EDPB betont Wichtigkeit freier Zustimmung bei „Pay or Okay” Modellen

Hintergründe und Kontext

Auf Anfrage der niederländischen, norwegischen und deutschen (Hamburger) Aufsichtsbehörden an den Europäischen Datenschutzausschuss („EDPB”) hat sich dieser vor dem Hintergrund von Metas Geschäftsmodell damit befasst, Klarheit über die Implementierung von „Pay or Okay”-Modellen zu schaffen. Diese Modelle sind besonders relevant für große Online-Plattformen wie Meta, die Verhaltenswerbung nutzen, um personalisierte Werbung anzubieten. Solche Geschäftsmodelle stehen in der Kritik, da sie möglicherweise nicht den strengen Anforderungen der DSGVO entsprechen, insbesondere in Bezug auf die freiwillige Zustimmung.

Anforderungen an die Zustimmung nach DSGVO und die Rolle der Verantwortlichen

Die DSGVO fordert, dass die Zustimmung der Nutzer freiwillig, spezifisch, informiert und unmissverständlich erteilt werden muss. Meta und andere Verantwortliche müssen nach Meinung des EDPB diese Anforderungen stringent umsetzen. Dem Nutzer muss eine echte Wahl haben und er darf sich nicht zur Einwilligung gezwungen fühlen oder negative Konsequenzen zu erwarten haben. Die Verantwortlichen sind verpflichtet, die Prinzipien der Notwendigkeit, Verhältnismäßigkeit, Zweckbindung, Datenminimierung und Fairness zu beachten.

Detaillierte Ausführung zu alternativen Modellen

Um den Anforderungen der DSGVO gerecht zu werden, sollten Plattformen wie Meta nach Ansicht des EDPB eine „wirklich äquivalente Alternative“ zu Diensten mit Verhaltenswerbung anbieten, die keine Gebühr verlangt. Falls eine Gebühr für den Zugang erhoben wird, müsse eine zusätzliche, gebührenfreie Alternative ohne Verhaltenswerbung angeboten werden, die möglicherweise weniger oder keine personenbezogenen Daten verarbeitet. Nur so kann sichergestellt werden, dass die Nutzer eine echte Wahl haben und ihre Zustimmung unter fairen Bedingungen erteilen können.

Prüfungspunkte für freiwillige Zustimmung

Bezüglich der Freiwilligkeit bezieht sich der EDPB nicht zuletzt auf das Urteil des Gerichtshofs in der Rechtssache C-252/21. Dieses unterstreiche die Notwendigkeit, dass Zustimmungen freiwillig sein müssen, ohne dass die Betroffenen einem Nachteil ausgesetzt werden. Dies sei besonders relevant, wenn Plattformen wie Meta den Zugang zu ihren Diensten von der Zustimmung zur Datenverarbeitung abhängig machen oder alternativ eine Gebühr erheben. Ob eine freiwillige Zustimmung gegeben ist, will der EDPB an den folgenden Punkten feststellen:

• Kein Nachteil: Keine hohen Gebühren, die die Wahlmöglichkeiten der Nutzer einschränken.
• Machtungleichgewicht: Bewertung der Marktstellung der Anbieter und der Abhängigkeit der Nutzer von den angebotenen Diensten. Dies gilt vor allem bei Diensten, die zunächst kostenfrei nutzbar waren und dadurch einen großen Nutzerstamm aufgebaut haben. In diesen Fällen können sich User dazu gedrängt fühlen, in die Verarbeitung einzuwilligen, um den Dienst wie bisher kostenfrei nutzen zu können.
• Bedingungsfreiheit: Die Zustimmung darf nicht für den Zugang zu notwendigen Diensten erforderlich sein, wenn die Datenverarbeitung dafür nicht notwendig ist.
• Granularität: Nutzer sollten die Möglichkeit haben, spezifisch für einzelne Verarbeitungszwecke zu zustimmen, ohne mehrere Zwecke zu bündeln.

Druck auch von der Kommission

Die Europäische Kommission hat ebenfalls Untersuchungen gegen die großen Technologieunternehmen wie z.B. Apple und Meta eingeleitet, um festzustellen, ob diese Konzerne gegen Bestimmungen des Digital Markets Act („DMA”) verstoßen haben. Im Fokus steht auch dort das neue „Pay or Okay” Modell von Meta, das möglicherweise gegen die DMA-Vorgaben verstößt, da es von Benutzern in der EU verlangt, Zustimmungen zur Kombination oder zum übergreifenden Gebrauch ihrer persönlichen Daten zu erteilen.

Der DMA zielt darauf ab, die Macht der großen marktbeherrschenden Technologieunternehmen („Gatekeeper”) im digitalen Markt zu regulieren, insbesondere in Bezug auf den Umgang mit personenbezogenen Daten der Nutzer:

• Erwägungsgründe 36 und 37 des DMA erläutern die Pflichten der Gatekeeper beim Sammeln und Verarbeiten von personenbezogenen Daten. Gatekeeper dürfen personenbezogene Daten nicht ohne spezifische Zustimmung der Nutzer kombinieren oder für andere Dienste nutzen. Nutzern muss eine weniger personalisierte, aber qualitativ gleichwertige Alternative angeboten werden, ohne dass die Nutzung der Hauptplattform oder bestimmter Funktionen davon abhängig gemacht wird.
• Artikel 5 des DMA verbietet es Gatekeepern explizit, ohne ausdrückliche Zustimmung der Nutzer:
  • personenbezogene Daten zu verarbeiten, die für das Anbieten von Online-Werbung benötigt werden,
  • Daten aus Kernplattformdiensten mit Daten aus anderen Diensten zu kombinieren sowie
  • personenbezogene Daten aus Kernplattformdiensten in anderen, separaten Diensten zu verwenden.

Was kommt jetzt?

Die „Pay or Okay”-Modelle von Plattformen wie Meta müssen sorgfältig überprüft und möglicherweise angepasst werden, um den Anforderungen der DSGVO vollständig zu entsprechen. Hilfreich dabei könnten vom EDPB angekündigte Leitlinien sein. Ebenso wie ein Urteil in der Sache C-446/21, da sich der Gerichtshof wohl auch darin mit dem „Pay or Okay“ beschäftigen wird.