Untätigkeit bei „Pay or OK“: noyb verklagt Datenschutzbehörden in NRW und Hessen

• „Pay or OK“-Beschwerden aus dem Jahr 2021

Hintergrund zu Pay or OK. Im August 2021 hat noyb zwei DSGVO-Beschwerden gegen die „Pay or OK“-Banner auf den Nachrichtenseiten faz.net und t-online.de eingebracht. Der Beschwerdeführer (und alle anderen Nutzern) musste sich damals entscheiden, den Webseiten entweder die Verarbeitung und Weitergabe von persönlichen Daten zu erlauben oder ein Bezahlabo abzuschließen. Die DSGVO besagt jedoch ausdrücklich, dass eine Einwilligung „freiwillig“ erteilt werden muss. Dennoch stimmen mehr als 99 % der Nutzer:innen Tracking zu, wenn sie mit „Pay or OK“-Bannern konfrontiert sind. Dabei wollen nur 3 bis 10 % der Menschen tatsächlich getrackt werden. In einem Verfahren gegen Meta hat  mittlerweile sogar die EU-Kommission diesen Ansatz für rechtswidrig erklärt.

Max Schrems, Vorstandsvorsitzender von noyb: „Privatsphäre- und Datenschutzrechte dürfen keinen Preis haben. Wenn 99,9 % etwas zustimmen, aber nur 3 % es wirklich wollen, hatten sie keine freie und echte Wahl. Leider wirkt diese offensichtliche Untätigkeit wie reiner politischer Unwille, die DSGVO gegenüber Medienunternehmen durchzusetzen.“

„Nicht-Entscheidung“ in NRW. Im August 2021 bestätigte die Datenschutzbehörde von Nordrhein-Westfalen, die Beschwerde gegen t-online.de erhalten zu haben. Mehr als ein Jahr später, im November 2022, kontaktierte die Behörde dann noyb, da sie die Beschwerde zwar auf noybs Website gesehen – aber nie erhalten habe. noyb antwortete rasch mit der Empfangsbestätigung vom Vorjahr. Es folgten einige Nachrichten und Versuche, endlich eine Entscheidung zu erwirken. Im Mai 2025 entschied die Behörde dann, dass sie noch keine Entscheidung treffen könne. Zwischen Einbringung und Nicht-Entscheidung lagen fast vier Jahre.

Jonas Breyer, Anwalt des Beschwerdeführers: „Es ist äußerst bedauerlich, dass die Datenschutzbehörden nach fast vier Jahren immer noch keine inhaltliche Entscheidung getroffen haben. Leider ist das kein Einzelfall. Man fragt sich, was die Behörden mit dem Geld der Steuerzahlenden eigentlich tun.“

Deutsche Effizienz – ein Mythos? Die hessische Datenschutzbehörde hat im Fall gegen faz.net unterdessen noch keine Entscheidung getroffen. Als Grund nannte sie die Komplexität des Falls und die Möglichkeit neuer Richtlinien in der Zukunft. Die niedersächsische Behörde traf jedoch trotz dieser potenziellen Unsicherheiten schon 2023 eine Entscheidung zu einer ähnlichen Beschwerde. Obwohl Deutschland für seine angeblich strenge Haltung zum Datenschutz bekannt ist, sind die Behörden in Wirklichkeit weitgehend zahnlos und scheinen sich zunehmend als „Business Enabler“ zu verstehen. Laut einer noyb-Analyse von EDSA-Statistiken zwischen 2018 und 2023 führten nur 1,26 % der Fälle vor deutschen Behörden zu einer Strafe. Die hessische Behörde hat im Jahr 2024 zum Beispiel nur 115 Abhilfemaßnahmen angeordnet, obwohl sie 3.839 Beschwerden erhalten hat.

Felix Mikolasch, Datenschutzjurist bei noyb: “Es ist offensichtlich, dass ‘Pay or OK’-Systeme keine Möglichkeit zur ‘freiwilligen’ Einwilligung bieten. Dennoch scheinen die Datenschutzbehörden in Hessen und NRW überhaupt kein Interesse daran zu haben, die DSGVO konsequent anzuwenden. Das ist höchst bedenklich.”

Klage gegen die Behörden. Der Beschwerdeführer in den Fällen gegen t-online.de und faz.net hat jetzt zwei Klagen bei den Verwaltungsgerichten Wiesbaden und Düsseldorf eingereicht. Sollten die Klagen erfolgreich sein, müssten die Behörden über die ursprünglichen Beschwerden entscheiden und dem Beschwerdeführer Recht geben.

Der Beschwerdeführer wird von Jonas Breyer von Breyer Legal vertreten.