Management
8 Min.
Management

DSGVO: Berechtigtes Interesse vs. gläserner Mensch

Warum die Abwägung zwischen Wirtschaft und Grundrechten aus dem Gleichgewicht geraten ist

8 Minuten
DSGVO: Berechtigtes Interesse vs. gläserner Mensch
#DSGVO #Datenschutz #Grundrechte #Berechtigtes Interesse

Als Freelancer stehe ich oft zwischen den Fronten. Auf der einen Seite Kunden, die “nur kurz” ein Tracking einbauen wollen. Auf der anderen Seite Endnutzer, die sich fragen, warum ihre Daten schon wieder irgendwo gelandet sind. Und irgendwo dazwischen: die DSGVO mit ihrem “berechtigten Interesse”.

Ich gebe zu: Als die DSGVO 2018 in Kraft trat, war ich kurzzeitig optimistisch. Mein Verständnis war simpel – und wie sich herausstellte, naiv: Tracking braucht jetzt eine aktive Zustimmung. Der Nutzer muss explizit auf “Ja, ich will getrackt werden” klicken. Und wer macht das schon? Die meisten werden den Cookie-Banner wegklicken, ohne sich durch die einzelnen Tracker zu arbeiten. Kein Klick auf “Akzeptieren”, kein Tracking. Fertig.

Ich dachte ehrlich, damit hat sich die gesamte technische Basis für das Tracking erledigt. Die Branche würde sich neue Geschäftsmodelle suchen müssen. Datensparsame Alternativen würden entstehen.

Scheinbar habe ich das komplett falsch verstanden.

Statt “Opt-in als Standard” bekamen wir Dark Patterns. Der Ablehnen-Button in grau, drei Klicks entfernt, in Schriftgröße 8. Der Akzeptieren-Button groß, grün, einladend. Und für alles andere: “berechtigtes Interesse”.

Ironischerweise sind Cookie-Banner mittlerweile ohnehin eine veraltete Technologie. Server-Side Tracking löst sie ab – die Daten gehen nicht mehr vom Browser zum Tracker, sondern über den eigenen Server. Blocker greifen nicht, der Nutzer merkt nichts. Die Banner bleiben trotzdem, weil sie rechtlich gefordert sind. Aber technisch sind sie längst umgangen. Mehr dazu in meinem Artikel Google Tag Gateway vs. Cloudflare Zaraz.

Ein Begriff, der nach Kompromiss klingt. Aber keiner ist.

Wesentlich effektiver als jeder Cookie-Banner sind Browserplugins wie uBlock Origin, Privacy Badger oder Wipr Extra (für Safari). Die blockieren Tracker, bevor sie überhaupt laden. Die Statistiken sind teils beeindruckend: Tausende blockierte Anfragen pro Woche, dutzende Tracker pro Seite bei größeren Portalen. Das trägt zumindest dazu bei, dass die Ergebnismenge beim Tracking kleiner wird – auch wenn es eigentlich nicht die Aufgabe der Nutzer sein sollte, sich technisch zu wehren.

Was die DSGVO eigentlich erlaubt

Artikel 6 Absatz 1 lit. f – der Paragraph, auf den sich alle berufen, die keine Einwilligung einholen wollen. Die Kurzversion: Personenbezogene Daten dürfen verarbeitet werden, wenn ein “berechtigtes Interesse” des Verantwortlichen vorliegt und die Rechte der Betroffenen nicht überwiegen.

Klingt nach Abwägung. Klingt nach Fairness.

In der Praxis sieht das so aus:

  • Betrugsprävention? Berechtigtes Interesse.
  • IT-Sicherheit durch Server-Logs? Berechtigtes Interesse.
  • Direktwerbung an Bestandskunden? Berechtigtes Interesse.
  • Tracking für “bessere Nutzererfahrung”? Berechtigtes Interesse.

Das Problem: Die Abwägung macht der Verantwortliche selbst. Der Betroffene muss aktiv widersprechen – wenn er überhaupt erfährt, was passiert.

Wo die Abwägung kippt

Die DSGVO fordert eine Dreistufenprüfung: Liegt ein Interesse vor? Ist die Verarbeitung erforderlich? Überwiegen die Rechte der Betroffenen?

In der Theorie ein sauberes Modell. In der Praxis:

Stufe 1: “Wir haben ein wirtschaftliches Interesse.” – Check.

Stufe 2: “Ohne diese Daten können wir nicht arbeiten.” – Check. (Auch wenn das oft nicht stimmt.)

Stufe 3: “Die Rechte der Betroffenen? Naja, die können ja widersprechen.” – Check.

Das Ergebnis: Eine Abwägung, die fast immer zugunsten des Verantwortlichen ausgeht. Weil der, der abwägt, derselbe ist, der profitiert.

Was fehlt: Lösungen statt Schlupflöcher

Mein Hauptkritikpunkt an der DSGVO: Sie beschreibt Probleme, bietet aber keine praktischen Lösungen.

Beispiel Widerspruchsrecht: Ich kann widersprechen. Aber bei wem? Bei jedem Unternehmen einzeln. Per E-Mail, Formular, Brief. Manchmal mit Identitätsnachweis. Manchmal ohne Reaktion.

Beispiel Löschung: Das “Recht auf Vergessenwerden” existiert. Aber die Umsetzung liegt bei Suchmaschinen und Plattformen – genau den Problemverursachern, die von den Daten profitieren.

Beispiel Transparenz: Ja, es gibt Datenschutzerklärungen. Aber die sind in einer Sprache geschrieben, die selbst Juristen Kopfschmerzen macht. Und sie werden so oft geklickt wie die Nutzungsbedingungen von iTunes.

Das System verlagert die Last auf die Betroffenen. Die müssen sich informieren, widersprechen, nachhaken. Die Verantwortlichen lehnen sich zurück.

Die Übergabe an die Problemverursacher

Was mich am meisten stört: Die DSGVO übergibt die Kontrolle an die, die sie missbrauchen.

Google soll entscheiden, ob ein Löschantrag berechtigt ist. Facebook soll abwägen, ob das Tracking “erforderlich” ist. Unternehmen sollen selbst prüfen, ob ihre Interessen überwiegen.

Das ist, als würde man den Fuchs zum Wächter des Hühnerstalls ernennen. Und sich dann wundern, dass Hühner fehlen.

Die Konsequenz: Wer sich nicht selbst aktiv schützt, wird zum gläsernen Menschen. Nicht weil die DSGVO das erlaubt – sondern weil sie es nicht verhindert.

Was ich mir wünschen würde

Ich bin kein Gegner der DSGVO. Die Grundidee ist richtig: Personenbezogene Daten gehören den Personen, nicht den Unternehmen. Aber die Umsetzung braucht Nachbesserung.

Klare Abwägungskriterien: Nicht jeder soll selbst definieren dürfen, was “berechtigt” bedeutet. Standardisierte Vorlagen, verbindliche Checklisten, vielleicht sogar zentrale Prüfstellen.

Automatisches Opt-out: Wer nicht ausdrücklich zustimmt, wird nicht getrackt. Nicht umgekehrt. Das Global Privacy Control Signal ist ein Ansatz – aber es muss verpflichtend werden.

Zentrale Plattformen für Rechteausübung: Ein Portal, über das ich bei allen Unternehmen gleichzeitig widersprechen oder löschen lassen kann. Plattformübergreifend, verbindlich, ohne Formulare.

Echte Konsequenzen: Bußgelder von 4% des Jahresumsatzes klingen hart. Aber sie werden selten verhängt. Und wenn, dann gegen die Großen – während kleine Unternehmen dieselben Verstöße unbemerkt begehen.

Das Wettbewerbsargument

Ein Einwand, den ich oft höre: “Wenn wir weniger Daten sammeln, haben wir Wettbewerbsnachteile.”

Stimmt. Aber nur, weil andere die Regeln ignorieren.

Das Wettbewerbsrecht könnte hier helfen. Wenn alle nur minimale, DSGVO-konforme Daten erheben dürfen, bleibt der Wettbewerb fair. Wer durch illegale Datensammlung Vorteile erlangt – besseres Profiling, gezieltere Werbung – verzerrt den Markt.

Aber Vorsicht: Das ist kein Aufruf zu weiteren Abmahnwellen. Die haben in Deutschland genug Schaden angerichtet und sind Teil des Problems, nicht der Lösung. Privatwirtschaftliche Durchsetzung führt zu Missbrauch.

Was wir stattdessen brauchen:

  • Staatliche oder neutrale Wettbewerbsaufsicht: Eine Behörde mit echten Befugnissen und Ressourcen, die proaktiv prüft – nicht erst nach Beschwerden. Mit niedrigschwelliger Beschwerdemöglichkeit für Betroffene.

  • Schlichtungs- und Mediationsstellen: Für Wettbewerbsstreitigkeiten zwischen Unternehmen. Schneller und günstiger als Gerichte, aber verbindlich.

  • Einheitliche gesetzliche Vorgaben: Keine Interpretationsspielräume bei Grundrechten. Klare Regeln, die für alle gelten – vom Startup bis zum Konzern.

  • Automatisierte Compliance-Kontrollen: Technische Standards, die maschinell prüfbar sind. Wenn ein Cookie-Banner die Regeln verletzt, sollte das automatisch erkennbar sein – nicht erst nach einer Beschwerde.

Die Lösung ist nicht, die Regeln aufzuweichen. Sondern sie aktiv durchzusetzen. Mit Strukturen, die funktionieren.

Die schleichende Aufweichung

Was mich in letzter Zeit beunruhigt: Die Tendenz, Datenschutz als Innovationsbremse darzustellen.

Die EU arbeitet an Vereinfachungen. Klingt gut. Aber “Vereinfachung” bedeutet oft: weniger Schutz. Die geplanten Änderungen am “berechtigten Interesse” könnten die Tür für mehr Tracking öffnen, nicht weniger.

Server-Side-Tracking soll erleichtert werden. KI-Anwendungen bekommen Sonderregeln. Und die Browser-Einstellungen, die eigentlich Cookie-Banner ersetzen sollten? Werden von Chrome – dem Marktführer – seit Jahren ignoriert.

Wer die Ressourcen hat, profitiert. Wer sie nicht hat, wird zum gläsernen Menschen.

Eine Frage der Grundrechte

Am Ende ist es keine technische Frage. Es ist eine Frage der Grundrechte.

Artikel 8 der EU-Grundrechtecharta: “Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.”

Nicht: “…außer wenn ein Unternehmen ein berechtigtes Interesse hat.” Nicht: “…solange der Widerspruch möglich ist.” Nicht: “…wenn es wirtschaftlich zumutbar ist.”

Bedingungslos.

Welche Daten tatsächlich sinnvoll sind

Bei aller Kritik: Nicht jede Datenerhebung ist problematisch. Es gibt legitime Anwendungsfälle, die Betreibern helfen und Nutzern nicht schaden.

Für Seitenbetreiber nützlich:

  • Welche Seiten funktionieren? Seitenaufrufe, Verweildauer, Absprungraten – aggregiert und anonymisiert. Nicht wer, sondern wie viele.
  • Woher kommen Besucher? Referrer-Analyse zeigt, ob die Kampagne funktioniert oder ob organische Suche dominiert.
  • Was wird gesucht? Die interne Suchfunktion verrät, was Nutzer vermissen oder nicht finden.
  • Wo brechen Nutzer ab? Conversion-Funnel-Analyse im Shop: Warenkorb gefüllt, aber nicht gekauft? Da liegt ein Problem.

Für Shopbetreiber konkret:

  • Welche Produkte werden angesehen, aber nicht gekauft?
  • Wo im Checkout-Prozess springen Kunden ab?
  • Welche Zahlungsarten werden bevorzugt?
  • Funktioniert die mobile Version so gut wie Desktop?

All das geht mit aggregierten Daten. Keine Nutzerprofile, keine Cookies, keine Fingerprints. Tools wie Plausible, Fathom oder Matomo (richtig konfiguriert) liefern diese Insights ohne personenbezogene Daten.

Auch Google Analytics und Cloudflare Zaraz lassen sich so einstellen, dass keine personenbezogenen Daten erhoben werden – IP-Anonymisierung, keine User-IDs, keine geräteübergreifende Verknüpfung. In dieser Konfiguration sind sie trotz US-Sitz nutzbar, weil schlicht keine personenbezogenen Daten übertragen werden. Der Haken: Die Standardeinstellungen sind anders. Wer nicht aktiv konfiguriert, trackt mehr als nötig. Eine Anleitung zur DSGVO-konformen Konfiguration finden Sie in meinem Artikel Google Tag Gateway vs. Cloudflare Zaraz.

Der entscheidende Unterschied: “50% der Nutzer brechen im Warenkorb ab” ist nützlich. “Max Mustermann hat am 3. Dezember um 14 Uhr den Warenkorb abgebrochen, nachdem er vorher auf Facebook eine Anzeige gesehen hat” ist übergriffig.

Die neue Rolle von Perplexity & Co.

Interessant wird es bei KI-Suchmaschinen wie Perplexity, ChatGPT Search oder Google AI Overviews. Sie verändern das Spiel grundlegend.

Was passiert: Nutzer suchen nicht mehr auf Google, klicken auf zehn Ergebnisse und hinterlassen überall Spuren. Sie fragen Perplexity, bekommen eine Antwort – fertig. Der Traffic auf den Ursprungsseiten sinkt.

Die Auswirkung aufs Tracking:

  • Weniger Direktbesuche bedeuten weniger Tracking-Möglichkeiten
  • Nutzer sehen Inhalte, ohne die Seite zu besuchen – keine Cookies, keine Analytics
  • Die klassische Customer Journey wird unsichtbar

Was das für Betreiber bedeutet:

Wer bisher auf detailliertes Nutzer-Tracking gesetzt hat, verliert an Datenbasis. Wer auf aggregierte Daten und echten Mehrwert gesetzt hat, merkt weniger Unterschied.

Paradoxerweise könnte KI-Suche das Tracking-Problem teilweise lösen – indem sie es obsolet macht. Wenn Nutzer gar nicht mehr auf die Seite kommen, gibt es nichts zu tracken.

Die Frage bleibt: Wem gehören die Daten, die Perplexity über Suchanfragen sammelt? Die DSGVO schweigt dazu weitgehend. Ein neues Feld, das Regulierung braucht.

Die DSGVO war ein Schritt in die richtige Richtung. Aber wir sind noch lange nicht am Ziel. Und die aktuellen Entwicklungen deuten eher auf einen Rückschritt hin.

Als Freelancer kann ich nur eines tun: Bei meinen Projekten auf Datensparsamkeit achten. Kunden erklären, warum weniger manchmal mehr ist. Und hoffen, dass sich irgendwann die Erkenntnis durchsetzt, dass Grundrechte keine Verhandlungsmasse sind.

Quellen