Kennen Sie das? Sie besuchen eine neue Website, und da ploppt es auch schon auf: Das Cookie-Banner. Ein undurchsichtiger Kasten voller Fachbegriffe und Optionen, die Sie angeblich „anpassen“ können. Meist klicken Sie genervt auf „Alle akzeptieren“, um endlich zum Inhalt zu gelangen. Doch haben Sie dabei schon einmal den Begriff „berechtigtes Interesse“ entdeckt? Er schlummert oft versteckt in den Einstellungen und suggeriert, dass eine Website Ihre Daten auch ohne Ihre explizite Zustimmung nutzen darf.
Dieser Begriff wird tausendfach übersehen, falsch verstanden oder bewusst missbraucht. Dabei ist er entscheidend dafür, welche Daten Unternehmen von Ihnen sammeln dürfen und welche nicht. Für viele ist er ein Freifahrtschein für Datensammlung, doch die Realität, insbesondere im Kontext von Cookies, ist viel komplexer und weitaus restriktiver, als die meisten Websites es darstellen. Dieser Artikel lüftet das Geheimnis um das berechtigte Interesse bei Cookies und erklärt, was es wirklich für Sie als Nutzerin oder Nutzer bedeutet.
Was ist „Berechtigtes Interesse” im Sinne der DSGVO?
Bevor wir uns den Cookies widmen, müssen wir verstehen, was das berechtigte Interesse überhaupt ist. Die Datenschutz-Grundverordnung (DSGVO), das europäische Gesetz zum Schutz personenbezogener Daten, listet sechs Rechtsgrundlagen auf, die die Verarbeitung personenbezogener Daten legitimieren. Eine davon ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Im Kern besagt diese Rechtsgrundlage, dass ein Unternehmen (der Verantwortliche) Ihre Daten verarbeiten darf, wenn es ein berechtigtes Interesse an dieser Verarbeitung hat und Ihre Grundrechte und Grundfreiheiten (insbesondere das Recht auf Datenschutz) nicht überwiegen. Es ist also eine Art Abwägungstest, der drei Elemente umfasst:
- Das Interesse des Unternehmens: Gab es ein legitimes, konkretes Interesse an der Verarbeitung? Das können wirtschaftliche Interessen sein, aber auch die Sicherheit von Systemen oder die Verbesserung von Dienstleistungen.
- Die Notwendigkeit der Verarbeitung: Ist die Verarbeitung tatsächlich notwendig, um dieses Interesse zu verfolgen? Gäbe es mildere Mittel?
- Die Abwägung mit Ihren Rechten und Freiheiten: Überwiegen Ihre Interessen (z.B. der Schutz Ihrer Privatsphäre) das Interesse des Unternehmens? Hier spielen Faktoren wie die Art der Daten, die Erwartungshaltung der betroffenen Person und die möglichen Auswirkungen der Verarbeitung eine Rolle.
Beispiele, wo berechtigtes Interesse greifen kann, sind etwa die Gewährleistung der Netz- und Informationssicherheit, die Verhinderung von Betrug, oder unter strengen Voraussetzungen auch Direktmarketing gegenüber Bestandskunden, sofern die Kunden diese Art der Kommunikation erwarten und ein einfaches Widerspruchsrecht haben. Wichtig ist: Das Unternehmen muss diese Abwägung dokumentieren und im Streitfall belegen können.
Der Knackpunkt: Berechtigtes Interesse und Cookies – Eine komplizierte Beziehung
Nun kommen wir zum schwierigen Teil: Wie verhält sich das berechtigte Interesse zu Cookies? Viele Unternehmen versuchen, bestimmte Arten von Cookies – insbesondere für Analyse- oder Personalisierungszwecke – auf diese Rechtsgrundlage zu stützen. Doch die Mehrheit der Datenschutzbehörden und Gerichte sagt dazu: Das geht so nicht!
Der Grund liegt in einer anderen europäischen Richtlinie, die speziell für elektronische Kommunikation gilt: die ePrivacy-Richtlinie (oft auch als „Cookie-Richtlinie“ bekannt, da sie der Vorläufer der noch nicht verabschiedeten ePrivacy-Verordnung ist). Diese Richtlinie besagt in Artikel 5 Absatz 3 ganz klar, dass die Speicherung von Informationen (wie Cookies) auf dem Endgerät eines Nutzers oder der Zugriff auf bereits gespeicherte Informationen nur dann zulässig ist, wenn der Nutzer zuvor und ausdrücklich seine Einwilligung gegeben hat.
Es gibt nur zwei Ausnahmen von dieser Einwilligungspflicht:
- Die Speicherung oder der Zugriff ist unbedingt erforderlich, damit der Nutzer einen von ihm ausdrücklich gewünschten Dienst nutzen kann (z.B. Warenkorb-Cookies).
- Die Speicherung oder der Zugriff dient ausschließlich dazu, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz zu ermöglichen.
Dies bedeutet: Für fast alle Cookies, die nicht „unbedingt erforderlich“ sind, um eine von Ihnen explizit angeforderte Funktion bereitzustellen (z.B. Anmeldeinformationen, Warenkorb, Lastausgleich), ist eine aktive, informierte Einwilligung notwendig. Das berechtigte Interesse als Rechtsgrundlage reicht hierfür in der Regel nicht aus. Die ePrivacy-Richtlinie ist in diesem Bereich spezifischer (lex specialis) als die DSGVO und geht ihr daher vor. Selbst wenn die Datenverarbeitung *nach* dem Setzen des Cookies theoretisch auf berechtigtes Interesse gestützt werden könnte, erfordert das *Setzen des Cookies selbst* (oder der Zugriff darauf) die Einwilligung.
Welche Cookies dürfen (potenziell) ohne explizite Einwilligung verwendet werden?
Diese Frage ist entscheidend und führt oft zu Missverständnissen. Lassen Sie uns die verschiedenen Arten von Cookies und ihre Rechtsgrundlagen genauer betrachten:
- Unbedingt erforderliche Cookies (Technisch Notwendige Cookies):
Hier greift die erste Ausnahme der ePrivacy-Richtlinie. Diese Cookies sind essentiell, damit eine Website überhaupt funktioniert und Sie die gewünschten Funktionen nutzen können. Beispiele sind Session-Cookies für Logins, die einen Benutzer während einer Sitzung angemeldet halten, oder Warenkorb-Cookies in Online-Shops. Sie sind für die Erbringung des von Ihnen explizit angeforderten Dienstes unerlässlich. Für diese Cookies ist keine explizite Einwilligung erforderlich; sie können (und sollten) im Rahmen der Bereitstellung des Dienstes auf die Rechtsgrundlage der Vertragserfüllung oder eben der Notwendigkeit für den gewünschten Dienst gestützt werden. Das berechtigte Interesse muss hier nicht einmal angeführt werden, da es eine stärkere Rechtsgrundlage gibt.
- Funktionale Cookies (Präferenz-Cookies):
Diese Cookies speichern Einstellungen wie Ihre bevorzugte Sprache, Region oder Schriftgröße. Sie verbessern die Benutzerfreundlichkeit. Hier wird es knifflig. Manche argumentieren, dass auch diese Cookies unter die Notwendigkeitsausnahme fallen könnten, wenn sie die vom Nutzer gewünschten Funktionen direkt unterstützen (z.B. Beibehaltung einer eingestellten Sprache). Die meisten Datenschutzbehörden sehen hier jedoch, je nach Ausgestaltung, eine Einwilligungspflicht. Das berechtigte Interesse wird hier oft von Website-Betreibern ins Feld geführt, ist aber in den meisten Fällen rechtlich fragwürdig.
- Analyse- und Statistik-Cookies:
Diese Cookies sammeln Informationen darüber, wie Besucher eine Website nutzen – welche Seiten besucht werden, wie lange sie bleiben, welche Links sie klicken. Ziel ist es, die Website zu optimieren. Viele Unternehmen versuchen hier, berechtigtes Interesse als Rechtsgrundlage zu nutzen, da sie ein Interesse an der Verbesserung ihrer Website haben. Die Rechtsprechung und die Ansicht der Datenschutzbehörden sind hier jedoch sehr klar: Für Analyse-Cookies, die personenbezogene Daten erfassen und eine Nachverfolgung des Nutzerverhaltens ermöglichen (wie z.B. bei Google Analytics, selbst in pseudonymisierter Form), ist eine aktive und informierte Einwilligung erforderlich. Nur in sehr seltenen Ausnahmefällen, bei extrem restriktiver Konfiguration (z.B. vollständige Anonymisierung, keine Verknüpfung mit anderen Daten, keine Übertragung an Dritte), könnte berechtigtes Interesse oder eine Notwendigkeit diskutabel sein, aber dies ist ein risikoreicher Weg. Der Trend geht hier klar zur Einwilligung.
- Marketing-, Retargeting- und Social-Media-Cookies:
Diese Cookies sind der Inbegriff von Tracking und Personalisierung. Sie verfolgen Ihr Verhalten über verschiedene Websites hinweg, um Ihnen personalisierte Werbung anzuzeigen, Inhalte zu empfehlen oder Sie mit Social-Media-Profilen zu verknüpfen. Hier gibt es keinerlei Spielraum: Für diese Art von Cookies ist IMMER eine aktive, informierte und freie Einwilligung notwendig. Das Argument des berechtigten Interesses für Marketing- oder Trackingzwecke wird von den Datenschutzbehörden einhellig abgelehnt. Werbung ist kein Dienst, den der Nutzer ausdrücklich anfordert, und die Überwachung des Surfverhaltens überwiegt in der Abwägung fast immer das Marketinginteresse des Unternehmens.
Was bedeutet das für Sie als Nutzer?
Die Erkenntnis, dass berechtigtes Interesse bei den meisten Cookies nicht greift, ist ein wichtiges Stück Wissen. Es ermächtigt Sie, bewusster mit Cookie-Bannern umzugehen und Ihre Rechte einzufordern:
- Lesen Sie genau hin: Nehmen Sie sich die paar Sekunden Zeit, um das Cookie-Banner nicht nur oberflächlich zu überfliegen. Suchen Sie nach Optionen wie „Einstellungen verwalten“, „Anpassen“ oder „Details anzeigen“.
- Achten Sie auf „Berechtigtes Interesse”: Wenn Sie in den Einstellungen die Möglichkeit finden, „berechtigtes Interesse” abzulehnen oder zu deaktivieren (oft durch einen Schieberegler oder ein Häkchen), nutzen Sie diese Option. Viele Unternehmen versuchen so, Ihre Zustimmung für Tracking-Maßnahmen zu umgehen. Deaktivieren Sie diese Option, es sei denn, Sie sind sicher, dass es sich um wirklich notwendige Funktionen handelt.
- Vorsicht bei „Alle akzeptieren“: Mit diesem Klick geben Sie in der Regel Ihre Einwilligung zu allen Cookies, einschließlich Marketing- und Tracking-Cookies. Wenn Ihnen Ihre Privatsphäre wichtig ist, ist dieser Klick meist die schlechteste Option.
- Nutzen Sie „Ablehnen” oder „Nur notwendige akzeptieren”: Wenn diese Optionen angeboten werden, sind sie oft der sicherste Weg, um unnötiges Tracking zu verhindern.
- Ihr Widerspruchsrecht: Auch wenn ein Unternehmen die Verarbeitung auf berechtigtes Interesse stützt, haben Sie nach Art. 21 DSGVO ein Widerspruchsrecht. Wenn Sie Bedenken haben, können Sie dem Unternehmen direkt widersprechen. Dies ist bei Cookies oft über die Einstellungen im Banner selbst möglich, oder Sie wenden sich direkt an den Datenschutzbeauftragten der Website.
- Informieren Sie sich über die Cookie-Richtlinien: Seriöse Websites haben eine detaillierte Datenschutzerklärung oder Cookie-Richtlinie, die genau aufschlüsselt, welche Cookies wofür verwendet werden und auf welcher Rechtsgrundlage.
Es ist ein weit verbreiteter Irrglaube, dass das berechtigte Interesse ein einfacher Weg für Unternehmen sei, sich die lästige Einwilligung zu sparen. Die Realität ist, dass die Datenschutzbehörden in Europa hier sehr genau hinschauen und viele Unternehmen, die sich auf diese Rechtsgrundlage berufen, bei Prüfungen ins Wanken geraten.
Die aktuelle Rechtslage und der Ausblick
Die Diskussion um das berechtigte Interesse im Kontext von Cookies ist nicht neu, aber sie gewinnt an Schärfe. Zahlreiche Entscheidungen nationaler Datenschutzbehörden und Gerichte (z.B. des EuGH in den Fällen Planet49 oder Schrank II) haben die Notwendigkeit einer aktiven, informierten Einwilligung für nicht-essentielle Cookies immer wieder bestätigt. Die deutsche Datenschutzkonferenz (DSK) hat dazu klare Leitlinien veröffentlicht, die besagen, dass eine Einwilligung für alle nicht-notwendigen Cookies erforderlich ist.
Auch die Entwicklung der ePrivacy-Verordnung, die die ePrivacy-Richtlinie ablösen soll, geht in dieselbe Richtung: Stärkere Nutzerkontrolle und transparente Einwilligungsprozesse sind das Ziel. Auch wenn die Verordnung noch auf sich warten lässt, ist die Richtung klar vorgegeben.
Fazit: Seien Sie kein Spielball der Algorithmen
Das nächste Mal, wenn Sie ein Cookie-Banner sehen, klicken Sie nicht blindlings. Das Wissen über das berechtigte Interesse und seine begrenzte Anwendbarkeit bei Cookies ist ein mächtiges Werkzeug in Ihren Händen. Es ermöglicht Ihnen, bewusste Entscheidungen über Ihre Daten zu treffen und Ihre Privatsphäre aktiv zu schützen.
Verstanden heißt nicht akzeptiert. Und berechtigtes Interesse bedeutet keineswegs einen Freifahrtschein für die Datensammlung durch Cookies, es sei denn, diese sind absolut notwendig für die Funktion der Website. Nehmen Sie Ihre Rechte wahr, passen Sie Ihre Einstellungen an und zeigen Sie den Websites, dass Sie nicht tausendmal klicken und doch nichts verstehen, sondern dass Sie informiert sind und selbst entscheiden, wer Ihre digitalen Spuren verfolgen darf.