Als Reaktion auf die Einführung strenger Vorschriften zum Schutz personenbezogener Daten greifen immer mehr Websites und Online-Plattformen dazu, die Einwilligung zur Verarbeitung personenbezogener Daten über das sog. „consent or pay- Modell“ einzuholen. Dieses Modell, bekannt auch unter den Namen „pay or okay“ (oder auf Tschechisch „bezahlen oder zustimmen“), bietet den Nutzern zwei Möglichkeiten: Entweder stimmen sie der Verwendung ihrer persönlichen Daten für Zwecke wie gezielte Werbung zu oder sie müssen für den Zugang zu den Inhalten oder Diensten bezahlen.

Das Konzept „consent or pay“ entstand als Reaktion auf die Verschärfung des Schutzes personenbezogener Daten, insbesondere der GDPR-Vorschriften; darin ist festgelegt, dass personenbezogene Daten nur auf Grundlage der eindeutigen und informierten Einwilligung des Nutzers verarbeitet werden dürfen oder ein anderer gesetzlicher Grund dafür vorliegt. Aufgrund dieser Beschränkungen begannen Unternehmen, deren Gewinn zu einem erheblichen Teil aus Werbeeinnahmen besteht, nach Alternativen zu suchen, um weiterhin Daten ihrer Nutzer zu sammeln und zu verarbeiten. Als Antwort für viele dieser Unternehmen entstand das sog. „Erpressungsfenster“, das beispielsweise Nutzern von Facebook und anderen Dienstleistungen von Meta bekannt ist, die kürzlich auf ihren Gerätemonitoren und Displays ihrer Geräte eine Benachrichtigung erhalten haben, dass sie dafür bezahlen müssen, wenn sie ihren Lieblingsdienst weiterhin nutzen möchten. Bei denen wurde der jüngst plötzliche Schock auf den Monitoren und Displays ihrer Geräte jedoch schnell von Erleichterung abgelöst, als der Nutzer erfuhr, dass er keine Gebühr zahlen muss, wenn er der Plattform lediglich die Einwilligung zur Verarbeitung seiner persönlichen Daten erteilt. Steht die Anforderung, die Dienstleistung mit eigenen personenbezogenen Daten zu „bezahlen“, jedoch im Einklang mit der europäischen Gesetzgebung? Sind Sie sicher, dass Sie in diesem Fall wissen, wozu Sie sich verpflichten, indem Sie auf „Ich stimme zu“ klicken? Und ist die so erteilte Einwilligung überhaupt gültig?

Europäischer Ausschuss für den Schutz personenbezogener Daten (im Folgenden als „EDPB-Ausschuss“ genannt) verabschiedete am 17. April 2024 die Stellungnahme 08/2024 betr. das „consent or pay- Modell“ und dessen Verwendung von großen Online-Plattformen. In dieser Stellungnahme stellt der EDBP-Ausschuss fest, dass in den meisten Fällen bei der Nutzung des genannten Modells die Voraussetzungen für die Erteilung einer gültigen Zustimmung nicht gegeben sind. Es stellt sich nämlich die Frage, ob die auf diese Weise erteilte Einwilligung, deren einzige Alternative die Zahlung einer Gebühr oder die Verweigerung des Zugangs zu Dienstleistungen ist, wirklich eine Freiwahl ist. Daher sollten große Plattformen laut EDBP immer sorgfältig abwägen, ob „die Entscheidung, keine Einwilligung zu erteilen, negative Folgen für den Einzelnen nach sich ziehen kann, etwa den Ausschluss von einer wichtigen Dienstleistung, unzureichenden Zugang zu beruflichen Netzwerken oder das Risiko, Inhalte oder Verbindungen zu verlieren.“ Mit anderen Worten: Die freie Einwilligung setzt die Existenz einer echten Alternative voraus. Daher empfiehlt EDBP großen Plattformen, darüber nachzudenken, eine gleichwertige Alternative
zu verhaltensbezogener Werbung bereitzustellen, beispielsweise in Form von nicht zielgerichteter Werbung.
Die tatsächliche Wahlmöglichkeit ist einer der wesentlichen Faktoren bei der Beurteilung der Gültigkeit einer Einwilligung gemäß GDPR.

EDBP betont in seiner Stellungnahme weiter, dass personenbezogene Daten keine handelbare Ware seien und es unzulässig sei, dass das Grundrecht auf den Schutz personenbezogener Daten zu einem Zahlungsmittel werde.
Den Nutzer vor die Möglichkeit zu stellen, eine Gebühr zu zahlen oder der Verarbeitung seiner Daten zuzustimmen, dürfe laut EDPB nicht zum Standard werden.

Anfang Juli wurde das „consent or pay-Modell“ auch von der Europäischen Kommission verhandelt, die im Rahmen ihrer Untersuchung in den veröffentlichten vorläufigen Feststellungen betr. Gesellschaft Meta zu dem Schluss kam, dass dieses Modell nicht der Digitalmarkt-Regelung entspricht. Auch wenn diese Feststellung keinen Einfluss auf die Beurteilung des Modells aus Sicht der GDPR/DSGVO hat, trägt sie dennoch zu Zweifeln an der Legitimität und Zukunftsfähigkeit des Einsatzes dieser neuen Strategie der Einholung von Einwilligungen in ihrer jetzigen Form bei.

Zusammenfassend lässt sich daher sagen, dass es zwar noch einige ungeklärte Fragen zur Funktionsweise des  „consent or pay-Modells“ gibt, es sich aber im Hinblick auf GDPR/DSGVO noch nicht um ein gänzlich verbotenes Instrument handelt. EDPB stellt jedoch bestimmte Grenzen fest, deren Überschreitung einen potenziellen Konflikt zwischen den GDPR-Anforderungen und der Praxis großer Plattformen bei der Einholung von Einwilligungen bei der Datenverarbeitung bedeuten könnte. Es ist fraglich, ob Plattformen in Zukunft dazu übergehen werden, mehr Einwilligungsalternativen einzuführen, wie beispielsweise nicht-verhaltensbasierte Werbung, da solche Optionen aus Sicht dieser Plattformen sicherlich finanziell viel weniger interessant wären.