Die niedersächsische Landesbeauftragte für Datenschutz beschäftigte sich in einem aktuellen Beschwerdeverfahren vom 17.05.2023 mit dem von heise.de auf deren Website angebotenen Pur-Abo-Modells (#payortrack). heise.de stellte ihre NutzerInnen dabei vor die Entscheidung, für ein monatliches Pur-Abo zu bezahlen und somit ohne Nutzung ihrer personenbezogenen Daten die Website nutzen zu können oder ihre personenbezogenen Daten für Werbung und diverse andere Zwecke zur Verfügung zu stellen und das Abo „kostenlos“ zu nutzen. Die Landesbeauftragte für Datenschutz entschied nunmehr, dass das von heise.de angebotene Pur-Abo-Modell rechtswidrig war und sprach eine Verwarnung aus.
#payortrack auch laut deutscher Behörde rechtswidrig
Nachdem bereits die Österreichische Datenschutzbehörde im Fall „derstandard.at“ die Rechtswidrigkeit der auf der Website derstandard.at verwendeten #payortrack-Variante festgestellt hat (D124.4574 2023-01.174.027 vom 29.03.2023), hat nun auch eine deutsche Aufsichtsbehörde das Pur-Abo-Modell für rechtswidrig erklärt. Die niedersächsische Landesbeauftragte für Datenschutz meinte zwar grundsätzlich, dass der #payortrack Ansatz zulässig sein könnte, die konkrete Vorgehensweise des deutschen Nachrichtendienstes jedoch nicht im Sinne der Gesetzesbestimmungen erfolgt sei, zumal es den NutzerInnen nicht möglich war, spezifische Einwilligungen für verschiedene Zwecke zu erteilen.
Verarbeitung bereits vor Erteilung der Einwilligung
Die technische Überprüfung der Website heise.de hat ergeben, dass bereits beim erstmaligen Aufruf im Browser, somit noch bevor der LeserIn irgendwelche Aktionen auf der Website ausgeführt hatte (insbesondere noch vor dem Anklicken der im Einwilligungsbanner verfügbaren Schaltfläche) Cookies sowie lokale Speicherobjekte gesetzt und personenbezogene Nutzerdaten, IP-Adressen und Browser-Informationen, über das für die Nutzung der Website erforderliche Maß verarbeitet wurden. In weiterer Folge wurden den LeserInnen zwei verschiedene Möglichkeiten der Nutzung angeboten, nämlich entweder „mit Werbung und Cookies“ oder „im Pur-Abo“. Während von den Pur-AbonnentInnen keine darüberhinausgehende Datenschutzerklärung eingeholt wurde, erfüllte jene, welche von den Nicht-AbonnentInnen eingeholt wurde, nicht die Anforderungen der DSGVO, sodass diese als unwirksam anzusehen war.
Keine eindeutige Differenzierung des Einwilligungsbanners
Die Behörde stellte weiters fest, dass in dem auf der Website heise.de verwendeten Einwilligungsbanner sowie insbesondere auch auf der zweiten Ebene (dem „Privacy Manager“) keine eindeutige Differenzierung dahingehend erkennbar war, welche Datenverarbeitungen auf eine Einwilligung gestützt werden und welche nicht.
Intransparenz und Unwirksamkeit der Einwilligung
Neben den bereits geschilderten Problematiken hielt die niedersächsische Landesbeauftragte für Datenschutz ergänzt ferner fest, heise.de habe ein rechtswidriges methodisches Vorgehen an den Tag gelegt, um ihre LeserInnen im eigenen Interesse zu beeinflussen. Darüber hinaus wurde festgestellt, dass die Einwilligung der LeserInnen weder die Anforderungen der Informiertheit noch der Freiwilligkeit erfüllen.
Im Übrigen wird von der DSGVO (Art 7 Abs 3 S 4) verlangt, dass der Widerruf einer erteilten Einwilligung genauso einfach wie die Erteilung der Einwilligung sein muss. Auch diesen Erfordernissen wurde laut Feststellungen der deutschen Behörde nicht entsprochen, sodass letztlich eine Verwarnung auszusprechen war.
Fraglich bleibt, ob eine – wie in diesem Fall – ausgesprochene Verwarnung tatsächlich reicht, um künftige Unternehmen von der Einführung einer rechtswidrigen #payortrack Variante abzuhalten.
(c) dataprotect / 20.7.2023
Autorin: Mag. Theresa Jenner-Braunschmied