Aristotelis Zervos
Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.
Cookie-Banner gehören längst zum Alltag, doch ihre rechtliche Zulässigkeit bleibt umstritten. Besonders brisant ist die Frage, ob sogenannte „Pay or Okay“-Modelle mit der DSGVO vereinbar sind. Dabei handelt es sich um die Wahl zwischen Einwilligung in weitreichende Datenverarbeitungen oder einem kostenpflichtigen Abo. Mit seinem Urteil vom 13.08.2025 hat das österreichische Bundesverwaltungsgericht (BVwG) hierzu erstmals eine klare Linie gezogen. Die Entscheidung betrifft nicht nur Medienhäuser, sondern alle Unternehmen, die auf digitale Werbefinanzierung setzen.
Hintergrund des Verfahrens
Das Verfahren nahm seinen Ausgang in einer von noyb – Europäisches Zentrum für digitale Rechte eingebrachten Beschwerde im Namen eines betroffenen Nutzers. Gegenstand der Beschwerde war die Frage, ob die von derStandard.at praktizierte Kombination aus Cookie-Banner und PUR-Abomodell („Pay or Okay“) eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten bietet.
Der Vorwurf von noyb: „Anstatt den Nutzern eine echte Wahl zu geben, können diese entweder ein monatliches Abonnement zu einem Preis von derzeit 9,90 € abschließen oder dem Online-Tracking durch hunderte Drittanbieter zustimmen.“
Die Datenschutzbehörde (DSB) hatte im erstinstanzlichen Verfahren einige Beanstandungen übernommen, gleichzeitig jedoch zentrale Anträge, insbesondere zum Verbot der Verarbeitung, nicht oder nur eingeschränkt behandelt. Dies führte zu einer Beschwerde an das BVwG, das die Sach- und Rechtslage umfassend prüfen sollte.
Das BVwG musste sich dabei nicht nur mit der Zulässigkeit von Cookies und Tracking-Technologien, sondern auch mit den Grundsatzfragen der Freiwilligkeit von Einwilligungen und der Legitimität von „Consent or Pay“ bzw.„Pay or Okay“-Modellen auseinandersetzen. Damit befand sich das Verfahren an der Schnittstelle zwischen Medienfinanzierung, digitaler Werbewirtschaft und europäischem Datenschutzrecht.
Unzulässigkeit der Cookie-Verarbeitung
Das BVwG widmete sich in seiner Entscheidung ausführlich den von derStandard.at gesetzten Cookies und den damit verbundenen Datenverarbeitungen. Es stellte klar, dass bereits das bloße Speichern oder Auslesen von Cookies personenbezogene Daten wie IP‑Adresse, Browserinformationen oder eindeutige Kennungen umfasst und daher den Anforderungen der DSGVO unterliegt.
Zentral bemängelte das Gericht, dass diese Verarbeitungen auch ohne eine wirksame und spezifische Einwilligung der Nutzer erfolgten. Eine bloße Zustimmung über den initialen Cookie‑Banner reichte nicht aus, weil weder eine informierte Entscheidung noch eine zweckdifferenzierte Auswahlmöglichkeit gegeben war. Nach Auffassung des BVwG liegt darin ein klarer Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO.
Das Gericht folgte damit im Ergebnis der DSB, die bereits zu dem Schluss gekommen war, dass keine gültige Einwilligung vorlag. Es wies die Beschwerde der Medieninhaberin ab, soweit diese eine Rechtmäßigkeit der Verarbeitungen behauptet hatte. Hervorgehoben wurde insbesondere, dass “technisch nicht notwendige” Cookies, etwa für Tracking oder Werbezwecke, keinesfalls ohne ausdrückliche Zustimmung gesetzt werden dürfen.
Darüber hinaus betonte das BVwG die Verpflichtung zur umfassenden Information: Nutzer müssen klar erkennen können, welche Daten zu welchen Zwecken verarbeitet werden, welche Drittanbieter beteiligt sind und welche Folgen eine Ablehnung hat. Ein pauschaler Hinweis auf “Verbesserung des Nutzererlebnisses” oder ähnliche Formeln ist nicht ausreichend.
Die Feststellungen des Gerichts zeigen, dass es nicht nur um die formale Abgabe einer Einwilligung ging, sondern um die Qualität und Wirksamkeit dieser Zustimmung. Damit reiht sich das Urteil in die bisherige Rechtsprechung des EuGH (z. B. Planet49) ein und konkretisiert die Anforderungen im österreichischen Kontext.
Anforderung an Einwilligung
Das BVwG arbeitete sehr detailliert heraus, was die DSGVO und die EuGH-Rechtsprechung an eine gültige Einwilligung stellen. Es genügt nicht, wenn Nutzer mit einem einzigen Klick umfassend allen möglichen Zwecken zustimmen. Vielmehr muss die Einwilligung informiert, spezifisch, freiwillig und eindeutig erfolgen.
Das Gericht betonte insbesondere:
- Zwecktrennung: Für jeden Verarbeitungszweck – etwa Webanalyse, personalisierte Werbung, Social-Media-Plug-ins – ist ein eigener Opt‑In erforderlich. Eine “Generaleinwilligung” widerspricht Art. 6 und 7 DSGVO.
- Transparenz: Nutzer müssen in klarer, verständlicher Sprache vorab erfahren, welche Daten verarbeitet werden, mit welchen Mitteln, durch welche Verantwortlichen und zu welchem Zweck. Vage Formeln wie “Verbesserung des Nutzererlebnisses” genügen nicht.
- Widerrufbarkeit: Eine Einwilligung muss jederzeit so einfach widerrufen werden können wie sie erteilt wurde.
- Dokumentationspflicht: Der Verantwortliche trägt die Beweislast dafür, dass eine wirksame Einwilligung vorliegt.
Das BVwG verwies in diesem Zusammenhang auf die EuGH-Entscheidungen Planet49 (C-673/17) und TC-String (C-604/22). Beide Urteile verdeutlichen, dass ein “Alles-oder-nichts”‑Modell den Anforderungen an Freiwilligkeit und Granularität nicht gerecht wird. Die österreichische Rechtsprechung übernimmt diese Maßstäbe und verlangt, dass Nutzer eine echte Wahlfreiheit über die einzelnen Datenverarbeitungen haben.
Lese-Tipp: Muss Cookie-Banner auch “Alles ablehnen”-Option enthalten?
„Pay or Okay“: Unzulässigkeit der Cookie-Verarbeitung
Das BVwG widmete sich in seiner Entscheidung ausführlich den von derStandard.at gesetzten Cookies und den damit verbundenen Datenverarbeitungen. Es stellte klar, dass bereits das bloße Speichern oder Auslesen von Cookies personenbezogene Daten wie IP‑Adresse, Browserinformationen oder eindeutige Kennungen umfasst und daher den Anforderungen der DSGVO unterliegt.
Zentral bemängelte das Gericht, dass diese Verarbeitungen auch ohne eine wirksame und spezifische Einwilligung der Nutzer erfolgten. Eine bloße Zustimmung über den initialen Cookie‑Banner reichte nicht aus, weil weder eine informierte Entscheidung noch eine zweckdifferenzierte Auswahlmöglichkeit gegeben war. Nach Auffassung des BVwG liegt darin ein klarer Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO.
Das Gericht folgte damit im Ergebnis der DSB, die bereits zu dem Schluss gekommen war, dass keine gültige Einwilligung vorlag. Es wies die Beschwerde der Medieninhaberin ab, soweit diese eine Rechtmäßigkeit der Verarbeitungen behauptet hatte. Hervorgehoben wurde insbesondere, dass “technisch nicht notwendige” Cookies, etwa für Tracking oder Werbezwecke, keinesfalls ohne ausdrückliche Zustimmung gesetzt werden dürfen.
Darüber hinaus betonte das BVwG die Verpflichtung zur umfassenden Information: Nutzer müssen klar erkennen können, welche Daten zu welchen Zwecken verarbeitet werden, welche Drittanbieter beteiligt sind und welche Folgen eine Ablehnung hat. Ein pauschaler Hinweis auf “Verbesserung des Nutzererlebnisses” oder ähnliche Formeln ist nicht ausreichend.
Die Feststellungen des Gerichts zeigen, dass es nicht nur um die formale Abgabe einer Einwilligung ging, sondern um die Qualität und Wirksamkeit dieser Zustimmung. Damit reiht sich das Urteil in die bisherige Rechtsprechung des EuGH (z. B. Planet49) ein und konkretisiert die Anforderungen im österreichischen Kontext.
Bewertung des „Pay or Okay“-Modells
Das BVwG stellt klar: „Pay or Okay“ ist kein Freibrief für umfassendes Tracking. Die Freiwilligkeit der Einwilligung ist im Einzelfall zu prüfen (Art. 4 Nr. 11, Art. 7 DSGVO; ErwGr. 32, 42, 43). Maßgeblich ist, ob Nutzer eine reale, nicht‑druckvolle Alternative zur Datenverarbeitung haben und ob die Einwilligung spezifisch je Zweck ausgestaltet ist.
Prüfungsmaßstab des Gerichts:
- Echte Wahlfreiheit statt faktischer Zwang
Keine Ausgestaltung, die Nutzer faktisch dazu drängt, „Einverstanden“ zu klicken (z. B. übermäßiger Friktions‑/Zeitaufwand, versteckte Ablehnpfade, visuelles Nudging). Ablehn‑ und Zustimmungsoptionen müssen gleichwertig zugänglich sein (UI‑Symmetrie, keine Irreführung). - Zweck‑Granularität auch bei Pay‑Alternative
Ein Abo‑Pfad ersetzt nicht die Pflicht zur zweckbezogenen Einwilligung. Es bleibt unzulässig, mehrere Zwecke zu bündeln („Generaleinwilligung“). - Transparenz und Informiertheit
Klare, verständliche Information zu Datenkategorien, Empfängern/Drittanbietern, Zwecken, Speicherdauer und Folgen der Ablehnung. - Fairness der Alternativleistung („Pay“)
Die Bezahlvariante muss ernsthaft und zumutbar sein (keine prohibitive Preisgestaltung, kein verstecktes „Lock‑in“, keine funktionale Degradierung). - Datensparsamkeit & Zweckbindung
Auch bei erteilter Einwilligung dürfen nur zweckerforderliche Daten verarbeitet werden. Darüber hinausgehendes Tracking ist unzulässig.
Anwendung auf das PUR‑/„Pay or Okay“-Modell von derStandard.at:
Das Gericht erkennt die grundsätzliche Zulässigkeit von Pay‑Alternativen, beanstandet aber die konkrete Implementierung:
- Die Einwilligung war nicht granular; mehrere Zwecke wurden faktisch zusammengefasst.
- Die Ablehnung war mit deutlich höherer Friktion verbunden als die Zustimmung (UI‑/Flow‑Asymmetrie), wodurch Druck zur Einwilligung entstand.
- Die Informationslage im Banner/Flow war unzureichend. Nutzer konnten Reichweite und Konsequenzen der Verarbeitung nicht hinreichend überblicken.
- Die Bezahlalternative war nicht als vollwertige, faire Option ausgestaltet (u. a. wegen Ausgestaltung des Bestellpfads und der Kopplung an pauschale Zweckpakete).
Rechtliche Konsequenz:
Mangels freiwilliger und zweckbezogener Einwilligung gilt die Verarbeitung für nicht notwendige Zwecke als rechtswidrig. Das BVwG bestätigt: „Pay or Okay“ bleibt möglich, verlangt aber ein hohes Schutzniveau. Insbesondere echte Wahlfreiheit, fein granulare Opt‑Ins, transparente Informationen und eine zumutbare, gleichwertige Bezahlalternative.
Rechte der betroffenen Personen
Das BVwG stellte klar, dass betroffene Personen nach der DSGVO ein breites Instrumentarium an Rechten haben, die auch über individuelle Beschwerden hinausreichen. So können sie nicht nur Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen. Gestützt auf Art. 80 DSGVO können sie auch eine Vertretung durch Einrichtungen wie NGOs in Anspruch nehmen.
Im vorliegenden Verfahren bestätigte das Gericht, dass noyb die Beschwerde wirksam im Namen des Betroffenen einreichen konnte. Der Einwand der Gegenseite, dies stelle einen Rechtsmissbrauch dar, wurde ausdrücklich verworfen. Damit stärkte das BVwG die Rolle von zivilgesellschaftlichen Organisationen bei der Durchsetzung datenschutzrechtlicher Ansprüche.
Das Urteil verdeutlicht, dass Betroffene nicht allein auf ihre individuellen Ressourcen angewiesen sind, sondern die Unterstützung durch spezialisierte Einrichtungen nutzen können. Dies soll sicherstellen, dass auch komplexe oder strukturelle Datenschutzverstöße effektiv verfolgt werden können.
Finale Klärung von „Pay or Okay“ vor EuGH?
Gegen das Urteil ist eine Revision zum Verwaltungsgerichtshof (VwGH) möglich Zudem ist eine Vorlage an den EuGH nicht ausgeschlossen. Damit bleibt die unionsrechtliche Einordnung, insbesondere zu Anforderungen an Freiwilligkeit und Zweck‑Granularität bei „Pay or Okay“, potenziell weiter klärungsfähig.
Bedeutung für Praxis und Unternehmen
Das Urteil geht weit über den Einzelfall hinaus und hat Signalwirkung für eine Vielzahl von Branchen, die auf Online-Werbung, Tracking und Abo-Modelle setzen. Es verdeutlicht, dass rein formale Einwilligungen ohne echte Wahlfreiheit nicht mehr tragfähig sind und dass Aufsichtsbehörden wie auch Gerichte die Qualität der Einwilligungsprozesse intensiv prüfen.
Für Medienunternehmen bedeutet dies, dass sie nicht nur ihre Cookie-Banner, sondern auch sämtliche hybriden Finanzierungsmodelle überprüfen und neu gestalten müssen. PUR- oder „Consent or Pay“-Angebote müssen künftig so ausgestaltet sein, dass sie eine faire, zumutbare Alternative zur Datenverarbeitung bieten, ohne faktischen Zwang zur Zustimmung auszuüben.
Consent-Management-Plattformen stehen vor der Aufgabe, differenzierte, zweckgebundene Opt-in-Möglichkeiten technisch und nutzerfreundlich bereitzustellen. Sie müssen Interfaces entwickeln, die Ablehnung und Zustimmung gleichwertig darstellen und die Granularität der Einwilligungen transparent machen.
Aufsichtsbehörden erhalten mit diesem Urteil eine klare Leitlinie: Beschwerden sind umfassend zu prüfen, Anträge auf Verarbeitungsverbote ernsthaft zu würdigen und die Vorgaben des EuGH in nationalen Verfahren konsequent umzusetzen.
Schließlich zeigt das Urteil auch für die Compliance-Praxis in Unternehmen, dass datenschutzkonforme Geschäftsmodelle künftig noch stärker auf echte Wahlfreiheit, Transparenz und Nachweisbarkeit setzen müssen. Dies betrifft nicht nur Medienhäuser, sondern auch E-Commerce, Plattformbetreiber und App-Entwickler, die vergleichbare Modelle nutzen.
Wir unterstützen bei der der Umsetzung rechtskonformer Consent-Strategien
Insgesamt schiebt das Urteil rechtlichen Grauzonen einen Riegel vor und gibt eine klare Richtung für künftige Geschäftsmodelle im digitalen Raum vor. Unternehmen sollten diesen Trend ernst nehmen und frühzeitig in datenschutzkonforme Lösungen investieren.
Quelle: Urteil des österreichischen Bundesverwaltungsgerichts vom 13.08.2025 (W 291 2272970 1/30E)
Wenn Sie Unterstützung bei der Umsetzung rechtskonformer Consent-Strategien und „Pay or Okay“-Modelle benötigen, sprechen Sie uns an. Mit Ailance® bieten wir die perfekte Lösung an, die Nutzerfreundlichkeit und rechtliche Sicherheit verbindet.
Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.
German 
English 
Italian 
French