18.09.2023

Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.

Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Director Datenschutz

Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Die Zulässigkeit der dafür eingesetzten Cookie-Walls ist seit langem rechtlich umstritten. Da der Zugriff auf die Inhalte von der Zustimmung der Nutzer:innen zum Werbetracking abhängt, wird die datenschutzrechtliche Freiwilligkeit der Einwilligung in Zweifel gezogen. Um personalisierte Werbung dennoch rechtssicher umzusetzen, haben sich in jüngster Zeit Alternativen zu klassischen Cookie-Walls etabliert. Mittels sogenannter PUR-Modelle wird den Nutzerinnen und Nutzern eine Wahlmöglichkeit zwischen der Einwilligung in das Werbetracking und einem kostenpflichtigen Abonnement angeboten. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.

Warum sind Cookie-Walls problematisch?

Cookie-Walls blockieren den Zugriff auf ein bestimmtes Telemedienangebot. Erst nach Zustimmung der Nutzer:innen in das Werbetracking wird diese Zugriffssperre aufgehoben. Technisch basiert das Tracking in der Regel auf Informationen, die auf dem Endgerät gespeichert und abgerufen werden – in der Regel Cookies, Elemente im Web Storage, JavaScript und Tracking-Pixel. Für ein solches Vorgehen ist nach § 25 Abs. 1 TTDSG grundsätzlich eine Einwilligung erforderlich, deren Wirksamkeit an den Vorgaben der DSGVO zu messen ist. Nach Art. 4 Nr. 11 DSGVO muss die Einwilligung u. a. „freiwillig“ und damit ohne Zwang erfolgen.

Im Falle einer Cookie-Wall befinden sich die Nutzer:innen jedoch in einer „take it or leave“-Situation und müssen entweder einwilligen oder können eben nicht auf die gewünschten Inhalte zugreifen. Aus der Alternativlosigkeit der Einwilligung für den Zugang zum Dienst wird häufig eine Zwangslage und damit die fehlende Freiwilligkeit der erteilten Einwilligungen abgeleitet. Diese restriktive Auffassung wird insbesondere von den Datenschutzbehörden vertreten. Ob tatsächlich eine Zwangslage vorliegt und ob diese nicht ggf. in der konkreten Situation gerechtfertigt ist, muss jedoch im Einzelfall geprüft werden. Die Zulässigkeit einer Cookie-Wall kann daher zwar nicht von vornherein verneint werden, ihre Anwendung ist in der Praxis jedoch mit erheblicher Rechtsunsicherheit verbunden.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Alternative zu klassischen Cookie-Walls: PUR-Modelle

Um den strengen Maßstäben der Datenschutzbehörden gerecht zu werden, setzen die meisten Telemedienanbieter bei der Finanzierung ihrer Inhalte mittlerweile auf sogenannte PUR-Modelle. Diese ermöglichen es den Nutzer:innen, zwischen einem Zugang mit Einwilligung zum Werbetracking und einer Bezahlalternative zu wählen. Die Nutzer:innen werden dadurch vor die Wahl gestellt, entweder das Tracking zuzulassen oder gegen Zahlung eines bestimmten Entgelts Zugriff auf das gewünschte Telemedienangebot zu erhalten. Da kein grundsätzlicher Anspruch auf kostenlosen Zugang zu Inhalten besteht, wird damit eine rechtssichere Möglichkeit der Finanzierung durch personalisierte Werbung geschaffen.

PUR-Modelle sind zudem grundsätzlich von so genannten „Plus-Abonnements“ zu unterscheiden. Bei diesen erhalten Nutzer:innen im Rahmen eines Abonnements neben dem „allgemein zugänglichen“ Angebot Zugriff auf gesonderte kostenpflichtige Inhalte. PUR-Modelle dienen zunächst als Zugangsbarriere zum allgemein zugänglichen Telemedienangebot. Möchten Nutzer:innen auf die kostenpflichtigen Inhalte eines Anbieters zugreifen, muss in der Regel ein separates Plus-Abonnement abgeschlossen werden. Auch wenn PUR-Modelle aus datenschutzrechtlicher Sicht grundsätzlich nicht zu beanstanden sind, sind bei ihrer Umsetzung verschiedene Aspekte zu beachten.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 5 und 5?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Stets notwendig: transparente und verständliche Informationen

Für PUR-Modelle gelten selbstverständlich zunächst die Grundregeln für die Gestaltung von Cookie-Bannern. Dazu gehört vor allem eine transparente und verständliche Information, insbesondere über Zweck und Umfang des Werbetrackings.

Transparenz und Freiwilligkeit sind insbesondere dann problematisch, wenn sogenanntes „Nudging“ stattfindet. Dabei werden Nutzer:innen unterschwellig – beispielsweise durch farbliche Gestaltung oder Größenunterschiede der Buttons – zur Erteilung einer Einwilligung geleitet. Beide Alternativen müssen jedoch erkennbar und jedenfalls nach Auffassung der Aufsichtsbehörden gleichwertig nebeneinander stehen.

Auch missverständliche oder mehrdeutige Überschriften sollten aus Transparenzgründen vermieden werden. Hierunter fallen alle Überschriften, die geeignet sind, über die Durchführung, den Umfang oder den Zweck des Werbetrackings irrezuführen. Beispielsweise ist die Überschrift „Weiter wie gewohnt – mit Werbung“ geeignet, das Werbetracking als „Normalzustand“ darzustellen und die kostenpflichtige Alternative als unnötiges und teures Zusatzabonnement erscheinen zu lassen.

Darüber hinaus haben die Datenschutzbehörden eine Reihe von besonderen Kriterien aufgestellt, die Telemedienanbieter speziell bei PUR-Modellen beachten müssen.

Bezahlvariante als gleichwertige Alternative zur Einwilligung

Die Leistung, die die Nutzer:innen durch die Zahlung des Entgelts erhalten, muss eine gleichwertige Alternative zu der durch die Einwilligung erzielbaren Leistung darstellen. Dies setzt zunächst voraus, dass der Anbieter von Telemedien für die Bezahlvariante ein marktübliches Entgelt verlangt. Es dürfen also keine überhöhten oder gar utopischen Preise verlangt werden. Dies stünde nicht mehr in einem angemessenen Verhältnis zu den Einnahmen, die durch personalisierte Werbung erzielt werden sollen.

Darüber hinaus verlangen die Datenschutzbehörden, dass das Angebot der Bezahlvariante „zumindest im Wesentlichen die gleiche Leistung“ umfasst. Diese eher vage Formulierung lässt den Anbietern einen gewissen Spielraum. Fraglich ist jedoch, ob Bezahlmodelle, die z.B. zusätzlich den Zugriff auf kostenpflichtige Artikel ermöglichen (z.B. als kombiniertes Plus- und PUR-Abonnement), noch als gleichwertig anzusehen sind. Gleiches gilt für Varianten, über die Nutzer:innen Zugang zu mehreren unterschiedlichen Telemedienangeboten erhalten. Wenn diese sich – um das „Mehr“ an Zugängen zu kompensieren – am eher oberen Ende der Preisskala bewegen, kann dies aus Sicht der Nutzer:innen eine ungleiche Alternative darstellen.

Ohne zusätzliche Einwilligung: nur unbedingt erforderliche Dienste möglich

Entscheiden sich Nutzer:innen für die Wahrnehmung der Bezahlalternative, dürfen Telemedienanbieter nach § 25 Abs. 2 Nr. 2 TTDSG nur solche Speicher- und Auslesevorgänge auf dem Endgerät vornehmen, die für den Telemediendienst unbedingt erforderlich sind. Werden darüber hinaus – auch als nachgelagerte Verarbeitung – personenbezogene Daten verarbeitet, bedarf dies zusätzlich einer Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO.

Keine pauschale Gesamteinwilligung

Aus Sicht der Datenschutzbehörden ist es weiterhin erforderlich, dass Nutzer:innen die Zwecke, zu denen die Einwilligung eingeholt wird, selbstständig auswählen können. Bei mehreren Verarbeitungszwecken, die sich wesentlich voneinander unterscheiden, müssten die Nutzer:innen die Möglichkeit haben, einzelne Zwecke abzuwählen. Eine pauschale Gesamteinwilligung für alle Zwecke könne hingegen nicht wirksam erteilt werden. Eine Bündelung sei aber möglich, wenn die Zwecke in einem sehr engen Zusammenhang stünden.

Vor dem einheitlichen Hintergrund der Werbefinanzierung sei es daher notwendig, die Verweigerung einzelner dafür notwendiger Zwecke – wie etwa die Erstellung von Nutzungsprofilen zur Ausspielung personalisierter Werbung – nicht zur Disposition der Nutzer:innen zu stellen. Soweit die Zwecke jedoch davon abweichen, muss eine gesonderte Einwilligung des Betroffenen – etwa auf der zweiten Stufe für die Einbindung von Social Media – ermöglicht werden.

PUR-Modelle – lohnt sich die Umsetzung?

Der Nachteil eines PUR-Modells liegt in der Einrichtung und Verwaltung des Bezahlmodells. Die Anforderungen an deren datenschutzkonforme Ausgestaltung stellen jedoch einen überschaubaren Annex zu den grundsätzlichen Anforderungen an Cookie-Banner und Cookie-Walls dar. Auch wenn Cookie-Walls nicht per se unzulässig sind, birgt ihr Einsatz doch ein hohes datenschutzrechtliches Risiko. PUR-Modelle werden dagegen von den Datenschutzbehörden grundsätzlich anerkannt. Telemedienanbieter sollten daher PUR-Modelle als datenschutzkonforme Möglichkeit zur Finanzierung ihrer Dienste auf jeden Fall im Auge behalten.

Wir unterstützen Sie bei der Erfüllung von datenschutzrechtlichen Anforderungen

Der Umgang mit Cookies und Nutzertracking ist für den Datenschutz entscheidend. Unsere Datenschutzberatung steht Ihnen zur Seite, um die Komplexität der DSGVO im Zusammenhang mit Cookie-Bannern, Cookie-Walls und dem Tracking von Nutzerinnen und Nutzern zu entwirren. Dabei unterstützen wir Sie nicht nur bei der Gestaltung eines DSGVO-konformen Cookie-Banners, sondern beraten Sie auch zu innovativen Lösungen wie PUR-Modellen. Unsere Datenschutzexpertinnen und -experten unterstützen Sie dabei, Wege zu finden, die User Experience auf Ihrer Website zu optimieren und dabei die Anforderungen der DSGVO nicht aus den Augen zu verlieren.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …