternative zu wählen. Die Nutzer:innen werden dadurch vor die Wahl gestellt, entweder das Tracking zuzulassen oder gegen Zahlung eines bestimmten Entgelts Zugriff auf das gewünschte Telemedienangebot zu erhalten. Da kein grundsätzlicher Anspruch auf kostenlosen Zugang zu Inhalten besteht, wird damit eine rechtssichere Möglichkeit der Finanzierung durch personalisierte Werbung geschaffen.
PUR-Modelle sind zudem grundsätzlich von so genannten „Plus-Abonnements“ zu unterscheiden. Bei diesen erhalten Nutzer:innen im Rahmen eines Abonnements neben dem „allgemein zugänglichen“ Angebot Zugriff auf gesonderte kostenpflichtige Inhalte. PUR-Modelle dienen zunächst als Zugangsbarriere zum allgemein zugänglichen Telemedienangebot. Möchten Nutzer:innen auf die kostenpflichtigen Inhalte eines Anbieters zugreifen, muss in der Regel ein separates Plus-Abonnement abgeschlossen werden. Auch wenn PUR-Modelle aus datenschutzrechtlicher Sicht grundsätzlich nicht zu beanstanden sind, sind bei ihrer Umsetzung verschiedene Aspekte zu beachten.
Stets notwendig: transparente und verständliche Informationen
Für PUR-Modelle gelten selbstverständlich zunächst die Grundregeln für die Gestaltung von Cookie-Bannern. Dazu gehört vor allem eine transparente und verständliche Information, insbesondere über Zweck und Umfang des Werbetrackings.
Transparenz und Freiwilligkeit sind insbesondere dann problematisch, wenn sogenanntes „Nudging“ stattfindet. Dabei werden Nutzer:innen unterschwellig – beispielsweise durch farbliche Gestaltung oder Größenunterschiede der Buttons – zur Erteilung einer Einwilligung geleitet. Beide Alternativen müssen jedoch erkennbar und jedenfalls nach Auffassung der Aufsichtsbehörden gleichwertig nebeneinander stehen.
Auch missverständliche oder mehrdeutige Überschriften sollten aus Transparenzgründen vermieden werden. Hierunter fallen alle Überschriften, die geeignet sind, über die Durchführung, den Umfang oder den Zweck des Werbetrackings irrezuführen. Beispielsweise ist die Überschrift „Weiter wie gewohnt – mit Werbung“ geeignet, das Werbetracking als „Normalzustand“ darzustellen und die kostenpflichtige Alternative als unnötiges und teures Zusatzabonnement erscheinen zu lassen.
Darüber hinaus haben die Datenschutzbehörden eine Reihe von besonderen Kriterien aufgestellt, die Telemedienanbieter speziell bei PUR-Modellen beachten müssen.
Bezahlvariante als gleichwertige Alternative zur Einwilligung
Die Leistung, die die Nutzer:innen durch die Zahlung des Entgelts erhalten, muss eine gleichwertige Alternative zu der durch die Einwilligung erzielbaren Leistung darstellen. Dies setzt zunächst voraus, dass der Anbieter von Telemedien für die Bezahlvariante ein marktübliches Entgelt verlangt. Es dürfen also keine überhöhten oder gar utopischen Preise verlangt werden. Dies stünde nicht mehr in einem angemessenen Verhältnis zu den Einnahmen, die durch personalisierte Werbung erzielt werden sollen.
Darüber hinaus verlangen die Datenschutzbehörden, dass das Angebot der Bezahlvariante „zumindest im Wesentlichen die gleiche Leistung“ umfasst. Diese eher vage Formulierung lässt den Anbietern einen gewissen Spielraum. Fraglich ist jedoch, ob Bezahlmodelle, die z.B. zusätzlich den Zugriff auf kostenpflichtige Artikel ermöglichen (z.B. als kombiniertes Plus- und PUR-Abonnement), noch als gleichwertig anzusehen sind. Gleiches gilt für Varianten, über die Nutzer:innen Zugang zu mehreren unterschiedlichen Telemedienangeboten erhalten. Wenn diese sich – um das „Mehr“ an Zugängen zu kompensieren – am eher oberen Ende der Preisskala bewegen, kann dies aus Sicht der Nutzer:innen eine ungleiche Alternative darstellen.
Ohne zusätzliche Einwilligung: nur unbedingt erforderliche Dienste möglich
Entscheiden sich Nutzer:innen für die Wahrnehmung der Bezahlalternative, dürfen Telemedienanbieter nach § 25 Abs. 2 Nr. 2 TTDSG nur solche Speicher- und Auslesevorgänge auf dem Endgerät vornehmen, die für den Telemediendienst unbedingt erforderlich sind. Werden darüber hinaus – auch als nachgelagerte Verarbeitung – personenbezogene Daten verarbeitet, bedarf dies zusätzlich einer Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO.
Keine pauschale Gesamteinwilligung
Aus Sicht der Datenschutzbehörden ist es weiterhin erforderlich, dass Nutzer:innen die Zwecke, zu denen die Einwilligung eingeholt wird, selbstständig auswählen können. Bei mehreren Verarbeitungszwecken, die sich wesentlich voneinander unterscheiden, müssten die Nutzer:innen die Möglichkeit haben, einzelne Zwecke abzuwählen. Eine pauschale Gesamteinwilligung für alle Zwecke könne hingegen nicht wirksam erteilt werden. Eine Bündelung sei aber möglich, wenn die Zwecke in einem sehr engen Zusammenhang stünden.
Vor dem einheitlichen Hintergrund der Werbefinanzierung sei es daher notwendig, die Verweigerung einzelner dafür notwendiger Zwecke – wie etwa die Erstellung von Nutzungsprofilen zur Ausspielung personalisierter Werbung – nicht zur Disposition der Nutzer:innen zu stellen. Soweit die Zwecke jedoch davon abweichen, muss eine gesonderte Einwilligung des Betroffenen – etwa auf der zweiten Stufe für die Einbindung von Social Media – ermöglicht werden.
PUR-Modelle – lohnt sich die Umsetzung?
Der Nachteil eines PUR-Modells liegt in der Einrichtung und Verwaltung des Bezahlmodells. Die Anforderungen an deren datenschutzkonforme Ausgestaltung stellen jedoch einen überschaubaren Annex zu den grundsätzlichen Anforderungen an Cookie-Banner und Cookie-Walls dar. Auch wenn Cookie-Walls nicht per se unzulässig sind, birgt ihr Einsatz doch ein hohes datenschutzrechtliches Risiko. PUR-Modelle werden dagegen von den Datenschutzbehörden grundsätzlich anerkannt. Telemedienanbieter sollten daher PUR-Modelle als datenschutzkonforme Möglichkeit zur Finanzierung ihrer Dienste auf jeden Fall im Auge behalten.
Wir unterstützen Sie bei der Erfüllung von datenschutzrechtlichen Anforderungen
Der Umgang mit Cookies und Nutzertracking ist für den Datenschutz entscheidend. Unsere Datenschutzberatung steht Ihnen zur Seite, um die Komplexität der DSGVO im Zusammenhang mit Cookie-Bannern, Cookie-Walls und dem Tracking von Nutzerinnen und Nutzern zu entwirren. Dabei unterstützen wir Sie nicht nur bei der Gestaltung eines DSGVO-konformen Cookie-Banners, sondern beraten Sie auch zu innovativen Lösungen wie PUR-Modellen. Unsere Datenschutzexpertinnen und -experten unterstützen Sie dabei, Wege zu finden, die User Experience auf Ihrer Website zu optimieren und dabei die Anforderungen der DSGVO nicht aus den Augen zu verlieren.
Weitere Neuigkeiten
03.02.2025
Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
Die Bestellung eines Datenschutzbeauftragten ist für ein Großteil der Unternehmen Pflicht. Doch was macht ein DSB überhaupt und was sollte er können. Und wann ist es sinnvoll, einen externen DSB zu bestellen und wann reicht vielleicht eine interne Lösung? Wir haben alle Informationen zum externen Datenschutzbeauftragten zusammengestellt, um Ihnen die Entscheidung zu erleichtern.
Weiterlesen … Externer Datenschutzbeauftragter (DSB): Pflicht, Aufgaben und Kosten
23.01.2025
Cyber Resilience Act: Frist, Anwendung & Maßnahmen
Der Cyber Resilience Act bringt weitreichende Veränderungen in der EU mit sich und betrifft insbesondere Unternehmen aus dem Maschinen- und Anlagenbau. Produkte mit kommunikationsfähigen digitalen Elementen müssen ab 2027 strenge Sicherheitsstandards erfüllen, um die CE-Kennzeichnung zu erhalten. Das Gesetz verlangt Maßnahmen zur Minimierung von Cybersicherheitsrisiken während des gesamten Produktlebenszyklus - vom Design bis zur regelmäßigen Bereitstellung von Updates nach Inverkehrbringen. Damit Ihrem Unternehmen die Umsetzung gelingt, gibt dieser Beitrag einen Überblick über alle wesentlichen Neuerungen.
Weiterlesen … Cyber Resilience Act: Frist, Anwendung & Maßnahmen
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download