Besuchen Sie heute fast jede europäische Website, und Sie stoßen auf eine Mauer, bevor Sie auch nur ein Wort des Inhalts sehen. Keine Paywall im herkömmlichen Sinne, sondern etwas Seltsameres: ein „Zustimmen oder zahlen“-Banner[s], das Sie vor die Wahl stellt, entweder in invasive Werbe-Tracking einzuwilligen oder Ihre Kreditkarte zu zücken. Der Chef bat uns, zu untersuchen, wie das legal wurde – und ehrlich gesagt, ist die Antwort noch ärgerlicher als die Banner selbst.
Was „Zustimmen oder zahlen“ wirklich bedeutet
Das Modell ist einfach. Eine Website blockiert den Zugang zu ihren Inhalten und präsentiert zwei Schaltflächen: „Akzeptieren“ (was Tracking-Cookies, Verhaltensprofiling und zielgerichtete Werbung aktiviert) oder „Abonnieren“ (was bedeutet, eine monatliche Gebühr, oft zwischen drei und dreizehn Euro, zu zahlen, um ohne Tracking zu surfen). Es gibt keine dritte Option. Ihre Privatsphäre hat einen Preis.
Die Datenschutzorganisation noyb fand heraus, dass diese „Zustimmen oder zahlen”-Systeme konsequent Einwilligungsraten von 99 bis 99,9 Prozent liefern[s], während Studien zeigen, dass nur 0,16 bis 7 Prozent der Menschen tatsächlich getrackt werden möchten. Diese Lücke erzählt die ganze Geschichte: Fast niemand wählt das „Zustimmen oder zahlen”-Modell, weil er es will. Die Menschen wählen es, weil die Alternative Geld kostet, das sie nicht für eine Website ausgeben möchten, die sie vielleicht nur einmal besuchen.
Wie sind wir von 2010 hierher gekommen?
2010 sah das Internet noch ganz anders aus. Cookies gab es natürlich schon. Sie existierten seit Mitte der 1990er Jahre, erfunden als einfacher Mechanismus, damit Webserver einen Browser von einem anderen unterscheiden können[s]. Man konnte sie jederzeit löschen. Es gab keine Pop-ups, die um Ihre Einwilligung bettelten, keine Paywalls, die an Ihre Datenschutzpräferenzen geknüpft waren. Man surfte einfach.
Die Probleme begannen mit guten Absichten. Die EU-ePrivacy-Richtlinie, ursprünglich 2002 verabschiedet und 2009 geändert[s], führte die Pflicht ein, dass Websites vor dem Setzen nicht essenzieller Cookies eine Einwilligung einholen müssen. Das Ziel war, Menschen vor unsichtbarem Tracking zu schützen. Das Ergebnis war die erste Welle von Cookie-Bannern, die zwar lästig waren, aber zumindest eine echte Ja-oder-Nein-Entscheidung boten.
Dann kam 2018 die Datenschutz-Grundverordnung (DSGVO), die die Einwilligungsanforderungen weiter verschärfte. Websites durften nicht länger ein vorangekreuztes „Ich stimme zu“-Kästchen in ihren Nutzungsbedingungen verstecken. Die Einwilligung musste freiwillig, spezifisch, informiert und eindeutig sein. Auf dem Papier war das ein Fortschritt. In der Praxis löste es einen Wettlauf zwischen Aufsichtsbehörden, die strengere Regeln schrieben, und Unternehmen aus, die kreative Wege fanden, diese zu umgehen.
Das Modell „Zustimmen oder zahlen” war der neueste kreative Umweg. Zeitungen in Österreich und Deutschland gingen damit voran, und im November 2023 übernahm Meta diesen Ansatz für Facebook und Instagram in ganz Europa, nachdem der Europäische Gerichtshof signalisiert hatte, dass die Einwilligung die einzige rechtmäßige Grundlage[s] für zielgerichtete Werbung sei.
Ist das überhaupt legal?
Das kommt darauf an, wen Sie fragen – und wie groß Ihr Unternehmen ist. Im April 2024 veröffentlichte der Europäische Datenschutzausschuss (EDSA) Stellungnahme 08/2024[s], in der es heißt, dass für große Online-Plattformen das Zustimmen-oder-zahlen-Modell „in den meisten Fällen“ nicht mit den DSGVO-Anforderungen an eine gültige Einwilligung vereinbar sei. Die EDSA-Vorsitzende brachte es auf den Punkt: „Verantwortliche sollten stets vermeiden, das Grundrecht auf Datenschutz in ein Feature zu verwandeln, für das Nutzer:innen zahlen müssen, um es zu genießen.“
Speziell für Meta ging die Europäische Kommission noch weiter. Im April 2025 verhängte sie eine Strafe von 200 Millionen Euro[s] gegen Meta wegen Verstoßes gegen den Digital Markets Act (DMA) mit dem Zustimmen-oder-zahlen-Modell. Die Begründung der Kommission war klar: Ein kostenpflichtiger Dienst könne keine gleichwertige Alternative zu einem historisch kostenlosen Dienst sein[s], da die Zugangsbedingungen grundlegend unterschiedlich seien.
Doch hier liegt der Haken: Das bedeutet nicht, dass das Zustimmen-oder-zahlen-Modell generell verboten ist. Kleinere Verlage und Nachrichtenwebsites nutzen es weiterhin, und einige nationale Aufsichtsbehörden in Österreich, Frankreich und den Niederlanden haben signalisiert, dass es akzeptabel sein könnte, wenn es fair umgesetzt wird – mit angemessenen Preisen und ohne manipulatives Design. Die EDSA-Stellungnahme zielte speziell auf große Plattformen ab, und umfassendere Leitlinien sind noch in Arbeit.
Können wir zum Internet von 2010 zurückkehren?
Eher nicht. Die Tracking-Infrastruktur, die das Zustimmen-oder-zahlen-Modell profitabel macht, existierte 2010 noch nicht. Heute nimmt praktisch jeder Website-Betreiber, jede mobile App und jede Werbemarke an Echtzeit-Bietverfahren[s] für personalisierte Werbung teil. Dieses Ökosystem generiert Einnahmen, die das kostenlose Internet, wie wir es kennen, finanzieren. Es abzubauen, würde entweder ein neues Geschäftsmodell für Online-Inhalte oder ein Maß an Regulierung erfordern, das es noch nicht gibt.
Der Vorschlag der EU für ein Digitales Omnibus-Gesetz, veröffentlicht im November 2025, versucht, die Schmerzen zu lindern. Es würde die Cookie-Regeln vollständig in den DSGVO-Rahmen überführen, browserbasierte Einwilligungssignale einführen[s], sodass Sie Ihre Präferenzen einmal festlegen und Websites diese automatisch respektieren, und eine sechsmonatige Sperrfrist nach einer Ablehnung[s] einführen. Doch die Kommission räumt selbst ein, dass die Cookie-Banner-Müdigkeit ein Problem ist, dessen Lösung „längst überfällig“[s] ist. Juristische Analysen sagen, dass das lang ersehnte Ende der Cookie-Banner noch nicht in Sicht ist[s].
Das browserbasierte System klingt vielversprechend, aber die technischen Standards existieren noch nicht und werden voraussichtlich frühestens 2028 verbindlich sein. Selbst der optimistische Zeitplan sieht eine vollständige Umsetzung des Digitalen Omnibus erst 2027 vor.
Was das für Sie bedeutet
Vorläufig stecken Sie bei vielen europäischen Websites mit Zustimmen-oder-zahlen-Bannern fest. Der beste praktische Rat: Nutzen Sie einen Browser, der Drittanbieter-Cookies standardmäßig blockiert (Firefox und Safari tun das bereits), installieren Sie einen Content-Blocker und bedenken Sie, dass ein Klick auf „Akzeptieren“ bei einer Zustimmen-oder-zahlen-Wand bedeutet, dass Sie der Profilbildung für Werbezwecke im gesamten Web zustimmen. Wenn eine Website Sie nicht ohne Tracking oder Bezahlung einlässt, fragen Sie sich, ob der Inhalt wirklich einen der beiden Preise wert ist.
Das Internet von 2010 kommt nicht zurück. Aber das Internet von 2028 könnte marginal weniger feindselig sein – wenn die EU zu Ende bringt, was sie begonnen hat.
Das Zustimmen-oder-zahlen-Modell, manchmal auch „Pay or Okay“ genannt, stellt den jüngsten und wohl ausgefeiltesten Versuch dar, die Einwilligungsanforderungen der DSGVO mit den wirtschaftlichen Realitäten werbefinanzierter digitaler Veröffentlichungen in Einklang zu bringen. Die Person, die diese Publikation leitet, wollte von uns wissen, wie dieser Mechanismus rechtlich tragfähig wurde – und die regulatorische Archäologie offenbart ein System, das niemand absichtlich entworfen hat.
Zustimmen oder zahlen: regulatorische Ursprünge
Das rechtliche Gerüst beginnt mit der ePrivacy-Richtlinie von 2002, die 2009 geändert wurde[s] und die Cookie-Regulierung von einem Opt-out- zu einem Opt-in-System verschob. Artikel 5NATO-Klausel für kollektive Verteidigung im Nordatlantikvertrag. Besagt, dass ein bewaffneter Angriff auf einen Mitgliedstaat als Angriff auf alle gilt und eine kollektive Militärantwort auslöst. Absatz 3 der geänderten Richtlinie verlangte eine vorherige informierte Einwilligung für alle nicht essenziellen Cookies. Die Umsetzung war in den Mitgliedstaaten uneinheitlich, und die Wechselwirkung der Richtlinie mit der 2018 in Kraft getretenen DSGVO schuf ein Doppelregulierungsproblem: Cookie-Platzierung wurde durch die ePrivacy-Richtlinie geregelt, die Verarbeitung personenbezogener Daten durch die DSGVO – mit sich überschneidenden, aber nicht identischen Einwilligungsanforderungen.
Das Zustimmen-oder-zahlen-Modell entstand aus dieser regulatorischen Lücke. Verlage, die mit sinkenden Werbeeinnahmen und steigenden Compliance-Kosten konfrontiert waren, erkannten, dass die DSGVO-Einwilligung nach Artikel 6 Absatz 1 Buchstabe a, sofern sie eingeholt wurde, die sauberste rechtliche Grundlage für verhaltensbasierte Werbung bot. Die Frage war, wie man die Einwilligungsraten maximieren konnte, ohne gegen die Anforderung der „Freiwilligkeit“ nach Artikel 4 Absatz 11 zu verstoßen. Österreichische und deutsche Nachrichtenverlage entwickelten das binäre Modell: Einwilligung in Tracking oder Zahlung einer Abonnementgebühr. Der Ansatz verbreitete sich schnell, und bis Ende 2023 hatte Meta ihn für Facebook und Instagram im gesamten Europäischen Wirtschaftsraum übernommen.
Die Reaktion von EuGH und EDSA
Der rechtliche Gegenwind kam auf zwei Ebenen. Erstens urteilte der Europäische Gerichtshof (EuGH) im Juli 2023 in der Rechtssache C-252/21 (Meta Platforms gegen Bundeskartellamt), dass die Einwilligung die einzige angemessene rechtliche Grundlage für Metas verhaltensbasierte Werbung sei[s], die auf Tracking und Profiling beruht. Das Urteil zerstörte Metas aufeinanderfolgende Versuche, sich auf vertragliche Notwendigkeit (Artikel 6 Absatz 1 Buchstabe b) oder berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f) zu stützen, und zwang das Unternehmen effektiv zu einer einwilligungsbasierten Verarbeitung. Der Datenschutzaktivist Max Schrems bezeichnete es als „DSGVO-Schmelztag für Meta“[s] und argumentierte, das Gericht habe alle Schlupflöcher geschlossen, für die Metas Anwälte fünf Jahre lang gekämpft hätten.
Zweitens verabschiedete der EDSA im April 2024 die Stellungnahme 08/2024[s], die sich direkt mit dem Zustimmen-oder-zahlen-Modell befasste. Der Ausschuss kam zu dem Schluss, dass für große Online-Plattformen eine binäre Wahl zwischen der Einwilligung in verhaltensbasierte Werbung und der Zahlung einer Gebühr „in den meisten Fällen“ nicht ausreicht, um die DSGVO-Anforderungen an eine gültige Einwilligung zu erfüllen. Die Stellungnahme legte vier Kriterien an: Bedingtheit, Nachteil, Machtungleichgewicht und Granularität. Bei jedem dieser Punkte standen große Plattformen mit dominanter Marktposition und gefangener Nutzerbasis vor nahezu unüberwindbaren Hürden, um eine freiwillig erteilte Einwilligung nachzuweisen.
Der EDSA empfahl, dass Plattformen eine „gleichwertige Alternative“ anbieten sollten, die keine Zahlung erfordert, wie etwa kontextbezogene WerbungOnline-Werbung, die auf dem Inhalt einer Webseite basiert und nicht auf Nutzertracking oder Verhaltensdaten. mit minimaler Verarbeitung personenbezogener Daten. Dies war kein pauschales Verbot des Zustimmen-oder-zahlen-Modells; kleinere Verlage ohne Marktmacht könnten die Kriterien möglicherweise erfüllen. Doch die Stellungnahme setzte eine klare Richtung.
Die DMA-Dimension und Metas 200-Millionen-Euro-Strafe
Die Europäische Kommission griff das Zustimmen-oder-zahlen-Modell aus einem anderen Winkel an: dem Wettbewerbsrecht. Im April 2025 verhängte die Kommission eine Strafe von 200 Millionen Euro[s] gegen Meta wegen Verstoßes gegen den Digital Markets Act (DMA) mit dem binären Einwilligungsmodell auf Facebook und Instagram. Die rechtliche Begründung stützte sich auf Artikel 5 Absatz 2 DMA, der von Gatekeepern verlangt, Nutzer:innen eine „konkrete Wahl“ zu bieten, einschließlich einer „gleichwertigen Alternative“ zur Einwilligung in die Verarbeitung personenbezogener Daten für Werbezwecke.
Die Position der Kommission lautete, dass ein kostenpflichtiger Dienst keine gleichwertige Alternative zu einem historisch kostenlosen Dienst sein könne[s], da die Zugangsbedingungen grundlegend unterschiedlich seien. Diese Argumentation übertrug DSGVO-Einwilligungsprinzipien in die Wettbewerbsaufsicht und schuf eine regulatorische Zange: Selbst wenn ein Zustimmen-oder-zahlen-Modell einer DSGVO-Prüfung standhielte, könnte es für Gatekeeper dennoch am DMA scheitern.
Die empirischen Belege gegen das Modell sind erdrückend. noybs Bericht von 2025[s] dokumentierte, dass Zustimmen-oder-zahlen-Systeme Einwilligungsraten von 99 bis 99,9 Prozent erzielen, während unabhängige Studien zeigen, dass die tatsächliche Bereitschaft, Tracking zu akzeptieren, bei nur 0,16 bis 7 Prozent liegt. Derselbe Bericht ergab, dass Verlage im Durchschnitt 0,24 Euro pro Nutzer:in und Monat mit programmatischer Werbung verdienen, während die „Zahlen“-Option typischerweise 3,24 Euro pro Nutzer:in und Monat kostet – ein Aufschlag von über 1.000 Prozent. Digitale Werbung macht insgesamt etwa 10 Prozent der Presseerlöse aus, und zielgerichtete Werbung speziell etwa 5 Prozent, was bedeutet, dass das Zustimmen-oder-zahlen-Modell die Gesamterlöse der Presse im Schnitt um etwa 0,82 Prozent erhöht.
Der österreichische Präzedenzfall und die Granularität
Eine parallele Entwicklung auf nationaler Ebene verkompliziert das Bild. Im August 2025 urteilte das österreichische Bundesverwaltungsgericht gegen die Zeitung DER STANDARD und stellte fest, dass eine pauschale Einwilligung in gebündelte Verarbeitungszwecke gegen das DSGVO-Prinzip der Granularität verstößt[s]. Das Gericht lehnte das Zustimmen-oder-zahlen-Modell nicht grundsätzlich ab, urteilte jedoch, dass die „Alles-oder-nichts“-Umsetzung, bei der die Akzeptanz die gleichzeitige Einwilligung in alle Verarbeitungszwecke bedeutet, ungültig sei. Dies deutet einen möglichen Weg für Verlage an, die innerhalb eines Zustimmen-oder-zahlen-Rahmens granulare Einwilligungsoptionen anbieten möchten – etwa die Möglichkeit, Analysen zuzustimmen, aber verhaltensbasierte Werbung abzulehnen.
Das Digitale Omnibus-Gesetz: Reform ohne Revolution
Der Vorschlag der Europäischen Kommission für ein Digitales Omnibus-Gesetz, veröffentlicht im November 2025, stellt den umfassendsten Versuch dar, die strukturellen Probleme zu lösen, die das Zustimmen-oder-zahlen-Phänomen hervorgebracht haben. Die cookie-bezogenen Maßnahmen des Vorschlags umfassen: die Überführung der Cookie-Regulierung aus der ePrivacy-Richtlinie in die DSGVO durch einen neuen Artikel 88a; browserbasierte Einwilligungssignale, die es Nutzer:innen ermöglichen, ihre Präferenzen einmalig festzulegen[s]; eine sechsmonatige Abkühlphase[s], die wiederholte Einwilligungsanfragen nach einer Ablehnung verhindert; sowie enge Ausnahmen für Sicherheits-Cookies und aggregierte First-Party-Analysen.
Die Kommission räumte selbst ein, dass „EinwilligungsmüdigkeitPhänomen, bei dem wiederholte Einwilligungsaufforderungen dazu führen, dass Nutzer diese automatisch akzeptieren ohne sie zu lesen, was den Zweck der informierten Einwilligung untergräbt. und die Verbreitung von Cookie-Bannern“ ein Problem sind, dessen regulatorische Lösung „längst überfällig“[s] sei – eine bemerkenswerte Aussage für ein Regelwerk, das weitgehend durch EU-Recht geschaffen wurde. Juristische Analysen von Osborne Clarke kommen jedoch zu dem Schluss, dass das lang ersehnte Ende der Cookie-Banner noch nicht in Sicht ist[s]. Marketing-Cookies werden weiterhin eine Einwilligung erfordern. Der browserbasierte Mechanismus hängt von technischen Standards ab, die noch nicht existieren und voraussichtlich erst etwa 2028 verbindlich sein werden. Der Vorschlag nimmt Mediendiensteanbieter ausdrücklich von der Pflicht aus, automatisierte Einwilligungssignale zu respektieren – eine Ausnahmeregelung, die die Werbeeinnahmen von Verlagen über die Präferenzen der Nutzer:innen stellt.
Bewertung: strukturelle Spannungen bleiben bestehen
Das Zustimmen-oder-zahlen-Modell offenbart einen grundlegenden Konflikt in der europäischen Digitalregulierung. Die DSGVO verlangt eine freiwillig erteilte Einwilligung für die Datenverarbeitung. Das werbefinanzierte Internet benötigt Datenverarbeitung, um wirtschaftlich zu überleben. Das Zustimmen-oder-zahlen-Modell versucht, diese Lücke zu überbrücken, indem es die Verweigerung der Einwilligung monetarisiert – was weder Datenschützer:innen (die darin eine Nötigung sehen) noch Verlage (die marginal mehr verdienen, aber mit rechtlicher Unsicherheit in 27 Mitgliedstaaten mit unterschiedlichen Auslegungen konfrontiert sind) zufriedenstellt.
Die regulatorische Antwort ist fragmentiert. Der EDSA zielt auf große Plattformen ab, verschiebt aber umfassendere Leitlinien. Der DMA richtet sich an Gatekeeper, gilt aber nicht für die meisten Verlage. Nationale Gerichte wie das österreichische befassen sich mit Umsetzungsdetails, nicht mit der grundsätzlichen LegitimitätDie Akzeptanz und Anerkennung der Regierungsautorität durch die Bevölkerung, basierend auf dem Glauben, dass die Regierung das Recht zu regieren hat. des Modells. Und das Digitale Omnibus-Gesetz wird, selbst wenn es bis Ende 2026 verabschiedet wird, voraussichtlich erst 2028 eine funktionierende Alternative hervorbringen.
Das Internet von 2010, in dem Cookies löschbare Ärgernisse waren und nicht Instrumente einer Überwachungsökonomie, die durch universelle Echtzeit-Bietverfahren[s] untermauert wird, ist durch Regulierung allein nicht wiederherstellbar. Was Regulierung leisten kann – und langsam leistet –, ist die Feststellung, dass Privatsphäre ein Recht ist, kein Premium-Feature. Ob dieses Prinzip den Kontakt mit den wirtschaftlichen Realitäten digitaler Veröffentlichungen übersteht, bleibt die zentrale Frage der europäischen Technologiepolitik.
