Warum ist 'Berechtigtes Interesse' kein Freifahrtschein für Cookie-Tracking mehr?
Prompted by Ein NerdSip-Lerner
Meistere die DSGVO- und TDDDG-Regeln für rechtssicheres Tracking.
In der Ad-Tech-Welt herrscht oft Verwirrung über die Rechtsgrundlagen. Für den Einsatz von Cookies gelten zwei separate rechtliche Hürden: das TDDDG (früher TTDSG) für das Setzen und Auslesen von Informationen auf dem Endgerät und die DSGVO für die anschließende Verarbeitung der personenbezogenen Daten.
Das TDDDG setzt die europäische ePrivacy-Richtlinie in deutsches Recht um. Es gilt die Grundregel: Jeder Zugriff auf das Endgerät erfordert eine aktive Einwilligung (§ 25 Abs. 1 TDDDG), es sei denn, der Zugriff ist unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen.
Erst wenn diese Hürde genommen ist, greift die DSGVO für die nachgelagerte Datenverarbeitung. Hier prüfen Vendoren, ob sie sich auf eine Einwilligung (Art. 6 Abs. 1 lit. a) oder das ominöse berechtigte Interesse (Art. 6 Abs. 1 lit. f) stützen können. Die Lex-Specialis-Regel des TDDDG sticht die DSGVO beim Speichervorgang jedoch immer aus.
Kurz gesagt
Cookies benötigen eine Erlaubnis für die Speicherung (TDDDG) UND eine Rechtsgrundlage für die Datenverarbeitung (DSGVO).
Teste dein Wissen
Was regelt das TDDDG im Kontext von Cookies maßgeblich?
Das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO wurde von Marketing-Abteilungen lange als bequemer Freifahrtschein missverstanden. Tatsächlich unterliegt es laut den EDSA-Leitlinien (Europäischer Datenschutzausschuss) einem strengen, dreistufigen Prüfverfahren.
Erstens muss ein legitimes, klares und reales Interesse vorliegen (wirtschaftliche Interessen zählen grundsätzlich dazu). Zweitens greift die Erforderlichkeitsprüfung: Die Datenverarbeitung muss zwingend notwendig sein, um dieses Interesse zu erreichen. Gibt es ein milderes Mittel, scheitert die Prüfung bereits hier.
Drittens folgt die Interessenabwägung (Balancing Test). Die Grundrechte und Freiheiten der betroffenen Person dürfen das Interesse des Verantwortlichen nicht überwiegen. Besonders bei unsichtbarem Tracking, tiefgreifendem Profiling oder der Verarbeitung von Kinderdaten schlägt das Pendel juristisch massiv zugunsten der Betroffenen aus.
Kurz gesagt
Das berechtigte Interesse ist kein Freifahrtschein, sondern erfordert einen strikten dreistufigen Test inklusive Interessenabwägung.
Teste dein Wissen
Welche Hürde gehört NICHT zum dreistufigen Test des berechtigten Interesses?
Viele Consent Management Platforms (CMPs) boten früher die Option, Tracking-Cookies über das berechtigte Interesse zu rechtfertigen. Juristisch ist dies jedoch ein Trugschluss, da die ePrivacy-Richtlinie eine klare Einwilligungspflicht für nicht-essenzielle Cookies vorschreibt.
Wenn ein Cookie zur Reichweitenmessung oder für Retargeting auf dem Gerät gespeichert wird, greift § 25 TDDDG. Da dieses Cookie für den primären Dienst (z. B. das Lesen eines Nachrichtenartikels) nicht *technisch zwingend erforderlich* ist, muss der Nutzer aktiv einwilligen.
Da das Setzen des Cookies bereits eine DSGVO-konforme Einwilligung erfordert, hat der EDSA klargestellt, dass es paradox und unzulässig ist, die nachfolgende Datenverarbeitung dann auf ein 'berechtigtes Interesse' zu stützen. Ein technischer Eingriff, der Einwilligung erfordert, diktiert de facto die Rechtsgrundlage der Folgeschritte.
Kurz gesagt
Da Marketing-Cookies nach TDDDG einwilligungspflichtig sind, kann die nachfolgende Datenverarbeitung nicht auf berechtigtes Interesse gestützt werden.
Teste dein Wissen
Warum scheitert 'Legitimate Interest' bei Retargeting-Cookies bereits im Vorfeld?
Die einzige legitime Schnittmenge zwischen Cookies und dem berechtigten Interesse bilden technisch notwendige Cookies (Strictly Necessary Cookies). Hier greift die Ausnahme des § 25 Abs. 2 TDDDG.
Beispiele hierfür sind Session-Cookies für den Warenkorb, Authentifizierungs-Cookies für einen Login-Status oder Sicherheits-Cookies zur Abwehr von Hacker-Angriffen (wie CSRF-Token). Auch das Cookie, das den Consent-Status des Nutzers im Banner speichert, fällt in diese Kategorie.
Für diese essenziellen Funktionen bedarf es keiner Einwilligung, da sie vom Nutzer explizit angefordert werden, um den Basisdienst zu nutzen. Die korrespondierende Datenverarbeitung (z. B. Logfiles zur Aufrechterhaltung der IT-Sicherheit) kann dann rechtssicher auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.
Kurz gesagt
Nur für technisch zwingend erforderliche Cookies (z. B. Warenkorb, Login) entfällt die Einwilligungspflicht.
Teste dein Wissen
Für welches Cookie greift die Ausnahme der technischen Notwendigkeit (§ 25 Abs. 2 TDDDG)?
Das Transparency and Consent Framework (TCF) des IAB Europe ist der globale Standard für die Signalisierung von Consent im Programmatic Advertising. Mit dem Update auf Version 2.2 im Jahr 2023 reagierte das IAB auf Druck der Datenschutzbehörden und schloss ein eklatantes rechtliches Schlupfloch.
In früheren Versionen konnten Vendoren für verschiedene Zwecke (u. a. personalisierte Anzeigen) das berechtigte Interesse als Rechtsgrundlage deklarieren. Dies führte zur absurden Situation, dass Nutzer im Banner 'Alles ablehnen' klickten, das Tracking via 'Legitimate Interest' aber im Hintergrund stillschweigend weiterlief.
Mit TCF v2.2 wurde das berechtigte Interesse für Werbe- und Content-Personalisierungszwecke (Zwecke 3 bis 6) vollständig aus dem Framework gestrichen. Ad-Tech-Anbieter müssen für diese Zwecke nun zwingend eine eindeutige Einwilligung einholen.
Kurz gesagt
Das IAB TCF v2.2 hat 'berechtigtes Interesse' als Rechtsgrundlage für personalisierte Werbung komplett abgeschafft.
Teste dein Wissen
Was änderte sich maßgeblich mit dem Update auf IAB TCF v2.2?
Ein häufiger juristischer Design-Fehler in alten Cookie-Bannern war der Versuch, eine Kaskade der Rechtsgrundlagen zu bauen: 'Wir fragen dich nach Einwilligung für das Tracking. Wenn du ablehnst, machen wir es trotzdem, aber basierend auf unserem berechtigten Interesse.'
Die Aufsichtsbehörden und die EDSA-Guidelines machen deutlich, dass dieses sogenannte 'Bait and Switch' unzulässig ist. Sobald sich ein Verantwortlicher entscheidet, die Einwilligung als Rechtsgrundlage für eine Verarbeitung heranzuziehen, bindet er sich an diese architektonische Entscheidung.
Lehnt der Nutzer ab (oder widerruft er später), tritt eine Sperrwirkung ein. Ein heimlicher Fallback auf das berechtigte Interesse widerspricht fundamental dem Grundsatz der Fairness und Transparenz (Art. 5 DSGVO). Ein Nein des Nutzers muss ein bindendes Nein bleiben.
Kurz gesagt
Man darf nicht nach einer Einwilligung fragen und bei Ablehnung ersatzweise auf das berechtigte Interesse ausweichen.
Teste dein Wissen
Was beschreibt das sogenannte 'Bait and Switch'-Verbot im Datenschutz?
Die Rechtsauslegung zum berechtigten Interesse hat sich durch aktuelle Rechtsprechung massiv verschärft. In wegweisenden Urteilen (wie z.B. *Meta gegen Bundeskartellamt*) stellte der Europäische Gerichtshof (EuGH) klare Leitplanken für die Werbeindustrie auf.
Der EuGH urteilte, dass umfassendes Tracking, Profiling und verhaltensbasierte Werbung (Behavioral Advertising) einen so tiefgreifenden Eingriff in die Privatsphäre darstellen, dass die Interessen und Grundrechte der Nutzer in der Abwägung praktisch immer überwiegen.
Damit ist höchstrichterlich geklärt: Für komplexe Werbenetzwerke, die Daten über verschiedene Websites hinweg aggregieren, um Verhaltensprofile zu erstellen, kann das berechtigte Interesse niemals die gültige Rechtsgrundlage sein. Es bedarf zwingend der ausdrücklichen, freiwilligen Einwilligung.
Kurz gesagt
Für netzwerkübergreifendes Profiling und verhaltensbasierte Werbung ist immer eine Einwilligung erforderlich.
Teste dein Wissen
Was hat der EuGH bezüglich verhaltensbasierter Werbung (Behavioral Advertising) klargestellt?
Selbst in den seltenen Fällen, in denen ein Vendor legitimerweise das berechtigte Interesse für Datenverarbeitungen nutzen darf, greift ein scharfes Schwert der DSGVO: Art. 21, das Widerspruchsrecht.
Nutzer müssen die Möglichkeit haben, einer Verarbeitung, die auf berechtigtem Interesse beruht, jederzeit zu widersprechen. Im Normalfall muss der Nutzer hierfür 'Gründe, die sich aus seiner besonderen Situation ergeben' vorbringen – es sei denn, es handelt sich um Direktwerbung.
Gegen Direktwerbung gilt ein absolutes, bedingungsloses Widerspruchsrecht. Eine rechtskonforme Systemarchitektur erfordert daher, dass Nutzer diesen Widerspruch (Opt-out) genauso einfach und niederschwellig im Preference Center eines Banners ausüben können, wie sie eine Einwilligung erteilen würden.
Kurz gesagt
Gegen Datenverarbeitung zur Direktwerbung auf Basis berechtigten Interesses gilt ein absolutes, bedingungsloses Widerspruchsrecht.
Teste dein Wissen
Welche Besonderheit gilt beim Widerspruchsrecht nach Art. 21 DSGVO gegen Direktwerbung?
Eine der aktuell spannendsten rechtlichen Debatten betrifft sogenannte Pur-Abos (Pay-or-Okay). Medienhäuser verlangen hierbei entweder die Einwilligung ins umfassende Werbe-Tracking oder den Abschluss eines kostenpflichtigen Abonnements.
Datenschützer streiten intensiv darüber, ob eine Einwilligung unter diesen 'Zwang' noch als 'freiwillig' (gemäß Art. 7 DSGVO) eingestuft werden kann. Aktuell tolerieren viele Behörden das Modell, sofern der Preis für die werbefreie Bezahl-Alternative angemessen ist.
Interessant hierbei: Das berechtigte Interesse entfällt in diesen Modellen logischerweise komplett. Da der Deal 'Daten gegen kostenlosen Content' lautet, basiert die gesamte Architektur auf der harten Einwilligungsebene. Ein heimliches Tracking via berechtigtem Interesse im Hintergrund würde das Vertragsversprechen der Bezahl-Alternative sofort untergraben.
Kurz gesagt
Pay-or-Okay Modelle basieren zwingend auf Einwilligung (Daten gegen Content); berechtigtes Interesse spielt hier keine Rolle mehr.
Teste dein Wissen
Was ist das zentrale Merkmal von 'Pay-or-Okay' (Pur-Abo) Modellen auf Nachrichten-Websites?
Aufgrund der strengen Regulierung von Third-Party-Cookies flüchtet die Industrie zunehmend in Technologien wie das Server-Side Tracking. Hierbei kommuniziert der Browser des Nutzers nur noch mit einem eigenen Erstanbieter-Server (First-Party) des Website-Betreibers, welcher die Daten dann bereinigt an Netzwerke weiterleitet.
Dies verlagert zwar die technische Kontrolle und kann Ad-Blocker umgehen, ändert aber nichts an der grundlegenden Rechtslage: Sobald Endgeräte-Informationen (wie IP-Adressen, Canvas-Fingerprints oder IDs) zum Zwecke der Identifizierung ausgelesen werden, greift § 25 TDDDG.
Eine bloße technische Verschleierung oder die Verlagerung in die Cloud befreit Unternehmen nicht von der Pflicht. Sie müssen sich weiterhin ehrlich zwischen der harten Einwilligungsebene und den sehr engen Grenzen des echten berechtigten Interesses entscheiden.
Kurz gesagt
Auch Server-Side Tracking entbindet nicht von TDDDG-Pflichten, sobald Informationen vom Endgerät ausgelesen werden.
Teste dein Wissen
Warum befreit Server-Side Tracking rechtlich nicht automatisch von der TDDDG-Einwilligungspflicht?
Track your progress, earn XP, and compete on leaderboards. Download NerdSip to start learning.