Der Europäische Datenschutzausschuss (EDSA) hat auf Ersuchen mehrerer Aufsichtsbehörden eine Stellungnahme zu „Consent or Pay“-Modellen großer Online-Plattformen im Zusammenhang mit verhaltensbezogener Werbung abgegeben. Hintergrund ist (auch) ein Urteil des EuGH in der Rechtssache „Meta Platforms INC. gegen Bundeskartellamt“ vom 4. Juli 2023, das sich hiermit beschäftigt hatte.
Definitionen
Bei „Consent or Pay“-Modellen bietet ein Datenverantwortlicher Nutzern die Wahl zwischen mehreren Optionen für den Zugang zu einem Online-Dienst. Der Nutzer kann hierbei:
- in die Verarbeitung seiner personenbezogenen Daten einwilligen und erhält nur dann Zugang zu dem Dienst, wenn er zustimmt, dass der Datenverantwortliche ihn verfolgt und mit verhaltensbezogener Werbung anspricht;
- gegen Bezahlung einer Gebühr Zugang zum Online-Dienst ohne Verarbeitung seiner personenbezogenen Daten zu diesem Zweck erhalten.
Verhaltensbasierte Werbung beruht auf Daten, die durch die Beobachtung der Nutzeraktivitäten im Internet gesammelt werden (z. B. besuchte Seiten, darauf verbrachte Zeit, Anzahl der Aufrufe einer Seite, abgegebene Likes, Standort). Die so gesammelten Daten des Nutzers, teils kombiniert mit den von ihm bereitgestellten Daten (z. B. beim Anlegen eines Online-Kontos oder beim Login), ergeben Rückschlüsse auf dessen Vorlieben und Interessen.
Diese Form der Werbung gilt als besonders eingreifend, da sie dem Datenverantwortlichen ein sehr detailliertes Bild über das persönliche Leben des Nutzers verschafft. Darüber hinaus birgt sie erhebliche Risiken für die Grundrechte und -freiheiten der Nutzer und kann Diskriminierung und Manipulation ermöglichen.
Bewertung des EDSA
In der Stellungnahme 08/2024 führt der EDSA aus, dass personenbezogene Daten nicht als handelbare Ware betrachtet werden dürfen. Online-Plattformen sollten darauf achten, das Grundrecht auf Datenschutz nicht in eine Funktion umzuwandeln, für deren Inanspruchnahme die Betroffenen bezahlen müssen.
Daher sollte es keinen Standard darstellen, dass die Alternative zu dem Dienst, die keine Daten für verhaltensbezogene Werbung verarbeitet, kostenpflichtig ist. Vielmehr sollten Online-Plattformen den Nutzern eine kostenlose „gleichwertige Alternative“ anbieten (z. B. nicht verhaltensbezogene Werbung). Dies hatte auch der EuGH ausgeführt.
Solch eine Alternative kann grundsätzlich dann als gleichwertig angesehen werden, wenn sie sich nur insoweit unterscheidet, als dies notwendig ist, weil der Datenverantwortliche keine personenbezogenen Daten für verhaltensbezogene Werbung verarbeiten kann. Eine Kernfrage betrifft die Beurteilung der Gültigkeit der Einwilligung.
Kriterien für eine gültige Einwilligung
Damit die Einwilligung der betroffenen Person als „freiwillig erteilt“ gilt, müssen besondere Kriterien erfüllt sein.
Zunächst darf eine Gebühr nicht so beschaffen sein, dass die betroffenen Personen daran gehindert werden, eine freie Wahl zu treffen. Datenverantwortliche sollten hierfür im Einzelfall prüfen, ob und wenn überhaupt in welcher Höhe eine Gebühr angemessen ist.
Darüber hinaus ist die Freiwilligkeit fraglich, wenn nicht zahlende Nutzer vom Dienst ausgeschlossen werden, insbesondere wenn der Dienst eine herausragende Rolle spielt oder für die Teilhabe am gesellschaftlichen Leben oder den Zugang zu beruflichen Netzwerken entscheidend ist.
Datenverantwortliche müssen auch bewerten, ob ein Machtungleichgewicht zwischen ihnen und der betroffenen Person besteht. Dies erfolgt anhand der Position des Anbieters auf dem Markt, dem Vorliegen von Lock-in- oder Netzwerkeffekten, dem Maß, in dem der Nutzer den Dienst in Anspruch nimmt, und der Hauptzielgruppe des Dienstes.
Die Konditionalität, d. h. die Frage, ob der Zugang zu Waren oder Dienstleistungen eine Einwilligung voraussetzt, obwohl die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist, ist ein weiteres Kriterium für die Beurteilung der Freiwilligkeit der Einwilligung.
Eine weitere Bedingung ist die Granularität: Die betroffene Person sollte frei wählen können, welchen Zweck der Verarbeitung sie akzeptiert, anstatt mit einer Einwilligungsanfrage konfrontiert zu werden, die mehrere Zwecke bündelt.
Eine gültige Einwilligung muss ferner „spezifisch“ sein, d. h. für einen oder mehrere bestimmte Zwecke erteilt werden, und auf einer eindeutigen Willensbekundung beruhen. Jede Irreführung ist zu vermeiden.
Zusätzlich sollte der aufgebaute Informationsprozess es dem Nutzer ermöglichen, den Wert, den Umfang und die Folgen seiner Wahloptionen vollständig und klar zu verstehen.
Der EDSA geht auch auf den Widerruf der Einwilligung ein und rät den für die Verarbeitung Verantwortlichen, sorgfältig zu prüfen, wie oft die Einwilligung „erneuert“ werden sollte.
Die Stellungnahme ist für die Staaten nicht verbindlich, jedoch wichtig. Der EDSA legt Grundprinzipien für Gesetzgebung und Behördenverhalten in den Staaten mit fest.
Kontakt und weitere Informationen:
STALFORT Legal. Tax. Audit.
Bukarest – Sibiu – Bistrița
Büro Bukarest:
Tel.: +40 – 21 – 301 03 53
Fax.: +40 – 21 – 315 78 36
E-Mail: bukarest@stalfort.ro
www.stalfort.ro