Fast vier Jahre nach der Einreichung mehrerer Beschwerden gegen sogenannte „Pay or OK“-Modelle geht die Datenschutz-NGO noyb rechtlich gegen die Behörden in Nordrhein-Westfalen und Hessen vor. Hintergrund sind Verfahren aus dem August 2021, in denen noyb deutsche Nachrichtenseiten beschuldigte, unrechtmäßige Einwilligungsmodelle für personalisierte Werbung einzusetzen.
Dabei entscheiden sich laut Umfragen nur rund 3 bis 10 Prozent der Nutzer tatsächlich freiwillig für Tracking – bei „Pay or OK“-Systemen liegt die angebliche Zustimmung jedoch bei über 99 Prozent. Für noyb ein klarer Hinweis auf manipulatives Design.
Trotz dieser Bedenken und jahrelanger Bearbeitungszeit liegt in beiden Fällen bis heute keine inhaltliche Entscheidung der zuständigen Datenschutzbehörden vor. Besonders irritierend: Die Behörde in NRW legte jüngst eine zwölfseitige Begründung dafür vor, dass sie aktuell nicht entscheiden könne.
Wegen dieser aus Sicht von noyb unzumutbaren Verzögerung hat die Organisation nun Klage gegen beide Behörden eingereicht. Ziel sei es, den behördlichen Stillstand zu durchbrechen und klare rechtliche Rahmenbedingungen für Einwilligungsmodelle im Netz zu schaffen.
Hintergrund zu Pay or OK. Im August 2021 hat noyb zwei DSGVO-Beschwerden gegen die „Pay or OK“-Banner auf den Nachrichtenseiten faz.net und t-online.de eingebracht. Der Beschwerdeführer (und alle anderen Nutzern) musste sich damals entscheiden, den Webseiten entweder die Verarbeitung und Weitergabe von persönlichen Daten zu erlauben oder ein Bezahlabo abzuschließen. Die DSGVO besagt jedoch ausdrücklich, dass eine Einwilligung „freiwillig“ erteilt werden muss. Dennoch stimmen mehr als 99 % der Nutzer:innen Tracking zu, wenn sie mit „Pay or OK“-Bannern konfrontiert sind. Dabei wollen nur 3 bis 10 % der Menschen tatsächlich getrackt werden. In einem Verfahren gegen Meta hat mittlerweile sogar die EU-Kommission diesen Ansatz für rechtswidrig erklärt.
Max Schrems, Vorstandsvorsitzender von noyb: „Privatsphäre- und Datenschutzrechte dürfen keinen Preis haben. Wenn 99,9 % etwas zustimmen, aber nur 3 % es wirklich wollen, hatten sie keine freie und echte Wahl. Leider wirkt diese offensichtliche Untätigkeit wie reiner politischer Unwille, die DSGVO gegenüber Medienunternehmen durchzusetzen.“
„Nicht-Entscheidung“ in NRW. Im August 2021 bestätigte die Datenschutzbehörde von Nordrhein-Westfalen, die Beschwerde gegen t-online.de erhalten zu haben. Mehr als ein Jahr später, im November 2022, kontaktierte die Behörde dann noyb, da sie die Beschwerde zwar auf noybs Website gesehen – aber nie erhalten habe. noyb antwortete rasch mit der Empfangsbestätigung vom Vorjahr. Es folgten einige Nachrichten und Versuche, endlich eine Entscheidung zu erwirken. Im Mai 2025 entschied die Behörde dann, dass sie noch keine Entscheidung treffen könne. Zwischen Einbringung und Nicht-Entscheidung lagen fast vier Jahre.
Jonas Breyer, Anwalt des Beschwerdeführers: „Es ist äußerst bedauerlich, dass die Datenschutzbehörden nach fast vier Jahren immer noch keine inhaltliche Entscheidung getroffen haben. Leider ist das kein Einzelfall. Man fragt sich, was die Behörden mit dem Geld der Steuerzahlenden eigentlich tun.“
Deutsche Effizienz – ein Mythos? Die hessische Datenschutzbehörde hat im Fall gegen faz.net unterdessen noch keine Entscheidung getroffen. Als Grund nannte sie die Komplexität des Falls und die Möglichkeit neuer Richtlinien in der Zukunft. Die niedersächsische Behörde traf jedoch trotz dieser potenziellen Unsicherheiten schon 2023 eine Entscheidung zu einer ähnlichen Beschwerde. Obwohl Deutschland für seine angeblich strenge Haltung zum Datenschutz bekannt ist, sind die Behörden in Wirklichkeit weitgehend zahnlos und scheinen sich zunehmend als „Business Enabler“ zu verstehen. Laut einer noyb-Analyse von EDSA-Statistiken zwischen 2018 und 2023 führten nur 1,26 % der Fälle vor deutschen Behörden zu einer Strafe. Die hessische Behörde hat im Jahr 2024 zum Beispiel nur 115 Abhilfemaßnahmen angeordnet, obwohl sie 3.839 Beschwerden erhalten hat.
Felix Mikolasch, Datenschutzjurist bei noyb: “Es ist offensichtlich, dass ‘Pay or OK’-Systeme keine Möglichkeit zur ‘freiwilligen’ Einwilligung bieten. Dennoch scheinen die Datenschutzbehörden in Hessen und NRW überhaupt kein Interesse daran zu haben, die DSGVO konsequent anzuwenden. Das ist höchst bedenklich.”
Klage gegen die Behörden. Der Beschwerdeführer in den Fällen gegen t-online.de und faz.net hat jetzt zwei Klagen bei den Verwaltungsgerichten Wiesbaden und Düsseldorf eingereicht. Sollten die Klagen erfolgreich sein, müssten die Behörden über die ursprünglichen Beschwerden entscheiden und dem Beschwerdeführer Recht geben.
Der Beschwerdeführer wird von Jonas Breyer von Breyer Legal vertreten.
Fachartikel
Unsicherer Systemstart: Sicherheitslücke in initramfs erlaubt Umgehung von Linux-Bootschutz
SAP Patch Day: Juli 2025
Zweifelhafte Datensätze im Dark Web: Warum Combolists und ULP-Dateien oft keine verlässlichen Hinweise auf Sicherheitsvorfälle liefern
Ransomware-Gruppe BERT attackiert Unternehmen in Asien und Europa auf breiter Front
Streamen Sie Red Sift-Telemetriedaten an Sentinel, Splunk und mehr mit Event Hub
Studien
WatchGuard Internet Security Report: Einzigartige Malware steigt um 171 Prozent – KI-Boom treibt Bedrohungen voran
Zwei Drittel der EU-Institutionen erfüllen grundlegende Cybersicherheitsstandards nicht
Splunk-Studie: Datenflut bedroht Sicherheit und bremst KI – Deutsche Unternehmen im Spannungsfeld von Informationsexplosion und Compliance
Neue CSC-Umfrage: Überwältigende Mehrheit der CISOs rechnet in den nächsten drei Jahren mit einem Anstieg der Cyberangriffe
Accenture-Studie: Unternehmen weltweit kaum gegen KI-basierte Cyberangriffe gewappnet
Whitepaper
ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen
CISA und US-Partner warnen kritische Infrastrukturen vor möglichen Cyberangriffen aus dem Iran
Dating-Apps: Intime Einblicke mit Folgen
Europol-Bericht warnt vor KI-Vorurteilen in der Strafverfolgung – Leitfaden für verantwortungsvollen Technologieeinsatz veröffentlicht
