Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Das berechtigte Interesse im Datenschutz: Kein Freifahrtschein, sondern ein Prüfauftrag

1

Eine der Rechtsgrundlagen für die Datenverarbeitung nach DSGVO ist das berechtigte Interesse. Es reicht nicht aus, zu behaupten, das berechtigte Interesse liege vor. Vielmehr muss es nachgewiesen und mindestens plausibel gemacht werden. Für das Speichern und Auslesen von Cookies gibt es übrigens kein berechtigtes Interesse.

Einleitung

Das berechtigte Interesse wird oft überstrapaziert und zu Unrecht als angebliche Rechtsgrundlage angeführt. Kein Wunder, denn es ist der Notnagel, der herhalten muss, wenn es keine andere mögliche Rechtsgrundlage gibt. Die DSGVO arbeitet mit dem Verbot mit Erlaubnisvorbehalt.

Jede Datenverarbeitung nach DSGVO ist verboten, außer, sie ist ausnahmsweise erlaubt.

Siehe Art. 6 DSGVO

Die genannte Ausnahme bezieht sich nicht auf eine zeitliche oder zahlenmäßige Betrachtung, sondern auf eine Prüfung für jeden Einzelfall. Alle möglichen Rechtsgrundlagen sind in Art. 6 DSGVO genannt. Die wichtigsten Rechtsgrundlagen für Webseiten sind:

  • Vertrag
  • Einwilligung durch Nutzer
  • Berechtigtes Interesse

Wie man sehen kann, scheiden fast immer die anderen Rechtsgrundlagen aus. Übrig bleibt das berechtigte Interesse. Als einfache Regel gilt: Was technisch notwendig ist, ist erlaubt. Wer Dinge tun will, für die es mildere Mittel gibt, kann sich normalerweise nicht auf das berechtigte Interesse berufen. Wer Daten an andere weitergibt und dies ohne allgemeine rechtliche Regelung tut sowie ohne Notwendigkeit handelt, benötigt üblicherweise die Einwilligung des Dateninhabers.

Da meist kein Vertrag zwischen Besucher einer Webseite und Betreiber der Webseite vorliegt, bleibt als weitere Rechtsgrundlage für eine Datenverarbeitung nur die Einwilligung durch den Besucher übrig.

Die Einwilligung ist für den Verantwortlichen eine sehr unangenehme Sache. Denn erstens müssen zahlreiche Formvorschriften eingehalten werden. Und zweitens muss der Einwilligende jederzeit widersprechen können. Schlimmer noch ist, dass die Einwilligung freiwillig erteilt werden können muss. Das bedeutet: Üblicherweise erteilt der Nutzer seine Einwilligung nicht.

Wie ermittelt man, ob das berechtigte Interesse vorliegt? Zur Beantwortung dieser Frage ist in erster Linie eine fachliche Prüfung notwendig. Für Datenschutzfragen im Internet wird aus dieser fachlichen Frage eine technische Frage. Wir reden hier also nicht von einer rechtlichen Prüfung, sondern von einer fachlichen bzw. technischen Untersuchung.

Die Antwort liefert die Prüfung, ob ein milderes Mittel für eine Datenverarbeitung existiert. Zuvor nur zur Sicherheit eine Definition für den Begriff „Datenverarbeitung“. Wie ich feststellen musste, weiß ein Datenschutzbeauftragter der Deutschen Bahn selbst nicht, welche Verarbeitungstätigkeiten die Datenverarbeitung beinhaltet. Derjenige wollte nämlich mein Auskunftsgesuch nach Art. 15 DSGVO damit abhandeln, dass die Deutsche Bahn im Rahmen der DB Navigator App ja keine IP-Adressen speichere. Abgesehen davon, dass ich das nicht glaube, ist die Aussage nicht zielführend.

Datenverarbeitung schließt jede Form der Verarbeitung von Daten ein, inklusive des gewollten Erhalts von Daten, ohne diese weiterzuverarbeiten.

Wichtige Information zum Begriff der Datenverarbeitung.

Der Art. 4 Nr. 2 DSGVO liefert die gesetzliche Definition, die ich hier nicht wiedergebe. Stattdessen verweise ich auf meinen Beitrag zum Begriff der Datenerhebung. Dies ist die erste überhaupt mögliche Form der Datenverarbeitung. Um es plastisch zu machen, was Datenerhebung bereits sein kann: Wenn ein Arzt einen Briefkasten aufstellt, in den Patienten Dokumente einwerfen können und dürfen, dann hat der Arzt die Daten auf den Dokumenten bereits erhoben, bevor er sie gesehen hat. Es reicht die objektive Möglichkeit, die Dokumente gesehen haben zu können. Leert der Arzt den Briefkasten nicht regelmäßig, so hat er die Daten auch dann erhoben und somit verarbeitet, wenn der Briefkasten mitsamt dem Inhalt nach fünf Tagen ohne Leerung abbrennt oder ausgeraubt wird. Auch das planmäßige Entnehmen der Patientendokumente aus dem Briefkasten bedeutet bereits eine Datenverarbeitung. Ein Lesen der Dokumente ist dafür nicht erforderlich. Wer sich darüber wundert, dem sei gesagt: Der Gesetzgeber schützt so die Rechte betroffener Personen. Ansonsten könnte ja jeder behaupten: „Ich habe das Dokument entgegengenommen, aber nicht gelesen, sondern gleich weggeschmissen. Niemand konnte einen Blick darauf werfen und niemand konnte den Abfall entschlüsseln.“

Datenverarbeitung bedeutet also insbesondere das gewollte Entgegennehmen von Daten, das Auslesen, das Auswerten, das Speichern, das Weitergeben, das Löschen oder auch das Pseudonymisieren. Diese Aufzählung ist nicht vollständig.

Zurück zum milderen Mittel: Gibt es ein solches anstelle einer stattfindenden Datenverarbeitung, sollte man nicht zu lange darüber nachdenken, ob das berechtigte Interesse angeführt werden darf.

Milderes Mittel

Ein milderes Mittel ist nach meinem Verständnis eine Möglichkeit, weniger Daten und/oder Daten weniger zu verarbeiten. Zusätzlich sollte diese Möglichkeit gangbar sein. Der Aufwand sollte also praktisch realisierbar sein. Alles, was den anerkannten Regeln der Technik entspricht, kann als milderes Mittel angesehen werden. Muss der sogenannte Stand der Technik bemüht werden, ist der Einzelfall zu betrachten. Dieser Stand der Technik ist unter Fachleuten anerkannt und erfolgreich erprobt. Allerdings fehlt eine Durchdringung der Anwendung auf breiter praktischer Basis.

Viele meinen, weil etwas nützlich sei, wäre es erlaubt, weil ein berechtigtes Interesse vorläge. Das ist Unsinn. Wie nützlich wäre es, wenn

  • man eine Bank ausrauben würde (würde viel Geld bringen)?
  • eine Firma keine Lohnbuchhaltung machen müsste (ist so viel Arbeit)?
  • man einfach falsch parken dürfte, weil in der Nähe kein freier Parkplatz existiert?

Kurzum: Die Nützlichkeit einer Maßnahme hat eine nur untergeordnete Relevanz bei der Rechtfertigung einer Datenverarbeitung. Ist eine Datenverarbeitung notwendig oder für das Geschäft wichtig, mag die Sachlage anders aussehen.

Ist etwas notwendig, ist es quasi immer erlaubt. Das findet sich ja auch im Art. 6 DSGVO wieder. Sogar der § 25 TTDSG enthält eine entsprechende Formulierung. Dazu später mehr.

Ist eine Datenverarbeitung wichtig für einen Verantwortlichen, kann ein berechtigtes Interesse vorliegen. Dieses kann aber nur vorliegen, wenn mindestens folgende zwei Aspekte geprüft wurde:

  • Gibt es mildere Mittel?
  • Wird die Privatsphäre betroffener Personen nicht über Gebühr belastet?

Sofern mildere Mittel vorliegen, ist es schwierig, das berechtigte Interesse anzuführen. Ich würde sagen: Wer unter dem Vorwand des berechtigten Interesses das mildere Mittel nicht ausschöpft, handelt rechtswidrig.

Greift eine Datenverarbeitung wenig in die Privatsphäre des Nutzers ein und gibt es kein milderes Mittel, dann kann ein berechtigtes Interesse vorliegen. Allerdings muss hier auch der Nutzen dem Grad der Beeinträchtigung der Privatsphäre betroffener Personen gegenüber gestellt werden. Ist der Nutzen für den Verantwortlichen minimal, die Privatsphäre von Personen aber mehr als nur minimal beeinträchtigt, dann wird das berechtigte Interesse nicht vorhanden sein.

Andererseits würde ich sagen, dass keine Datenverarbeitung mit dem berechtigten Interesse zu rechtfertigen ist, die erheblich in die Privatsphäre betroffener Personen eingreift.

Manche verstehen nicht, welche Auswirkungen Cookies und IP-Adressen haben. Es sei ja nur ein Cookie, das können nicht so schlimm sein. So ähnlich formulierte es Prof. Alexander Roßnagel, der Leiter der Behörde des Hessischen Datenschutzbeauftragten. Er sagte das auf einer Konferenz am Ende seines Vortrags. Ich habe das selbst gehört, weil mein Vortrag direkt an seinen anschloss. Mir ist diese Art von Sorglosigkeit nicht nur suspekt, sondern ich halte sie auch aus allgemein zugänglichen Gründen für abwegig.

Vorhin erst las ich wieder von einem Mitarbeiter einer Agentur, der eine Webseite eines Kunden betreut, dass diesem das Verständnis dafür fehlt, wie man sich darüber aufregen könne, „dass eine anonymisierte IP Adresse an Google übertragen wird“. Zunächst ist festzuhalten, dass diese Aussage falsch ist. Wenn Google Plugins auf Webseiten eingebettet werden, wird immer die IP-Adresse des Webseiten-Besuchers an Google übertragen, und zwar in der Verantwortlichkeit des Webseiten-Betreibers.

Weiterhin sorgt diese „harmlose“ IP-Adresse dafür, dass Google von ca. 160 Milliarden Dollar Jahresumsatz zwei Drittel dieser Summe mit personalisierter Werbung zustande kommen. Google hängt übrigens so an diesen Cookie-Dingern, dass die Ankündigung von Google, diese blöden Cookies zurückzuziehen, bereits zweimal verschoben wurde. Der Grund ist, dass Google ohne Cookies Sie und mich nicht so gut nachverfolgen kann. Kürzlich fanden Forscher von DIW aus Berlin heraus, dass Online-Plattformen Facebook „mehr als die Hälfte der Internetaktivität verfolgen“ können. Dies gilt auch für Menschen, die nicht bei Facebook angemeldet oder registriert sind.

Vielleicht sollten sich Herr Roßnagel und der Agentur-Mitarbeiter einmal informieren, wie groß die Möglichkeiten und somit die Gefahren sind, die von IP-Adressen und Cookies ausgehen. Als Einstiegspunkt für eine Recherche sei das Stichwort „Cambridge Analytica“ genannt.

Neben der Nützlichkeit oder Notwendigkeit gibt es ein weiteres wichtiges Kriterium: Der Anlass.

Findet eine Datenverarbeitung anlasslos oder anlassbezogen statt? Anlasslos ist oft das gleiche wie „unterschiedslos“ oder „immer“. Dies soll am folgenden Beispiel verdeutlicht werden.

Beispiel: Protokollierung von IP-Adressen in Server Logs

Viele Webseiten speichern in einer Protokolldatei bei jedem Aufruf der Webseite, also anlasslos, von welcher IP-Adresse aus ein Zugriff erfolgte. Als Begründung für diese anlasslose Speicherung voller IP-Adressen wird regelmäßig die Sicherheit als Grund genannt. Ich bestreite, dass dies richtig ist.

Bisher konnte mir niemand zeigen, dass mithilfe der anlasslos gespeicherten IP-Adresse auch nur ein Angriff verhindert werden konnte, der nicht auch durch mildere Mittel hätte verhindert werden können.

Auf meine Frage nach einem konkreten Beispiel antwortete mir jemand:

Kommentar auf meinen Beitrag zur Protokollierung von IP-Adressen in einem sozialen Netzwerk.

Hier hat Andreas die Strafverfolgung als Rechtfertigung für die anlasslose Speicherung von Netzwerkadressen genannt. Ich gebe zu, dass ich es auch erst falsch verstanden hatte, bevor mir es ein befreundeter Anwalt erklärte. Es ist leicht zu verstehen, wenn man es liest oder hört: Die Strafverfolgung geht Sie und mich rein gar nichts an. Sie obliegt der Staatsanwaltschaft, Polizei oder Gerichten. Schon gar nicht hat Ihr Web Server sich in die Strafverfolgung einzumischen.

In meinem ausführlichen Beitrag erkläre ich, warum die anlasslose Protokollierung voller IP-Adressen ungerechtfertigt ist. Viele verstehen die Bedeutung des Adjektivs anlasslos nicht. Daher lesen Sie zuerst meinen eben verlinkten Beitrag vollständig durch, bevor sie anfangen sich aufzuregen. Lustig übrigens, dass im Wiktionary zum Adjektiv anlasslos als charakteristische Wortkombination »anlasslose Vorratsdatenspeicherung« genannt ist. Genau hierzu gab es nämlich ein Urteil des EuGH und genau deswegen kam die Sache mit den IP-Adressen-Urteilen »Breyer« überhaupt erst zustande.

Es mag bequem sein, IP-Adressen auf Vorrat zu speichern, um sich danach für die prozentual ganz wenigen Hacker-Angriffe o.ä. die benötigten Daten rauszusuchen und den Rest hoffentlich zu vergessen. Weniger bequem ist es wohl, IP-Adressen nur zu speichern, wenn dies zweckdienlich und notwendig ist. Die meisten machen sich keine Mühe, darüber nachzudenken. Sie behaupten einfach, es sei notwendig, immer die IP-Adressen aller Besucher einer Webseite zu speichern, um dann in den meistens ganz wenigen Ausnahmefällen ein paar Daten über den Angreifer zu haben. Das ist leider nicht richtig, wie meine Befragung von Sicherheitsexperten und aus des BSI ergab. Eine Behauptung ohne Beleg ist haltlos. Meine These ist falsifizierbar. Wer das nicht schafft, sollte meine These glauben, auch wenn das gegen die bisherige eigene Meinung spricht. Eine Meinung ist eben oft nichts wert, wenn die Fakten fehlen.

Beispiel: Cookies zur Gefahrenabwehr

Das Content Management System Contao ist dafür da, um Webseiten zu erstellen und zu betreiben. Contao nutzt ein Cookie zur Gefahrenabwehr. Die Gefahr, die abgewehrt werden soll, heißt CSRF. CSRF steht für Cross Site Request Forgery. Bei einer CSRF-Attacke versucht ein Angreifer, die Sitzung eines an einer Webseite angemeldeten Nutzers zu klauen. Ein angemeldeter Nutzer ist beispielsweise ein Administrator oder ein Redakteur eines Blogs.

Damit eine Sitzung geklaut werden kann, muss eine Sitzung vorhanden sein. Damit eine Sitzung vorhanden ist, muss ein Nutzer an einer Website angemeldet sein.

Ein normaler Leser einer Webseite ist kein angemeldeter Nutzer. Die meisten Besucher von Webseiten sind offensichtlich nicht angemeldete Benutzer. Denn die Zugangsdaten zu einer Webseite hat hoffentlich nur der Administrator samt weiterer, von diesem berechtigten Nutzern.

Contao setzt aber für jeden Nutzer ein CSRF-Cookie zur Gefahrenabwehr. Wie kann das sein? 99 % aller Aufrufer einer Webseite sind hoffentlich normaler Besucher ohne Zugriffsrechts (ansonsten hätte die Webseite nur sehr wenige echte Besucher).

Auch Sie bekommen also von einer Contao Webseite ein Cookie verpasst, obwohl Sie gar nicht Opfer einer CSRF-Attacke auf dieser Webseite werden können.

Bei Contao war also der Programmierer zu faul oder nicht in der Lage, ein CSRF-Cookie nur für angemeldete Nutzer zu setzen. Das ist aber keine Begründung für ein berechtigtes Interesse.

Cookies allgemein

Für das Erzeugen und Auslesen von Cookies gibt es das berechtigte Interesse als Rechtsgrundlage nicht.

Denn der § 25 TTDSG definiert als Sondergesetz zur DSGVO die Endgerätezugriffe („Cookie Regel“). Im TTDSG gibt es das berechtigte Interesse nicht. Noch einmal: Es gibt kein berechtigtes Interesse dafür, auf das Endgerät des Nutzers zuzugreifen, sei es durch Cookies oder anderswie. Entscheidend ist nur, ob der Zugriff technisch notwendig oder unbedingt erforderlich ist, um den vom Nutzer gewünschten Dienst bereitzustellen. Die Reichweitenmessung mit Cookies ist somit nicht einwilligungsfrei.

Erst nachdem ein Cookie ausgelesen wurde, muss zusätzlich über Art. 6 Abs. 1 DSGVO geprüft werden, ob eine Rechtsgrundlage für die Verarbeitung der Daten vorliegt, die mit dem Cookie erhalten wurden. Es geht hier nicht nur um die Daten, die im Cookie gespeichert waren, sondern auch um die Metadaten. Zu den Metadaten gehört übrigens auch die IP-Adresse. Cookies sind also immer personenbezogen, auch wenn manche es gerne anders hätten.

Für das Setzen und Auslesen von Cookies kann das berechtigte Interesse generell nicht angeführt werden.

Vgl. § 25 TTDSG.

Beispiel: Cookie für Einwilligungsabfrage

Für das Ablegen von Cookies im Endgerät des Nutzers und das Auslesen aus dem Endgerät ist das berechtigte Interesse irrelevant. Dennoch scheitert ein nicht notwendiges Cookie bereits an einer Prüfung gemäß TTDSG. Ein weiteres, häufig anzutreffendes Beispiel für diesen Fall ist ein Cookie zum Testen, ob ein Browser Cookies setzen kann. Einige Nutzer stellen ihren Browser immerhin so ein, dass er Cookies verweigert.

Um technisch zu prüfen, ob ein Browser Cookies akzeptiert, kann man ein Test-Cookie setzen. Es geht aber auch anders, nämlich weniger invasiv. Das heißt auch milderes Mittel (siehe weitere oben für Ausführungen dazu).

Mithilfe eines JavaScript-Codes kann geprüft werden, ob der Browser eines Website-Besuchers Cookies akzeptiert oder nicht. Da die meisten Nutzer JavaScript aktiviert haben, funktioniert dieser Test in den meisten Fällen. Ist JavaScript deaktiviert, kann auf das Test-Cookie zurückgefallen werden (Fallback-Szenario).

An diesem Beispiel wird sehr schön deutlich, wie wichtig es ist zu verstehen, was technisch möglich ist, wenn eine Datenverarbeitung gemäß DSGVO bewertet werden soll. Übrigens ist die Cookie-Thematik auch Teil der DSGVO, weil das TTDSG u. a. ein Spezialgesetz zur DSGVO ist.

Wer keine oder nur wenig Ahnung von Technik hat, kann nur schlecht und wenig kompetent prüfen, ob es mildere Mittel für technische Sachverhalte gibt. Eine Webseite ist an sich ein technischer Sachverhalt. Die Kommunikation über Netzwerke wie das Internet ist an sich ein technischer Sachverhalt. Wieso sich hier bestimmte Berufsgruppen, die keine technische Ausbildung haben, berufen fühlen, eine Bewertung vorzunehmen, ist mir zwar kein Rätsel, ist aber mindestens wenig zielführend.

Was allerdings jeder verstehen sollte, ist die Sache mit dem Vermerken des Einwilligungszustands. Es geht darum: Sie besuchen eine Webseite. Eine Einwilligungsabfrage (oft fälschlich als „Cookie Popup“ bezeichnet) erscheint. Sie klicken auf „Alles ablehnen“ oder eine ähnlich beschriftete Schaltfläche. Nun speichern zahlreiche sogenannte Cookie-Tools in einem Cookie alles Mögliche ab, obwohl Sie mitgeteilt hatten „Ich bin mit keiner Verarbeitung einverstanden, die nicht notwendig ist“. Um diese Entscheidung von Ihnen abzuspeichern, reicht offensichtlich ein einziges Zeichen (Byte) aus. Es hat beispielsweise den Wert null. Ein Minuszeichen ginge auch. Was aber nicht geht, ist eine lange Zeichenkette, die zur Identifikation eines Nutzers geeignet ist.

Nicht notwendig ist, dass abgespeichert wird, dass Sie mit „Marketing-Cookies“, „Sonstigen Cookies“ und „Intergalaktischen Cookies“ nicht einverstanden sind und dass Sie das am 01.09.2022 um 17:33 Uhr kundgetan hatten. Es reicht zu speichern: „Der Nutzer hat in nichts eingewilligt“. Wann ist ja wohl egal. Schließlich muss Ihre Nicht-Einwilligung auch nicht nachgewiesen werden. Nur eine erteilte Einwilligung muss nachgewiesen werden können. Vgl. Art. 7 Abs. 1 DSGVO.

Etwas anderes wäre es, wenn Sie vor Ihrer Nicht-Einwilligung einmal eingewilligt hätten. Ihre Nicht-Einwilligung wäre dann nämlich als Widerruf Ihrer zuvor erteilten Einwilligung zu werten. Dann nämlich muss ja bekannt sein, von wann bis wann Ihre Einwilligung gültig war. Aber eben nur dann.

Beispiel Google Fonts

Als Google Fonts werden Schriftarten bezeichnet, die von Google Servern abgerufen und derart in eigene Webseiten eingebunden werden können. Was viele nicht wissen oder nicht wissen wollen: Es handelt sich bei Google Fonts nicht um Schriftarten, die der Google Konzern erstellt hat. Google stellt nur die Infrastruktur für Schriftart-Designer und Schriftart-Nutzer bereit.

Google Fonts nutzen (noch) keine Cookies. Ein Cookie Tool einzusetzen, behebt die Datenschutzprobleme, die Google Fonts mit sich bringen nicht. Welche Datenschutzprobleme das sind, habe ich in einem eigenen Beitrag zu Google Fonts beschrieben.

Im eben genannten Beitrag beschreibe ich auch das mildere Mittel, um ganz ohne Datenschutzprobleme die Schriftarten zu nutzen, die Designer auf Google Server hochgeladen haben. So langsam setzt es sich durch, dass Schriften lokal vom eigenen Web Server eingebunden werden sollten. Dazu müssen die Schriftartdateien zuvor einmal heruntergeladen werden. Was für manche wie Raketenwissenschaft klingt, sollte für einen Web-Programmierer ein Kinderspiel sein.

Methodik der DSK

Nach all diesen Beispielen sollte klar sein, dass es für viele häufige Fragestellungen einfache datenschutzfreundliche Lösungen gibt. Ob eine Lösung einfach ist oder nicht, ist aber für die Beurteilung des Vorliegens eines berechtigten Interesses höchstens zweitrangig.

Die DSK ist die Datenschutzkonferenz von Bund und Ländern.

Die DSK hat eine Orientierungshilfe herausgegeben, die beschreibt, wie geprüft werden kann, ob ein berechtigtes Interesse vorliegt. Siehe Seite 11 der Orientierungshilfe der Anbieter von Telemedien.

Die DSK schlägt dort folgendes Vorgehen vor:

1. Stufe: Vorliegen eines Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im
konkreten Einzelfall

In Schritt 1 geht es also darum festzustellen, ob es überhaupt sinnvoll ist, etwas Bestimmtes zu tun. Das CSRF-Cookie von Contao hätte diesen Prüfungsschritt bereits nicht überstanden.

Der Schritt 2 thematisiert die Prüfung, ob es mildere Mittel gibt.

Der Schritt 3 prüft nun, welche Rechte der betroffenen Personen wie stark eingeschränkt werden. Wie oben dargestellt, ist die Datenweitergabe an Google, Facebook usw. jedenfalls keine kleine Beeinträchtigung und somit meines Erachtens ein K.-o.-Kriterium.

Fazit

Für Cookie-Zugriffe gibt es kein berechtigtes Interesse. Die Pseudo-Methode namens LIA ist ebenso abwegig. LIA steht für Legitimate Interest Assessment. Siehe den ersten Satz in diesem Abschnitt. Oder wie es jemand in einem Kommentar auf einen meiner früheren Beiträge formulierte: „Es gibt kein berechtigtes Interesse für einen Gesetzesbruch.“

Auch TIA ist eine abwegige Methode, die manche nur nutzen, um ihre unrechtmäßigen Handlungen hinter einer Nebelkerze zu verschleiern. TIA steht für Transfer Impact Assessment und soll helfen herauszufinden, warum etwas Verbotenes plötzlich erlaubt sein soll. Der Datentransfer in die USA oder an Firmen mit amerikanischer Mutter sei so zu rechtfertigen, dass Geheimdienste angeblich nur mit kleiner Wahrscheinlichkeit an Ihre Daten kämen. Woher das jemand wissen will, ist mir schleierhaft, da Geheimdienste für gewöhnlich nicht zugeben, wenn sie Daten abgreifen.

Die Verarbeitung von Werten, die aus Cookies ausgelesen wurde, muss über die Rechtsgrundlagen der DSGVO geprüft werden. Dies findet nachgelagert statt, nämlich nach der Prüfung, ob ein Endgerätezugriff über Cookies zulässig ist. Für diese Verarbeitung der Cookie-Werte nach dem Auslesen kann wiederum das berechtigte Interesse infrage kommen. Meist kommt es aber nicht infrage. In einem eigenen Beitrag beschreibe ich, welche Cookies einwilligungsfrei sind und welche nicht.

Bei anlasslos stattfindenden Datenverarbeitungen, die technisch nicht notwendig sind, ist das berechtigte Interesse oft nicht gegeben. Beispiele sind die einwilligungsfreie Nutzung eines datenschutzfeindlichen Plugins wie dem Google Maps Plugin oder die anlasslose Speicherung von IP-Adressen in Web Server Protokolldateien.

Vorgänge, für die es mildere Mittel gibt, sind wahrscheinlich nicht mit dem berechtigten Interesse zu rechtfertigen. Ein Beispiel sind Google Fonts. Auch Schriften, die von einem europäischen Server einer rein europäischen Firma geladen werden, fallen nicht unter das berechtigte Interesse. Außer, es gäbe einen gültigen Auftragsverarbeitungsvertrag oder andere geeignete Garantien mit dem europäischen Anbieter solcher Schriften.

Die Nützlichkeit einer Datenverarbeitung reicht nicht aus, um ein berechtigtes Interesse anführen zu dürfen.

Der gesunde Menschenverstand hilft oft weiter: Was notwendig ist, ist auch erlaubt. Was nicht notwendig ist, ist meist (ohne Einwilligung, Vertrag o. ä.) nicht erlaubt. Wer sich wünscht, dass etwas erlaubt ist, weil es unbedingt genutzt werden soll, hat das Wesen von Gesetzen nicht ganz verstanden.

Wenn Sie Ihre Webseite nach bestem Wissen und Gewissen gestaltet haben, möchten Sie vielleicht mit meinem Webseiten-Check eine erste Gegenprüfung vornehmen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. RW

    Wieder einmal ein lesenswerter Artikel von Ihnen auf dem gewohnt hohen Niveau. Was mir besonders gefällt: Viel Information und eine gute Struktur (Textaufbau und Formatierung) in der man findet was man sucht auch wenn man nicht die Zeit hat, alles zu lesen. Danke!

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Conversion Tracking im Internet geht auch ohne Cookies und ohne Google Analytics