Cookies: "Berechtigte Interessen" vs DSGVO

pit234a

Well-Known Member
Vielleicht weiß hier jemand mehr oder kann erklären, wie das in seinem Umfeld gehandhabt wird. Wir sind hier kein Juristen-Forum, klar. Weil aber viele professionell mit Anbieten von Inhalten im Web zu tun haben, gab oder gibt es vielleicht Berührungspunkte, die mir schon ein wenig weiter helfen.

Wie ich das in meinen Schulungen zur DSGVO gelernt habe, muss man aktiv zustimmen, um etwas "aufs Auge gedrückt zu bekommen". Nicht aktiv abwählen, sondern aktiv anwählen, um das mal mit meinen Worten zu sagen.

Jeder stolpert deshalb ja vermutlich vermehrt über Zustimmungsfragen zu Cookies. Das finde ich auch gut so, denn so habe ich das auch gelernt. Man muss eben zustimmen, wenn man etwas haben möchte.
Aber:
eine ganze Reihe von Cookies werden in eine Sonderkategorie überführt und mit "Berechtigte Interessen" bezeichnet und diese sind dann vorab schon mal angewählt und müssen aktiv abgewählt werden. Je nach Seite kann man dann nicht mal alle abwählen, sondern muss jeweils eine Einzelentscheidung treffen und das bedeutet mitunter tatsächliche (und nicht nur gefühlte) hundert mal klicken, bevor man dann etwas lesen kann.

Klar, es gibt auch Auto-Deleter und nach Lektüre kann man die Seite schließen und ist die Cookies wieder los.

Mich stört aber, dass die DSGVO da mehr oder weniger umgangen werden kann, indem man einfach ein "Berechtigtes Interesse" vorgibt. Das kann schließlich alles sein, oder?
 

CommanderZed

OpenBSD User
Teammitglied
Ja und Nein, "berechtigtes interesse" ist auf jedenfall ein korrekter Begriff im Rahmen der DSGVO.

Beispiel:
Liefer ich auf eine Kundebstellung hin irgendwo Ware hin, brauche ich mir nicht die explizite zustimmung eines Kunden holen das ich diese Adresse irgendwo in meiner EDV-Erfassen darf - das ergibt sich einfach aus dem Auftrag da ich den ohne diese Adresse nicht durchführen kann. Da hab ich dann als Unternehmen ein "Berechtigtes Interesse" auch ohne Zustimmung des Kunden diese Adresse zur Abwicklung dieses auftrages zu verwenden und auch Speichern e.t.c. - damit soll sichergestellt werden das "normale" Dinge nicht immer explizit der Zustimmung bedürfen.

Was da alles drunter fällt ist natürlich ab einen gewissen Punk komplex.

Im Rahmen von Webseiten wird damit idr. Argumentiert das bestimmte Cookies zum verwenden der Webseite "benötigt" werden damit die Webseite technisch korrekt funktioniert oder "gebraucht" werden im Rahmen des jew. betreibers.

Da werden naturgemäß auchviele Grenzfälle dazwischen sein und sicher auch einige wo das nicht korrekt verwendet wird- das kann dann aber im Detail vermutlich nur ein Gericht bzw. die Landesdatenschutzbeuaftragten e.t.c. mit letzlicher Sicherheit klären, da das auslegungssache dann im Detail ist.
 

Andy_m4

Well-Known Member
Jeder stolpert deshalb ja vermutlich vermehrt über Zustimmungsfragen zu Cookies.
Ja. Wobei die Quatsch sind. Weil technisch notwendige Cookies dürfen im Prinzip auch ohne "Zustimmung" gesetzt werden. Technisch notwendig sind sie zum Beispiel, wenn Du Dich auf einer Webseite einloggen kannst oder einen Warenkorb hast. Um Dich als User zu tracken sind Cookies hier ein probates Mittel.

Vieles Cookies die gesetzt werden haben in der Praxis aber gar keine solche Aufgabe. Das ist also ein zweischneidiges Schwert die einzusetzen. Das wissen die Verantwortlichen auch und holen sich daher ne Zustimmung ein, um rechtlich auf der sicheren Seite zu sein.
Leider sind in der Praxis diese Zustimmungsboxen nicht wirklich nutzerfreundlich (bishin zu irreführend) gestaltet.

Je nach Seite kann man dann nicht mal alle abwählen, sondern muss jeweils eine Einzelentscheidung treffen und das bedeutet mitunter tatsächliche (und nicht nur gefühlte) hundert mal klicken, bevor man dann etwas lesen kann.
Das ist keine Notwendigkeit oder so, sondern Absicht. Die wollen, das der Nutzer genervt auf"Alles akzeptieren" klickt. Deswegen ist der Button auch immer gleich zu Anfang verfügbar und farblich hervorgehoben.

Mich stört aber, dass die DSGVO da mehr oder weniger umgangen werden kann, indem man einfach ein "Berechtigtes Interesse" vorgibt.
Ja. Aber ganz so einfach ist es nicht. Man muss es schon nachvollziehbar darlegen und nicht nur einfach etwas behaupten.
 

.not

Well-Known Member
Mich stört aber, dass die DSGVO da mehr oder weniger umgangen werden kann, indem man einfach ein "Berechtigtes Interesse" vorgibt. Das kann schließlich alles sein, oder?

Ich kann leider nur einen anekdotischen Beitrag zur Antwort auf diese Frage leisten: Ich habe in letzter Zeit relativ viel mit dem Rechtsbeistand meines Arbeitgebers kooperiert und diskutiert, weil ich technischen Input für unsere Privacy Policy liefern sollte. Bei der Begründung für die Erhebung von Daten ist "berechtigtes Interesse" bei Juristen ziemlich unbeliebt.

Wie du schon ansprichst ist die Formulierung des entsprechenden Passus ("die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.") sehr vaage gehalten, das lässt sich aber nicht nur zugunsten des Datenverarbeiters auslegen, sondern auch zu deinen Gunsten. Noch unruhiger werden Juristen, wenn du als Verarbeiter oder Verantwortlicher die Daten speichern möchtest aufgrund nicht deines eigenen berechtigten Interesses, sondern aufgrund des Interesses Dritter - weil die Angriffsfläche gegen die Argumentation dann doch relativ hoch ist.

TL;DR: Ja, in der Theorie könnte man mittels der Vorgabe "berechtigten Interesses" versuchen, die DSGVO zu umgehen. In der Praxis werden das die meisten Unternehmen wohl scheuen, weil die (potentiell sehr hohen) Kosten in keinem wirklichen Verhältnis zum Nutzen stehen.

Das ist keine Notwendigkeit oder so, sondern Absicht. Die wollen, das der Nutzer genervt auf"Alles akzeptieren" klickt. Deswegen ist der Button auch immer gleich zu Anfang verfügbar und farblich hervorgehoben.

Auch beliebt: Das Abwählen von Cookies so aufwändig wie möglich zu gestalten - auch wenn ich da jetzt nicht das Wort "Dark Pattern" in den Mund nehmen will, weit entfernt sind die meiner Meinung nach nicht.
 
Oben