Business & Karriere Advanced 10 Lessons

Cookies & Berechtigtes Interesse: Ein Legal Deep-Dive

Warum ist 'Berechtigtes Interesse' kein Freifahrtschein für Cookie-Tracking mehr?

Prompted by Ein NerdSip-Lerner

✅ 1 Lerner abgeschlossen 👍 1 Upvote
Cookies & Berechtigtes Interesse: Ein Legal Deep-Dive - NerdSip Course
🎯

What You'll Learn

Meistere die DSGVO- und TDDDG-Regeln für rechtssicheres Tracking.

⚖️

Lektion 1: Die rechtliche Dualität: TDDDG vs. DSGVO

In der Ad-Tech-Welt herrscht oft Verwirrung über die Rechtsgrundlagen. Für den Einsatz von Cookies gelten zwei separate rechtliche Hürden: das TDDDG (früher TTDSG) für das Setzen und Auslesen von Informationen auf dem Endgerät und die DSGVO für die anschließende Verarbeitung der personenbezogenen Daten.

Das TDDDG setzt die europäische ePrivacy-Richtlinie in deutsches Recht um. Es gilt die Grundregel: Jeder Zugriff auf das Endgerät erfordert eine aktive Einwilligung (§ 25 Abs. 1 TDDDG), es sei denn, der Zugriff ist unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen.

Erst wenn diese Hürde genommen ist, greift die DSGVO für die nachgelagerte Datenverarbeitung. Hier prüfen Vendoren, ob sie sich auf eine Einwilligung (Art. 6 Abs. 1 lit. a) oder das ominöse berechtigte Interesse (Art. 6 Abs. 1 lit. f) stützen können. Die Lex-Specialis-Regel des TDDDG sticht die DSGVO beim Speichervorgang jedoch immer aus.

Kurz gesagt

Cookies benötigen eine Erlaubnis für die Speicherung (TDDDG) UND eine Rechtsgrundlage für die Datenverarbeitung (DSGVO).

Teste dein Wissen

Was regelt das TDDDG im Kontext von Cookies maßgeblich?

  • Die weltweite Datenverarbeitung in Drittländern.
  • Die Speicherung von und den Zugriff auf Informationen auf dem Endgerät.
  • Die reine Umsatzversteuerung von Ad-Tech-Unternehmen.
Antwort: Das TDDDG reguliert als Umsetzung der ePrivacy-Richtlinie primär den physischen Zugriff auf das Endgerät des Nutzers.
🔬

Lektion 2: Die Anatomie des berechtigten Interesses

Das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO wurde von Marketing-Abteilungen lange als bequemer Freifahrtschein missverstanden. Tatsächlich unterliegt es laut den EDSA-Leitlinien (Europäischer Datenschutzausschuss) einem strengen, dreistufigen Prüfverfahren.

Erstens muss ein legitimes, klares und reales Interesse vorliegen (wirtschaftliche Interessen zählen grundsätzlich dazu). Zweitens greift die Erforderlichkeitsprüfung: Die Datenverarbeitung muss zwingend notwendig sein, um dieses Interesse zu erreichen. Gibt es ein milderes Mittel, scheitert die Prüfung bereits hier.

Drittens folgt die Interessenabwägung (Balancing Test). Die Grundrechte und Freiheiten der betroffenen Person dürfen das Interesse des Verantwortlichen nicht überwiegen. Besonders bei unsichtbarem Tracking, tiefgreifendem Profiling oder der Verarbeitung von Kinderdaten schlägt das Pendel juristisch massiv zugunsten der Betroffenen aus.

Kurz gesagt

Das berechtigte Interesse ist kein Freifahrtschein, sondern erfordert einen strikten dreistufigen Test inklusive Interessenabwägung.

Teste dein Wissen

Welche Hürde gehört NICHT zum dreistufigen Test des berechtigten Interesses?

  • Die Interessenabwägung (Balancing Test).
  • Die algorithmische Gewinnmaximierung als absolutes Vorrecht.
  • Die Erforderlichkeitsprüfung (Necessity Test).
Antwort: Eine pauschale Gewinnmaximierung existiert nicht als Test-Kriterium. Der Test besteht aus berechtigtem Interesse, Erforderlichkeit und Interessenabwägung.
🛑

Lektion 3: Warum 'Legitimate Interest' bei Marketing-Cookies scheitert

Viele Consent Management Platforms (CMPs) boten früher die Option, Tracking-Cookies über das berechtigte Interesse zu rechtfertigen. Juristisch ist dies jedoch ein Trugschluss, da die ePrivacy-Richtlinie eine klare Einwilligungspflicht für nicht-essenzielle Cookies vorschreibt.

Wenn ein Cookie zur Reichweitenmessung oder für Retargeting auf dem Gerät gespeichert wird, greift § 25 TDDDG. Da dieses Cookie für den primären Dienst (z. B. das Lesen eines Nachrichtenartikels) nicht *technisch zwingend erforderlich* ist, muss der Nutzer aktiv einwilligen.

Da das Setzen des Cookies bereits eine DSGVO-konforme Einwilligung erfordert, hat der EDSA klargestellt, dass es paradox und unzulässig ist, die nachfolgende Datenverarbeitung dann auf ein 'berechtigtes Interesse' zu stützen. Ein technischer Eingriff, der Einwilligung erfordert, diktiert de facto die Rechtsgrundlage der Folgeschritte.

Kurz gesagt

Da Marketing-Cookies nach TDDDG einwilligungspflichtig sind, kann die nachfolgende Datenverarbeitung nicht auf berechtigtes Interesse gestützt werden.

Teste dein Wissen

Warum scheitert 'Legitimate Interest' bei Retargeting-Cookies bereits im Vorfeld?

  • Weil Retargeting-Cookies niemals personenbezogene Daten speichern.
  • Weil die USA den Einsatz von Cookies global verboten haben.
  • Weil das TDDDG für nicht-essenzielle Cookies immer eine Einwilligung vorschreibt.
Antwort: Die TDDDG-Einwilligungspflicht für den Gerätezugriff bei nicht-essenziellen Cookies macht das 'berechtigte Interesse' als DSGVO-Rechtsgrundlage hinfällig.
🛡️

Lektion 4: Die Ausnahme: Technisch notwendige Cookies

Die einzige legitime Schnittmenge zwischen Cookies und dem berechtigten Interesse bilden technisch notwendige Cookies (Strictly Necessary Cookies). Hier greift die Ausnahme des § 25 Abs. 2 TDDDG.

Beispiele hierfür sind Session-Cookies für den Warenkorb, Authentifizierungs-Cookies für einen Login-Status oder Sicherheits-Cookies zur Abwehr von Hacker-Angriffen (wie CSRF-Token). Auch das Cookie, das den Consent-Status des Nutzers im Banner speichert, fällt in diese Kategorie.

Für diese essenziellen Funktionen bedarf es keiner Einwilligung, da sie vom Nutzer explizit angefordert werden, um den Basisdienst zu nutzen. Die korrespondierende Datenverarbeitung (z. B. Logfiles zur Aufrechterhaltung der IT-Sicherheit) kann dann rechtssicher auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.

Kurz gesagt

Nur für technisch zwingend erforderliche Cookies (z. B. Warenkorb, Login) entfällt die Einwilligungspflicht.

Teste dein Wissen

Für welches Cookie greift die Ausnahme der technischen Notwendigkeit (§ 25 Abs. 2 TDDDG)?

  • Ein Cookie, das den Inhalt eines Shopping-Warenkorbs zwischenspeichert.
  • Ein Cookie zur Messung der Mausbewegungen (Heatmaps) für Drittanbieter.
  • Ein Cookie, das Werbeprofile über 10 verschiedene Websites hinweg erstellt.
Antwort: Der Warenkorb ist eine vom Nutzer explizit gewünschte Funktion, für deren Bereitstellung das Cookie technisch zwingend erforderlich ist.
📜

Lektion 5: IAB TCF v2.2 – Das Ende eines Schlupflochs

Das Transparency and Consent Framework (TCF) des IAB Europe ist der globale Standard für die Signalisierung von Consent im Programmatic Advertising. Mit dem Update auf Version 2.2 im Jahr 2023 reagierte das IAB auf Druck der Datenschutzbehörden und schloss ein eklatantes rechtliches Schlupfloch.

In früheren Versionen konnten Vendoren für verschiedene Zwecke (u. a. personalisierte Anzeigen) das berechtigte Interesse als Rechtsgrundlage deklarieren. Dies führte zur absurden Situation, dass Nutzer im Banner 'Alles ablehnen' klickten, das Tracking via 'Legitimate Interest' aber im Hintergrund stillschweigend weiterlief.

Mit TCF v2.2 wurde das berechtigte Interesse für Werbe- und Content-Personalisierungszwecke (Zwecke 3 bis 6) vollständig aus dem Framework gestrichen. Ad-Tech-Anbieter müssen für diese Zwecke nun zwingend eine eindeutige Einwilligung einholen.

Kurz gesagt

Das IAB TCF v2.2 hat 'berechtigtes Interesse' als Rechtsgrundlage für personalisierte Werbung komplett abgeschafft.

Teste dein Wissen

Was änderte sich maßgeblich mit dem Update auf IAB TCF v2.2?

  • Berechtigtes Interesse ist für Werbepersonalisierung nicht mehr zulässig.
  • Vendoren dürfen keine Consent Management Platforms (CMPs) mehr nutzen.
  • Alle Cookies wurden verboten und durch Web-Beacons ersetzt.
Antwort: TCF v2.2 strich das berechtigte Interesse für die Zwecke 3 bis 6, wodurch für personalisierte Werbung nun zwingend Consent erforderlich ist.
🎣

Lektion 6: Das Bait and Switch-Verbot (Sperrwirkung)

Ein häufiger juristischer Design-Fehler in alten Cookie-Bannern war der Versuch, eine Kaskade der Rechtsgrundlagen zu bauen: 'Wir fragen dich nach Einwilligung für das Tracking. Wenn du ablehnst, machen wir es trotzdem, aber basierend auf unserem berechtigten Interesse.'

Die Aufsichtsbehörden und die EDSA-Guidelines machen deutlich, dass dieses sogenannte 'Bait and Switch' unzulässig ist. Sobald sich ein Verantwortlicher entscheidet, die Einwilligung als Rechtsgrundlage für eine Verarbeitung heranzuziehen, bindet er sich an diese architektonische Entscheidung.

Lehnt der Nutzer ab (oder widerruft er später), tritt eine Sperrwirkung ein. Ein heimlicher Fallback auf das berechtigte Interesse widerspricht fundamental dem Grundsatz der Fairness und Transparenz (Art. 5 DSGVO). Ein Nein des Nutzers muss ein bindendes Nein bleiben.

Kurz gesagt

Man darf nicht nach einer Einwilligung fragen und bei Ablehnung ersatzweise auf das berechtigte Interesse ausweichen.

Teste dein Wissen

Was beschreibt das sogenannte 'Bait and Switch'-Verbot im Datenschutz?

  • Nutzer müssen Cookie-Banner in weniger als 3 Sekunden wegklicken können.
  • Das Verbot, bei verweigerter Einwilligung einfach auf das berechtigte Interesse als Ersatz auszuweichen.
  • Cookies dürfen ihren Dateinamen nicht dynamisch im Hintergrund ändern.
Antwort: Hat der Verantwortliche den Pfad der Einwilligung gewählt, erzeugt eine Ablehnung durch den Nutzer eine Sperrwirkung. Ein Fallback ist illegal.
🏛️

Lektion 7: EuGH-Urteile und Behavioral Advertising

Die Rechtsauslegung zum berechtigten Interesse hat sich durch aktuelle Rechtsprechung massiv verschärft. In wegweisenden Urteilen (wie z.B. *Meta gegen Bundeskartellamt*) stellte der Europäische Gerichtshof (EuGH) klare Leitplanken für die Werbeindustrie auf.

Der EuGH urteilte, dass umfassendes Tracking, Profiling und verhaltensbasierte Werbung (Behavioral Advertising) einen so tiefgreifenden Eingriff in die Privatsphäre darstellen, dass die Interessen und Grundrechte der Nutzer in der Abwägung praktisch immer überwiegen.

Damit ist höchstrichterlich geklärt: Für komplexe Werbenetzwerke, die Daten über verschiedene Websites hinweg aggregieren, um Verhaltensprofile zu erstellen, kann das berechtigte Interesse niemals die gültige Rechtsgrundlage sein. Es bedarf zwingend der ausdrücklichen, freiwilligen Einwilligung.

Kurz gesagt

Für netzwerkübergreifendes Profiling und verhaltensbasierte Werbung ist immer eine Einwilligung erforderlich.

Teste dein Wissen

Was hat der EuGH bezüglich verhaltensbasierter Werbung (Behavioral Advertising) klargestellt?

  • Sie ist nur für staatliche Institutionen im Rahmen der Marktforschung erlaubt.
  • Sie darf pauschal ohne Einwilligung erfolgen, wenn der Nutzer volljährig ist.
  • Sie greift so stark in Grundrechte ein, dass zwingend eine Einwilligung nötig ist.
Antwort: Der EuGH entschied, dass die Überwachung des Nutzerverhaltens über Websites hinweg die Interessen des Nutzers überwiegt, womit das berechtigte Interesse ausscheidet.
🛡️

Lektion 8: Das Widerspruchsrecht (Right to Object)

Selbst in den seltenen Fällen, in denen ein Vendor legitimerweise das berechtigte Interesse für Datenverarbeitungen nutzen darf, greift ein scharfes Schwert der DSGVO: Art. 21, das Widerspruchsrecht.

Nutzer müssen die Möglichkeit haben, einer Verarbeitung, die auf berechtigtem Interesse beruht, jederzeit zu widersprechen. Im Normalfall muss der Nutzer hierfür 'Gründe, die sich aus seiner besonderen Situation ergeben' vorbringen – es sei denn, es handelt sich um Direktwerbung.

Gegen Direktwerbung gilt ein absolutes, bedingungsloses Widerspruchsrecht. Eine rechtskonforme Systemarchitektur erfordert daher, dass Nutzer diesen Widerspruch (Opt-out) genauso einfach und niederschwellig im Preference Center eines Banners ausüben können, wie sie eine Einwilligung erteilen würden.

Kurz gesagt

Gegen Datenverarbeitung zur Direktwerbung auf Basis berechtigten Interesses gilt ein absolutes, bedingungsloses Widerspruchsrecht.

Teste dein Wissen

Welche Besonderheit gilt beim Widerspruchsrecht nach Art. 21 DSGVO gegen Direktwerbung?

  • Es ist absolut und bedingungslos – der Nutzer muss keine besonderen Gründe für den Widerspruch nennen.
  • Der Nutzer muss den Widerspruch zwingend notariell oder per Post beglaubigen lassen.
  • Es gilt ausschließlich für analoge postalische Briefe, nicht für das digitale Tracking.
Antwort: Während bei anderen Zwecken besondere Gründe vorliegen müssen, ist der Widerspruch gegen Direktwerbung voraussetzungslos und bindend.
📰

Lektion 9: Die 'Pur-Abo' Modelle (Consent Paywalls)

Eine der aktuell spannendsten rechtlichen Debatten betrifft sogenannte Pur-Abos (Pay-or-Okay). Medienhäuser verlangen hierbei entweder die Einwilligung ins umfassende Werbe-Tracking oder den Abschluss eines kostenpflichtigen Abonnements.

Datenschützer streiten intensiv darüber, ob eine Einwilligung unter diesen 'Zwang' noch als 'freiwillig' (gemäß Art. 7 DSGVO) eingestuft werden kann. Aktuell tolerieren viele Behörden das Modell, sofern der Preis für die werbefreie Bezahl-Alternative angemessen ist.

Interessant hierbei: Das berechtigte Interesse entfällt in diesen Modellen logischerweise komplett. Da der Deal 'Daten gegen kostenlosen Content' lautet, basiert die gesamte Architektur auf der harten Einwilligungsebene. Ein heimliches Tracking via berechtigtem Interesse im Hintergrund würde das Vertragsversprechen der Bezahl-Alternative sofort untergraben.

Kurz gesagt

Pay-or-Okay Modelle basieren zwingend auf Einwilligung (Daten gegen Content); berechtigtes Interesse spielt hier keine Rolle mehr.

Teste dein Wissen

Was ist das zentrale Merkmal von 'Pay-or-Okay' (Pur-Abo) Modellen auf Nachrichten-Websites?

  • Nutzer werden für das Anklicken von Werbebannern in Kryptowährung vergütet.
  • Nutzer zahlen entweder mit ihren Daten (Tracking-Einwilligung) oder schließen ein kostenpflichtiges Abo ab.
  • Die Website ist komplett offline verfügbar, erfordert aber einen Hardware-Dongle.
Antwort: Das Pur-Abo stellt den Nutzer vor die Wahl: Entweder er erteilt die Tracking-Einwilligung, oder er bezahlt monetär für den werbefreien Zugang.
☁️

Lektion 10: Server-Side Tracking und die Zukunft

Aufgrund der strengen Regulierung von Third-Party-Cookies flüchtet die Industrie zunehmend in Technologien wie das Server-Side Tracking. Hierbei kommuniziert der Browser des Nutzers nur noch mit einem eigenen Erstanbieter-Server (First-Party) des Website-Betreibers, welcher die Daten dann bereinigt an Netzwerke weiterleitet.

Dies verlagert zwar die technische Kontrolle und kann Ad-Blocker umgehen, ändert aber nichts an der grundlegenden Rechtslage: Sobald Endgeräte-Informationen (wie IP-Adressen, Canvas-Fingerprints oder IDs) zum Zwecke der Identifizierung ausgelesen werden, greift § 25 TDDDG.

Eine bloße technische Verschleierung oder die Verlagerung in die Cloud befreit Unternehmen nicht von der Pflicht. Sie müssen sich weiterhin ehrlich zwischen der harten Einwilligungsebene und den sehr engen Grenzen des echten berechtigten Interesses entscheiden.

Kurz gesagt

Auch Server-Side Tracking entbindet nicht von TDDDG-Pflichten, sobald Informationen vom Endgerät ausgelesen werden.

Teste dein Wissen

Warum befreit Server-Side Tracking rechtlich nicht automatisch von der TDDDG-Einwilligungspflicht?

  • Weil Server-Side Tracking laut DSGVO nur in Asien legal ist.
  • Weil Cloud-Server per Gesetz immer langsamer als lokale Browser-Cookies sind.
  • Weil auch hierbei zur Nutzererkennung Informationen vom Endgerät ausgelesen werden müssen.
Antwort: Das Auslesen von Geräteinformationen (z.B. IP, Fingerprints) triggert das TDDDG unabhängig davon, ob die Daten über den Browser oder einen Server weitergeleitet werden.

Take This Course Interactively

Track your progress, earn XP, and compete on leaderboards. Download NerdSip to start learning.

Diesen Kurs einbetten

Füge eine kompakte Vorschau dieses NerdSip-Kurses in deinen Blog, deine Unterrichtsseite oder deine Ressourcensammlung ein. Das Widget verlinkt auf diese Kursvorschau, der Call-to-Action öffnet die App.