Einführung: Was ist das „Pay or OK“-Modell?

Das „Pay or OK“-Modell (auch Cookie-Paywall oder PUR-Abo-Modell genannt) konfrontiert Nutzer mit einer Wahl: entweder ein kostenpflichtiges Abo abschließen („pay“) oder der umfangreichen Datenverarbeitung zu Werbezwecken zustimmen („ok“). Im konkreten Fall der österreichischen Tageszeitung Der Standard bedeutet dies, dass Leser entweder ein werbefreies Abonnement für ca. 9,90 € pro Monat kaufen müssen oder dem Tracking durch hunderte Drittanbieter zustimmen, um Inhalte gratis zu lesen. Kritiker betonen, dass diese Alternative keine faire Wahl darstellt, da praktisch alle Nutzer die kostenlose, aber datenintensive Option wählen. Studien zeigen etwa, dass über 99 % der Nutzer bei solchen Bannern auf „OK“ klicken, obwohl nur 0,16 % bis 7 % tatsächlich getrackt werden wollen. Damit steht das Modell im Spannungsfeld zwischen digitaler Geschäftsfinanzierung und Datenschutz.

Im August 2025 fällte das österreichische Bundesverwaltungsgericht (BVwG) ein wegweisendes Urteil (GZ W291 2272970-1/30E u.a.) zu diesem Modell, das die datenschutzrechtliche Zulässigkeit von „Pay or OK“ erstmals klar bewertet. Das BVwG bestätigte darin eine Entscheidung der Datenschutzbehörde (DSB) und befand, dass Der Standard mit seiner Umsetzung des Modells gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat . Im Folgenden werden die Hintergründe des Verfahrens, die wesentlichen Entscheidungsgründe und die Auswirkungen dieses Urteils näher erläutert – von der Frage der freiwilligen Einwilligung über die Rolle der DSGVO und einschlägiger EuGH-Rechtsprechung bis hin zur Bedeutung für digitale Geschäftsmodelle und einem Ausblick auf mögliche weitere Verfahren.

Hintergrund des Verfahrens: Beschwerde, Meta und Zuständigkeit der DSB

Auslöser des Verfahrens war eine Beschwerde der Datenschutz-NGO noyb (Europeans for Digital Rights) im Namen eines betroffenen Nutzers. Dieser monierte, dass er auf derStandard.at faktisch gezwungen war, entweder in umfassendes Tracking einzuwilligen oder ein PUR-Digitalabo abzuschließen. Der Standard hatte als erstes großes Nachrichtenportal Österreichs direkt mit Inkrafttreten der DSGVO 2018 ein solches Pay-or-Okay-Modell eingeführt. Bei Ankunft auf der Website erschien ein Banner mit den beiden Optionen, aber keinerlei Möglichkeit, den Zugang zur Seite zu erhalten, ohne entweder zu zahlen oder pauschal zuzustimmen. Laut noyb stimmten Standard-Nutzer ohne Abo derzeit dem „Online-Tracking durch Hunderte Drittanbieter“ zu, da eine andere kostenlose Option nicht vorgesehen war.

Die österreichische Datenschutzbehörde (DSB) befasste sich zunächst mit dem Fall. In einem Bescheid 2023 kam sie zu dem Ergebnis, dass Pay-or-OK-Modelle grundsätzlich zulässig sein können, sofern bestimmte Voraussetzungen erfüllt sind – im Fall von Der Standard jedoch mangelhaft umgesetzt wurden. Insbesondere bemängelte die DSB, dass Nutzer keine granulare Auswahl einzelner Verarbeitungszwecke hatten, sondern nur eine pauschale Einwilligung erteilen oder verweigern konnten. Andere zentrale Anträge – etwa ein vollständiges Verbot der Verarbeitung – wurden von der DSB indes nicht oder nur teilweise behandelt. Daraufhin legten sowohl Der Standard als auch noyb Rechtsmittel ein. Das Verfahren landete beim Bundesverwaltungsgericht, das den Fall umfassend prüfte.

Meta/Facebook spielt in diesem Kontext eine indirekte Rolle. Zum einen nutzte Der Standard wie viele Verlage Werbetechnologien großer Konzerne (z.B. Facebook Pixel), sodass mit dem OK-Klick auch Daten an Facebook/Meta und andere Werbepartner flossen – ein Aspekt, der Fragen der Zuständigkeit aufwarf. Obwohl Meta als Konzern in Irland niedergelassen ist, war hier die österreichische DSB zuständig, da es primär um die Gestaltung der Einwilligung auf der Website derStandard.at als datenschutzrechtlich Verantwortliche ging. Zum anderen hatte Meta selbst 2023 für Facebook und Instagram ein ähnliches Modell in der EU eingeführt („einwilligen oder abonnieren“), was von Datenschützern kritisch beäugt wird. Die Verlegerseite argumentierte im Verfahren, der Standard sei ein Medienhaus und genieße ein gewisses Medienprivileg gemäß Art. 85 DSGVO – im Unterschied etwa zu einem Datenkonzern wie Meta. Dieses Argument sollte die Zulässigkeit ihres Pay or OK-Modells untermauern, wurde vom Gericht jedoch zurückgewiesen (dazu unten mehr).

Wesentliche Entscheidungsgründe des BVwG

Das BVwG folgte im Kern der Einschätzung der Datenschutzbehörde und stellte fest, dass Der Standard keine gültige Einwilligung von den Nutzern eingeholt hat. Zentral für diese Beurteilung war der Verstoß gegen grundlegende Anforderungen des Einwilligungsrechts der DSGVO, insbesondere in Bezug auf Freiwilligkeit und Spezifität der Einwilligung. Im Urteil wird unmissverständlich klargestellt, dass eine Bündelung mehrerer Verarbeitungszwecke in einer einzigen Einwilligung unzulässig ist – verschiedene Zwecke erfordern separate Zustimmungen. Eine derart gebündelte „Alles-oder-nichts“-Einwilligung beeinträchtigt die freie Entscheidung der Nutzer und ist unwirksam. Die Richter betonten, diese Granularität der Einwilligung sei eng mit dem Erfordernis verknüpft, dass für jeden konkreten Zweck eine Zustimmung erteilt werden muss. Im Standard-Banner konnten Leser jedoch nicht zwischen unterschiedlichen Zwecken (etwa personalisierte Werbung, Reichweitenmessung, etc.) differenzieren – ein klarer DSGVO-Verstoß.

Darüber hinaus beanstandete das Gericht mehrere Aspekte der konkreten Implementierung auf derStandard.at:

• Es gab keine gleichwertige, zumutbare Alternative zur Einwilligung. Die Ablehnung der Datenverarbeitung war nur um den Preis eines Abos möglich, welches mit Aufwand und Kosten verbunden war, während die Zustimmung per Klick deutlich einfacher war. Eine solche Gestaltung drängte Nutzer faktisch zur Zustimmung (faktischer Zwang).
• Die angebotene Einwilligung war nicht zweckbezogen und spezifisch, sondern pauschal: Verschiedene Zwecke (Tracking, personalisierte Werbung, Analyse etc.) wurden in einem einzigen „OK“ zusammengefasst. Eine granulare Auswahl einzelner Verwendungszwecke war nicht möglich.
• Die Informationen im Banner waren unzureichend. Nutzer erfuhren nicht klar und vollständig, welche Daten zu welchen Zwecken verarbeitet werden und welche Drittanbieter beteiligt sind. Allgemeine Formulierungen wie „Verbesserung des Nutzererlebnisses“ reichen nicht aus. Es war für Nutzer also nicht transparent erkennbar, was eine Zustimmung genau nach sich zieht.
• Die Bezahlalternative war nach Ansicht des Gerichts nicht als vollwertige, faire Option ausgestaltet. Sie war vergleichsweise unattraktiv und beschwerlich (monatliche Kosten, Registrierungsaufwand) und damit für viele keine echte Wahl. Das Gericht betonte, eine kostenpflichtige Variante müsse ernsthaft und zumutbar sein – überzogene Preise, komplizierte Abläufe oder funktionale Einschränkungen dürfen nicht dazu benutzt werden, die Nutzer von der Ablehnung abzuhalten.
• Auch nach einer Einwilligung gilt das Prinzip der Datenminimierung: Es dürfen nur solche Daten verarbeitet werden, die für die jeweiligen Zwecke erforderlich sind. Jegliches darüber hinausgehende Tracking ist unzulässig. Im Standard-Fall wurde jedoch sehr umfangreich getrackt – weit über das technisch Notwendige hinaus.

Im Ergebnis wies das BVwG die Beschwerde der Medieninhaberin (des Verlags) ab und bestätigte, dass die durch das Pay or OK-Banner eingeholten Zustimmungen nicht wirksam waren. Der Standard hat somit personenbezogene Daten (Cookies, Online-IDs, etc.) ohne gültige Rechtsgrundlage verarbeitet, was einen Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO darstellt. Insbesondere das Setzen „nicht notwendiger“ Cookies zu Werbe- oder Trackingzwecken ohne ausdrückliche vorherige Zustimmung ist rechtswidrig.

Interessant sind auch einige spezifische Feststellungen des Gerichts: Das BVwG ließ das Argument des Verlags, Werbekunden verlangten „analysefähige“ Werbung (sprich personalisierte Daten), nicht gelten – dies sei „kein rechtliches Argument im Sinne der DSGVO“. Ebenso wies es darauf hin, dass der Seitenbetreiber für eingebundene Plug-ins von Drittanbietern mitverantwortlich bleibt. Das heißt, wenn Der Standard z.B. Facebook- oder Google-Tracker einbindet, trägt er Mitverantwortung dafür, dass deren Einsatz datenschutzkonform erfolgt – ein Hinweis, der an die EuGH-Rechtsprechung (Fashion ID) zur gemeinsamen Verantwortlichkeit erinnert.

Schließlich versuchte Der Standard, sich auf das Medienprivileg nach Art. 85 DSGVO zu berufen, das journalistische Tätigkeiten in gewissem Umfang von strengen DSGVO-Vorgaben ausnimmt. Das Gericht erkannte zwar an, dass diese Ausnahme für redaktionelle/journalistische Zwecke weit zu fassen ist, stellte aber klar: Das hier fragliche Werbe-Tracking fällt nicht unter journalistische Zwecke – auch wenn es indirekt zur Finanzierung des Journalismus beitrage. Spätestens die fehlende Granularität der Einwilligung ließ diese ohnehin unwirksam werden. Das Medienprivileg konnte den Verlag also nicht retten.

Bewertung der Einwilligung: Freiwilligkeit und Alternativen

Kern des Falls ist die Frage der freiwilligen Einwilligung nach der DSGVO. Laut Definition (Art. 4 Nr. 11 DSGVO) muss eine Einwilligung freiwillig, informiert, für den konkreten Fall und unmissverständlich durch eine erklärende Handlung erfolgen. Freiwilligkeit bedeutet insbesondere, dass dem Betroffenen keinerlei Zwang, Druck oder erheblicher Nachteil bei Verweigerung der Einwilligung entstehen darf. Genau hier setzt die Kritik am Pay or OK-Modell an: Gibt es überhaupt eine realistische Wahlfreiheit, wenn das Verweigern der Datenverarbeitung nur gegen Bezahlung möglich ist?

Die europäischen Datenschutzaufsichtsbehörden haben hierzu klar Stellung bezogen. In den Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur Einwilligung wird betont, dass bei unterschiedlichen Verarbeitungszwecken getrennte Einwilligungen eingeholt werden müssen – andernfalls fehlt es an einer freien, informierten Entscheidungsmöglichkeit. Eine gebündelte Zustimmung zu allem oder nichts läuft der Freiwilligkeit zuwider. Ebenso gilt: Eine Einwilligung darf nicht zur Voraussetzung für den Zugang zu einem Dienst gemacht werden, wenn die Datenverarbeitung für den eigentlichen Dienst nicht notwendig ist (vgl. Erwägungsgrund 43 S.2 DSGVO). Genau das war hier der Fall: Der Nutzer musste zustimmen, obwohl das Anbieten journalistischer Inhalte auch ohne personalisierte Werbung möglich wäre.

Der Europäische Gerichtshof (EuGH) hat in seinem Planet49-Urteil (2019) grundlegende Maßstäbe für Cookie-Einwilligungen gesetzt. Dort wurde klargestellt, dass bereits das Speichern von Cookies, die nicht allein technisch notwendig sind, als Verarbeitung personenbezogener Daten anzusehen ist und nur mit aktiver, informierter Einwilligung zulässig ist. Vorgekreuzte Kästchen oder Pauschallösungen genügen nicht. Das BVwG-Urteil reiht sich in diese Linie ein und konkretisiert die Anforderungen an gültige Einwilligungen: „Alles-oder-nichts“-Modelle werden den Anforderungen an Freiwilligkeit und Granularität nicht gerecht. Stattdessen müssen Nutzer eine echte Wahlfreiheit über jede einzelne Datenverarbeitung haben.

Im vorliegenden Fall war die Freiwilligkeit offensichtlich eingeschränkt. Mehr als 99 % der Standard-Leser klickten auf „OK“ und ließen sich tracken. Diese extrem hohe Zustimmungsrate – im Vergleich zu Umfragen, wonach nur eine kleine Minderheit tatsächlich getrackt werden möchte – zeigt, dass hier von einer freiwilligen Entscheidung kaum gesprochen werden kann. Das Gericht betonte denn auch, dass keine faktische Zwangslage geschaffen werden darf, die Nutzer zum Einwilligen drängt. Im Standard-Banner war die Ablehnung jedoch mit deutlich mehr Aufwand (Registrierung und Zahlung) verbunden als die Zustimmung, was einen deutlichen Anreiz pro Einwilligung setzte (Dark Pattern). Eine solche Gestaltung widerspricht dem Geist der DSGVO.

Weiterhin fehlte es an der Spezifität der Einwilligung. Die Nutzer konnten nicht selektiv bestimmten Datenverarbeitungen zustimmen und anderen widersprechen, sondern nur eine pauschale Einwilligung für alles erteilen. Laut EuGH (Planet49 sowie IAB Europe/TC-String, Urteil v. 07.03.2024, C‑604/22) untergräbt ein solcher Ansatz die Wirksamkeit der Einwilligung. Das BVwG hat sich ausdrücklich auf diese Rechtsprechung berufen und die dort etablierten Kriterien übernommen.

Informiertheit ist eine weitere Säule gültiger Einwilligungen. Hier fehlte es im Standard-Fall an Transparenz: Der Hinweis auf „Tracking durch Drittanbieter“ blieb vage; wer genau Daten erhält und zu welchen Zwecken, blieb für den Nutzer in der Bannerauswahl unklar. Eine informierte Einwilligung war so kaum möglich. Erst in tieferen Ebenen der Datenschutzerklärung hätten Details nachvollzogen werden können – doch die meisten Nutzer klicken direkt „OK“, ohne sich durch alle Informationen zu arbeiten. Das Gericht verlangt jedoch klare, verständliche und umfassende Information im unmittelbaren Kontext der Einwilligung.

Zusammenfassend bewertet das BVwG die im Pay or OK-Modell eingeholte Einwilligung als nicht freiwillig und nicht spezifisch – und damit unwirksam. Ohne wirksame Einwilligung fehlt jedoch die Rechtsgrundlage für das umfangreiche Tracking, sodass die Verarbeitung personenbezogener Daten rechtswidrig war. Das Urteil stellt damit klar, dass der Kerngedanke der DSGVO – die echte, freie Wahl des Nutzers – auch im Online-Werbemodell nicht ausgehöhlt werden darf.

Rolle der DSGVO und EuGH-Rechtsprechung (Fashion ID, Planet49, Meta/Bundeskartellamt)

Das BVwG-Urteil fußt auf den Vorgaben der DSGVO und spiegelt wichtige Entscheidungen des Europäischen Gerichtshofs wider:

• Planet49 (EuGH, 2019, C-673/17): In diesem deutschen Vorlageverfahren entschied der EuGH, dass für das Setzen von nicht notwendigen Cookies eine aktive Einwilligung erforderlich ist und vorab angekreuzte Checkboxen unzulässig sind. Vor allem aber unterstrich das Urteil, dass eine Einwilligung „für den konkreten Fall“ erfolgen muss – Nutzer dürfen nicht durch gebündelte Abfragen zu einer pauschalen Zustimmung gedrängt werden. Die BVwG-Entscheidung zitiert Planet49 explizit und folgt dessen Linie, indem sie verlangt, dass für jeden Zweck eine eigene Einwilligung eingeholt werden muss. Damit wird die abstrakte Vorgabe der DSGVO (Art. 7 Abs. 2, ErwGr. 32) greifbar gemacht: Kombinierte Zustimmungen für unterschiedliche Zwecke sind unwirksam, weil die Freiheit der Wahl fehlt.
• Fashion ID (EuGH, 2019, C-40/17): Dieses Urteil betraf einen Online-Shop, der den Facebook-„Like“-Button eingebunden hatte, wodurch schon beim Seitenaufruf Daten an Facebook flossen. Der EuGH stellte fest, dass die Website gemeinsam mit Facebook verantwortlich für die Datenerhebung ist und somit auch dafür sorgen muss, dass eine gültige Rechtsgrundlage (wie Einwilligung) vorliegt. Im BVwG-Verfahren wurde diese Thematik relevant, weil Der Standard zahlreiche Drittanbieter-Skripte (Tracking-Pixel, Analytics etc.) einsetzt. Das Gericht betonte entsprechend, dass Der Standard auch für diese eingebundenen Dritttools mitverantwortlich ist. Es genügt also nicht, auf die Partner zu verweisen – der Webseitenbetreiber selbst muss sicherstellen, dass z.B. ein Facebook-Pixel erst nach gültiger Einwilligung Daten sammelt. Das Urteil unterstreicht damit die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, wie sie in Fashion ID definiert wurde.
• Meta vs. Bundeskartellamt (EuGH, 2023, C-252/21): In diesem vielbeachteten Verfahren ging es zwar primär um Wettbewerbsrecht, jedoch mit starkem Datenschutzbezug. Das deutsche Bundeskartellamt hatte Meta (Facebook) verboten, Nutzerdaten aus verschiedenen Quellen zusammenzuführen, ohne dafür eine freiwillige Einwilligung einzuholen. Meta hatte nämlich in seinen Nutzungsbedingungen de facto die Zustimmung zur umfassenden Datennutzung vorausgesetzt. Der EuGH bestätigte zum einen, dass Wettbewerbsbehörden Datenschutzverstöße berücksichtigen dürfen. Zum anderen – und das ist hier relevant – stellte er klar, dass Facebooks Praxis, die Nutzung des sozialen Netzwerks von einer Einwilligung in umfassendes Tracking abhängig zu machen, datenschutzrechtlich unzulässig ist, sofern diese Einwilligung nicht freiwillig erfolgen kann. Besonders hervorgehoben wurde, dass die marktbeherrschende Stellung von Meta ein wichtiger Aspekt ist: Wenn Nutzer praktisch keine Alternative zu Facebook haben, ist ihre Einwilligung in die Datenverarbeitung nicht wirklich freiwillig und damit unwirksam. Übertragen auf das Pay or OK-Modell bedeutet dies: Auch ohne formale Monopolstellung kann eine erzwungene Wahl zwischen Dienst und Datenschutz die Freiwilligkeit eliminieren. Der EuGH stellte zudem klar, dass eine Einwilligung für einen Dienst (z.B. Facebook) keine Generalvollmacht für die Nutzung aller möglichen Daten darstellt – Einwilligungen müssen zweckbezogen und begrenzt sein. Die Meta-Entscheidung zeigt also, dass die Kombination aus Nutzungszwang und umfassender Datenverarbeitung nicht mit der DSGVO vereinbar ist. Dieses Prinzip spiegelt sich im BVwG-Urteil deutlich wider.

Durch diese und weitere Entscheidungen zeichnet sich ein konsistentes Bild: Datenschutzrechtliche Einwilligung muss frei, spezifisch und informiert sein. Weder durch technische Tricks (Cookies ohne Opt-in), noch durch vertragliche Konstrukte (AGB-Zustimmungen), noch durch „Zahl oder Daten her“-Modelle darf dieses Prinzip umgangen werden. Das BVwG hat die EuGH-Rechtsprechung (Planet49, Fashion ID, u.a.) im nationalen Kontext angewandt und so die DSGVO-Vorgaben konkretisiert. Zugleich zeigt der Verweis auf Meta/Bundeskartellamt, dass selbst außerhalb reiner Datenschutzverfahren die Freiwilligkeit von Einwilligungen ein zentrales Thema ist – hier im Lichte von Marktmacht und Wettbewerb. Für Unternehmen bedeutet das: DSGVO-Compliance lässt sich nicht durch Geschäftsmodell-Argumente aushebeln. Weder „alle anderen machen es auch“ noch „wir finanzieren uns durch Werbung“ ändern etwas an den rechtlichen Anforderungen.

Bedeutung des Urteils für digitale Geschäftsmodelle und andere Anbieter

Das BVwG-Urteil hat über den Einzelfall hinaus große Signalwirkung für die Digitalwirtschaft. Erstmals wurde höchstgerichtlich (wenn auch auf Verwaltungsgerichtsebene) bestätigt, dass rein formale Einwilligungsabfragen ohne echte Wahlfreiheit nicht zulässig sind. Viele Online-Angebote – vor allem Medienhäuser, aber auch andere werbefinanzierte Dienste – setzen inzwischen auf Varianten des Pay or OK-Modells. In Deutschland etwa nutzen große Nachrichtenseiten wie Spiegel.de, Zeit.de, Heise.de oder T-Online.de solche Cookie-Paywalls. Auch Meta selbst bietet seinen Nutzern in Europa seit Ende 2023 die Wahl zwischen personalisierter Werbung und einem bezahlten werbefreien Abo für Facebook/Instagram. Die Entscheidung aus Wien dürfte all diese Akteure aufmerksam machen.

Für Verlage und Website-Betreiber bedeutet das Urteil, dass sie ihre Consent-Banner und Geschäftsmodelle kritisch prüfen müssen. Ein „weiter so“ mit trickreichen Cookie-Bannern birgt nun ein erhebliches rechtliches Risiko. Die Aufsichtsbehörden und Gerichte schauen zunehmend auf die Qualität der Einwilligung, nicht nur auf die Existenz eines „OK“-Buttons. Wer also auf Zwangszustimmungen oder Dark Patterns setzt, läuft Gefahr, dass diese Einwilligungen als ungültig bewertet werden – mit der Folge, dass sämtliche darauf gestützte Datenverarbeitungen illegal wären. Der Standard selbst hat nach dem Urteil angekündigt, sein System anzupassen und granulare Auswahlmöglichkeiten für die Nutzer einzuführen. Dies zeigt, dass Anbieter auf solche Entscheidungen reagieren müssen, um compliant zu bleiben.

Darüber hinaus entfacht das Urteil eine Debatte über die wirtschaftliche Notwendigkeit solcher Modelle. Laut einem noyb-Bericht stammen bei Medienhäusern im Schnitt nur etwa 10 % der Einnahmen aus digitaler Werbung und höchstens 5 % aus der Verarbeitung personenbezogener Daten. Die personalisierte Werbung bringt dem einzelnen Verlag also relativ wenig ein – der Großteil der Profite fließt an die Ad-Tech-Industrie (Google, Facebook & Co.). Umgekehrt sind die Preise für „datenschutzfreundliche“ Abos oft weit höher, als die Werbeerlöse pro Nutzer jemals wären. Diese Diskrepanz legt den Verdacht nahe, dass Pay-or-Consent-Modelle weniger der Kompensation von Werbeeinbußen dienen, als vielmehr dazu, Nutzern das Gefühl zu geben, sie müssten ihre Daten hergeben (weil das Alternativ-Abo überteuert ist). Das BVwG hat in seinem Urteil betont, dass die Bezahlvariante zumutbar und fair sein muss – andernfalls kann von einer freien Wahl keine Rede sein. Diese Vorgabe dürfte es den Anbietern erschweren, extreme Preisgestaltungen zur Abschreckung zu nutzen.

Auch andere Branchen schauen auf das Urteil: Jede Website, App oder Plattform, die auf Tracking und personalisierte Inhalte setzt, muss sicherstellen, dass die Nutzer dem freiwillig zustimmen. Die Entscheidung verdeutlicht, dass freiwillige Einwilligung kein bloßes Lippenbekenntnis ist, sondern tatsächlich gewährleistet werden muss. Dies könnte einen Umdenkprozess anstoßen: Weg von aufdringlichen Consent-Bannern hin zu nutzerfreundlicheren Modellen. Einige Alternativen zeichnen sich ab, etwa kontextuelle Werbung ohne Tracking – wie ein Experiment des niederländischen Rundfunks zeigte, lassen sich auch ohne personalisierte Profile Werbeeinnahmen erzielen, ohne dass Umsatzeinbußen eintraten. Sollte sich herausstellen, dass harte Paywalls (rein bezahlte Inhalte) oder kontextuelle Ads datenschutzkonform und wirtschaftlich nachhaltiger sind als die bisherigen Cookie-Walls, könnten mehr Anbieter diesen Weg einschlagen.

Nicht zuletzt hat das Urteil auch wettbewerbsrechtliche Implikationen. Das Meta/Bundeskartellamt-Verfahren zeigte, dass datenschutzwidrige Praktiken von dominanten Unternehmen als Missbrauch gewertet werden können. Wenn nun z.B. große Plattformen Nutzern eine ähnliche Wahl aufzwingen (Pay-or-OK bei Meta), könnten Wettbewerbsbehörden einschreiten, gestärkt durch den EuGH. Umgekehrt warnten Verlegerverbände bereits, ein Verbot von Pay-or-OK käme einem „Frontalangriff auf das Geschäftsmodell der Presse“ gleich. Hier prallen Pressefreiheit und Finanzierungsmodelle auf Datenschutzrechte. Das BVwG hat versucht, einen Mittelweg zu skizzieren: Das Modell ist nicht per se verboten, aber es gilt ein „hohes Schutzniveau“ – echte Wahlfreiheit, Granularität, Transparenz und Zumutbarkeit sind zwingend. Ob das praktisch umsetzbar ist (oder ob solche Modelle in der Praxis immer manipulative Zustimmungsraten erzeugen), bleibt abzuwarten.

Ausblick: Zukünftige Entwicklung, mögliche Revision und EuGH-Verfahren

Da es sich um eine noch nicht höchstgerichtlich entschiedene Rechtsfrage handelt, steht der weitere Instanzenzug offen. Der Standard kann gegen das BVwG-Erkenntnis Revision beim Verwaltungsgerichtshof (VwGH) einlegen. Das Medienhaus ließ verlauten, intern werde die Einlegung einer Revision geprüft. Es ist davon auszugehen, dass dieser Schritt erfolgt, zumal der Verlag sich grundsätzlich im Recht sieht („das Modell steht im Einklang mit der DSGVO“) und die Entscheidung bislang nur die Granularität betrifft. Der VwGH wiederum könnte den Europäischen Gerichtshof (EuGH) einschalten, um letztgültige Klarheit in unionsrechtlichen Fragen zu erlangen. Tatsächlich hält auch noyb es für „sehr wahrscheinlich“, dass Pay or OK am Ende dem EuGH vorgelegt wird.

Ein EuGH-Verfahren wäre wünschenswert, um einheitliche Maßstäbe in der EU zu schaffen. Derzeit existieren teils unterschiedliche Auffassungen: Während etwa die französische CNIL schon 2020 entschied, dass Cookie-Walls unvereinbar mit freier Einwilligung sind, sah die österreichische DSB 2019 zunächst kein Problem darin. Die deutsche Datenschutzkonferenz (DSK) hat 2021 unter Auflagen grünes Licht für Bezahl-Alternativen gegeben, nur um 2023 nachzulegen, dass Granularität und Fairness gewahrt bleiben müssen. Der EDSA (Europäische Datenschutzausschuss) befasst sich aktuell mit Leitlinien zu Pay-or-OK – im April 2024 forderte er z.B. Meta auf, neben den Optionen „Zustimmen oder Abo“ eine dritte, datensparsamere Gratis-Option anzubieten. Man erkennt: Die Regulierer tendieren dazu, die Daumenschrauben anzuziehen, da die bish erigen Modelle praktisch stets zu erzwungenen Zustimmungen führen.

Sollte der EuGH den Fall bekommen, stehen wichtige Fragen zur Entscheidung: Ist eine Einwilligung überhaupt noch „freiwillig“, wenn eine monetäre Barriere als Alternative besteht? Unter welchen genauen Bedingungen (Preishöhe, Ausgestaltung des Banners, etc.) könnte ein solches Modell DSGVO-konform sein – falls überhaupt? Denkbar ist, dass der EuGH einen strikten Kurs fährt und sagt: Wenn der Dienst an sich gratis angeboten wird, darf der Zugang nicht vom Einverständnis zu umfangreicher Datenverarbeitung abhängig gemacht werden (so argumentieren z.B. einige Datenschützer und Verbraucherverbände). In diesem Szenario wären Pay or OK-Modelle grundsätzlich unzulässig – was faktisch ein Ende der Cookie-Paywalls bedeuten würde. Alternativ könnte der EuGH gewisse Leitplanken setzen (ähnlich dem BVwG), unter denen eine gültige Einwilligung trotz Zahlungsalternative möglich ist. Dazu müssten aber die Hürden für Ablehnung deutlich geringer und die Information/Granularität deutlich besser sein als bisher üblich. Ob dann aber noch 99% der Nutzer „OK“ klicken würden, ist fraglich – womit der kommerzielle Anreiz für solche Modelle schwinden könnte.

Kurzfristig bedeutet das BVwG-Urteil vor allem, dass Webseitenbetreiber in Österreich ihre Cookie-Banner überprüfen und anpassen müssen. Der Standard selbst wird zumindest die granulare Opt-in-Möglichkeit einführen, um dem Spruch zu genügen. Ob dies genügt, um eine wirklich freie Wahl zu gewährleisten, bleibt umstritten – noyb etwa kritisiert, dass damit nur an der Oberfläche korrigiert wird, der grundsätzliche Druck aber bleibt. Langfristig könnte der Showdown vor dem EuGH kommen, der dann europaweit verbindlich entscheidet. Bis dahin heißt es für Nutzer, Anbieter und Datenschützer gleichermaßen: aufmerksam bleiben. Es zeichnet sich ab, dass das Prinzip „Privacy darf kein Luxusgut sein“ an Bedeutung gewinnt – oder wie ein NGO-Vertreter es formulierte: Datenschutz darf nicht davon abhängen, ob man es sich leisten kann.