Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, Sonstige Rechtsgebiete
Blog News
Das Österreichische Bundesverwaltungsgericht (ÖBVwG) hat mit Urteil vom 13. August 2025 (W214 2240372-1/24E) bestätigt: „Pay or Okay“-Modelle, die Nutzer*innen nur vor die Wahl „Abo zahlen“ oder „umfassendes Tracking akzeptieren“ stellen, genügen regelmäßig nicht den strengen Anforderungen an eine freiwillige, informierte und spezifische Einwilligung nach der DSGVO. Besonders kritisch: Einwilligungsquoten nahe 100 % begründen Zweifel an der Freiwilligkeit; außerdem fehlt es an Granularität, wenn nur pauschal „alles oder nichts“ abgefragt wird. Das Gericht wies zudem den Einwand zurück, NGO-Musterverfahren seien rechtsmissbräuchlich. Das Urteil bestätigt die Linie der Aufsichtsbehörden und der europäischen Datenschutzgremien: Einwilligung darf kein „Zwangs-Tauschgeschäft“ sein, bei dem Datenschutz faktisch nur gegen Geld zu haben ist.
Im Mittelpunkt des Verfahrens stand die Praxis der österreichischen Tageszeitung derStandard.at, Nutzerinnen und Nutzern beim ersten Aufruf der Website eine sogenannte „Pay-or-Okay“-Entscheidung vorzulegen: Entweder sie stimmen der umfassenden Nutzung von Cookies für Tracking, Webanalyse und personalisierte Werbung zu oder sie schließen ein kostenpflichtiges PUR-Abo ab, um die Inhalte ohne Datenauswertung zu nutzen. Die Datenschutzbehörde sah darin einen Verstoß gegen die DSGVO, da die Einwilligung nicht freiwillig erfolgte und die Nutzer faktisch keine echte Wahl hatten. Vor dem Bundesverwaltungsgericht wurde damit die Frage aufgeworfen, ob dieses Geschäftsmodell den strengen Anforderungen an eine wirksame Einwilligung nach Art. 6 und 7 DSGVO genügt.
Nach Art. 6 Abs. 1 lit. a DSGVO ist eine Einwilligung in die Verarbeitung personenbezogener Daten nur dann wirksam, wenn sie freiwillig erfolgt. Das Gericht stellte klar: Einwilligungsquoten von über 99 % sprechen deutlich gegen eine echte Entscheidungsfreiheit. Wenn die einzige Alternative ein kostenpflichtiger Zugang ist, fehlt es an der notwendigen Freiwilligkeit.
Der Europäische Datenschutzausschuss (EDPB) hat bereits 2024 in Opinion 08/2024 hohe Hürden aufgestellt: Bei „consent or pay“-Modellen (insbesondere großer Plattformen) ist echte Wahlfreiheit sicherzustellen. Anbieter sollen eine gleichwertige Alternative ohne verhaltensbasierte Werbung anbieten; reine „Zahle-oder-lass-dich-tracken“-Modelle werden in den meisten Fällen keine valide Einwilligung begründen. Ergänzend verweisen die EDPB-Leitlinien 05/2020 auf die vier Elemente gültiger Einwilligung (freiwillig, spezifisch, informiert, unmissverständlich) und auf die Granularität: Nutzer*innen müssen einzelnen Zwecken zielgerichtet zustimmen oder sie ablehnen können.
Hinweis: 2025 gab es prozessuale Fragen zur Rechtswirkung der EDPB-Opinion; am materiellen Maßstab der DSGVO ändert das nichts: Nationale Behörden und Gerichte wenden die DSGVO-Kriterien weiterhin direkt an, ,so auch im ÖBVwG-Fall.
Der EuGH betont, dass der Begriff der personenbezogenen Daten weit auszulegen ist. Erfasst werden nicht nur objektive Angaben, sondern auch subjektive Informationen wie persönliche Meinungen oder Einschätzungen, da diese unmittelbar mit der Person des Verfassers verknüpft sind. Besonders praxisrelevant ist die Abgrenzung zwischen pseudonymisierten Daten beim Verantwortlichen und deren möglicher Weitergabe an Dritte: Für den Verantwortlichen bleiben pseudonymisierte Daten personenbezogen, solange er die Möglichkeit zur Re-Identifizierung hat. Für Dritte können die gleichen Daten hingegen nicht personenbezogen sein, wenn wirksame technische und organisatorische Maßnahmen eine Identifizierung ausschließen. Die Richter stellen außerdem klar, dass für die Frage der Identifizierbarkeit nicht jede theoretische Möglichkeit der Re-Identifizierung genügt. Maßstab sind die „Mittel, die nach allgemeinem Ermessen wahrscheinlich genutzt werden“ (Erwägungsgrund 16 der VO 2018/1725).
Von zentraler Bedeutung für Unternehmen ist die Auslegung der Informationspflicht nach Art. 15 Abs. 1 lit. d VO 2018/1725: Der Verantwortliche muss schon bei der Erhebung personenbezogener Daten auch die potenziellen Empfänger pseudonymisierter Daten nennen, selbst wenn diese Empfänger die Daten später nicht ohne Weiteres einer Person zuordnen können. Im konkreten Fall hätte die betroffene Institution Deloitte als Empfänger nennen müssen. Das Gericht der Europäischen Union hatte dies in der Vorinstanz noch anders gesehen und wurde nun vom EuGH korrigiert.
Der entschiedene österreichische Fall betraf ein großes Nachrichtenportal; schon die Aufsicht hatte „globale Einwilligung“ ohne Zweckauswahl beanstandet. Das ÖBVwG bestätigte, dass Nutzer*innen zweckweise zustimmen/ablehnen können müssen (z. B. Analyse, Reichweite, personalisierte Ads, Datenweitergaben an Dritte). Internationale Berichte unterstreichen, dass 99 %-Einwilligungsraten als Indiz gegen Freiwilligkeit gelten. Parallel bekräftigte der EDPB, dass große Plattformen mindestens eine kostenfreie Alternative ohne personalisierte Werbung anbieten sollen – andernfalls ist die Freiwilligkeit zweifelhaft.
Bei Verstößen gegen die rechtlichen Anforderungen im Zusammenhang mit Einwilligungen drohen erhebliche Risiken. So kann eine unwirksame Einwilligung dazu führen, dass keine tragfähige Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht. Dies macht die Verarbeitung rechtswidrig und kann gemäß Art. 83 DSGVO mit empfindlichen Bußgeldern sanktioniert werden. Darüber hinaus ergeben sich auch wettbewerbsrechtliche Gefahren: Irreführende oder aggressive Geschäftspraktiken sowie unzulässige Cookie-Modelle können Unterlassungs- und Abmahnansprüche nach dem UWG in Deutschland und Österreich nach sich ziehen. Solche Risiken werden nicht nur von Aufsichtsbehörden, sondern auch in der Fachliteratur insbesondere im Zusammenhang mit den sogenannten „Pay or Okay“-Modellen intensiv diskutiert.
Ein Einwilligungsmodell, bei dem Nutzer entweder ein (meist kostenpflichtiges) Abo wählen oder der umfassenden Datenverarbeitung/Tracking für Werbung zustimmen müssen.
Weil die Einwilligung oft nicht „freiwillig“ ist (starker Preisdruck, keine echte Alternative) und es an Granularität fehlt, wenn nur „alles oder nichts“ abgefragt wird. Das bestätigte das ÖBVwG am 13.08.2025 im Fall derStandard.at.
Sie muss freiwillig, spezifisch, informiert, unmissverständlich sowie jederzeit widerrufbar sein—mit granularer Auswahl nach Zweck (z. B. Analyse, Reichweite, personalisierte Werbung).
Die EDPB-Opinion 08/2024 setzt hohe Hürden, v. a. für große Plattformen: echte Wahlfreiheit und eine gleichwertige Alternative ohne verhaltensbasierte Werbung; reine „Zahle-oder-Tracken“-Banner genügen regelmäßig nicht.
Nein. Extrem hohe Einwilligungsquoten (nahe 100 %) gelten als Indiz gegen echte Wahlfreiheit und sprechen gegen Wirksamkeit der Einwilligung.
Fehlende tragfähige Rechtsgrundlage, Bußgelder nach Art. 83 DSGVO sowie wettbewerbsrechtliche Abmahn- und Unterlassungsrisiken (UWG).
Pay or Okay-Modelle bergen erhebliche rechtliche Unsicherheiten. Damit eine Einwilligung wirksam ist, müssen Nutzer eine echte Wahlfreiheit haben, einzelnen Zwecken zustimmen können, klar informiert werden und ihre Entscheidung jederzeit ohne Nachteile widerrufen können.
Sie möchten wissen, welche Auswirkungen das Urteil auf Ihr Geschäftsmodell hat oder ob Ihr Einwilligungs-Design den DSGVO-Vorgaben entspricht?
Unsere Kanzlei steht Ihnen mit umfassender Beratung im Datenschutz-, IT- und Wettbewerbsrecht zur Seite. Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?