Das berechtigte Interesse im Sinne der DSGVO
Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn du diese auf eine Rechtsgrundlage stützen kannst. Davon gibt es eine ganze Menge. Das berechtigte Interesse ist dabei eines von mehreren möglichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. In unserer Praxis erlebe ich es immer wieder, dass diese Rechtsgrundlage oft vergessen wird oder zumindest Unsicherheit bei der Anwendung besteht. Dann setzt man lieber auf Einwilligungen. Das ist oft nicht notwendig und manchmal auch gefährlich, da die Einwilligung aus Sicht des Verantwortlichen eigentlich keine gute Rechtsgrundlage darstellt. Umgekehrt greifen Verantwortliche oft zu schnell zum berechtigten Interesse oder beachten dessen Voraussetzungen nicht. Der Artikel soll dir helfen, einen Überblick über die Thematik zu bekommen und Fehler in der Praxis zu vermeiden.
Berechtigtes Interesse – was ist das?
Wahrscheinlich fragst du dich nun, was das berechtigte Interesse im Sinne, dass Datenschutzes eigentlich ist?
Beim berechtigten Interesses handelt es sich um einen sogenannten unbestimmten Rechtsbegriff. Das bedeutet, dass der Bergriff nicht im Gesetz definiert ist und nur eine vage, mehrdeutige oder nicht abschließende Bedeutung vorgegeben. Das berechtigte Interesse muss durch Auslegung ermittelt werden. Diese Unbestimmtheit ermöglicht aber eine gewisse Flexibilität. Das ist für die Praxis sehr nützlich. Denn so kannst du in der Praxis eine Verarbeitung individuell auf ein berechtigtes Interesse stützen, ohne an einen starren Katalog gebunden zu sein.
Der Begriff des berechtigten Interesses gibt es nicht erst seit der DSGVO. Bereits Art. 7 lit. f Datenschutzrichtlinie (RL 95/46/EG) setzte das „berechtigtes Interesse“ voraus. In der DSGVO wird der Begriff zwar in Art. 6 ABs. 1 Lit. f) als Rechtsgrundlage genannt. Trotzdem finden wir in der DSGVO keine Definition. Lediglich die Erwägungsgründe 47, 48, 49 zur DSGVO erwähnen den Begriff ebenfalls und zählen Beispiele auf.
Man könnte jetzt seitenweise philosophieren, was ich alles unter einem berechtigten Interesse verstehen kann. Wir schlagen vor, dass man sich an folgenden Punkten orientieren sollte: Das berechtigte Interesse kann jeder Zweck sein, dessen Verfolgung vom gesunden Rechtsempfinden gebilligt wird (1) oder noch kürzer, jedes wirtschaftliche Interesse (2).
Voraussetzungen
Im Datenschutz hast du grundsätzlich sechs Rechtsgrundlagen, auf die du eine Bearbeitung stützen kannst. Das berechtigte Interesse kannst du dabei als eine Art Auffangtatbestand heranziehen, wenn du auf keine der anderen Rechtsgrundlagen zurückgreifen kannst. Damit du deine Verarbeitung auf das berechtigte Interesse stützen kannst, müssen drei Voraussetzungen erfüllt sein. Die Datenschutzkonferenz hat diese in einer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ wunderschön zusammengefasst (Seite 11):
1. Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall
Ok. Aber was heißt das für dich jetzt in Einzelnen?
Berechtigtes Interesse?
Als Verantwortlicher musst du oder auch ein Dritter zunächst überhaupt einmal ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten haben. Dass du den Begriff relativ weit auslegen darfst, hatten wir bereits oben geschrieben. Die DSGVO selbst, genauer gesagt die Erwägungsgründe der DSGVO nennen bereits einige Beispiele, die du als berechtigtes Interesse heranziehen kannst. So kannst du dich z. B. auf ein berechtigtes Interesse berufen, wenn „eine maßgebliche und angemessene Beziehung zwischen dir und der betroffenen Person besteht, z. B. wenn die betroffene Person ein Kunde von dir ist (Erwägungsgrund 47). Ein berechtigtes Interesse kann aber auch vorliegen, wenn du die Verarbeitung zur Gewährleistung der Netz- und Informationssicherheit vornehmen musst (Erwägungsgrund 49) oder zur Übermittlung zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke (Erwägungsgrund 48). Selbst Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kannst du als eine einem berechtigten Interesse dienende Verarbeitung heranziehen (Erwägungsgrund 47). Hier solltest du aber auch noch § 7 Abs. 3 UWG berücksichtigen, der dir E-Mail-Werbung ohne Einwilligung grundsätzlich verbietet. Die DSK nennt in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ weitere Beispiele für ein berechtigtes Interesse:
- Freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z. B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Web Fonts, Kartendiensten, Social-Plug-ins, etc.
- Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von LogDateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
- Reichweitenmessung und statistische Analysen,
- Optimierung des jeweiligen Webangebots und Personalisierung/Individualisierung des Angebots, abgestimmt auf die jeweiligen Nutzer
Hier solltest du also ein wenig kreativ werden und genau überlegen, was dein berechtigtes Interesse sein könnte. Das ist nicht zuletzt auch deshalb wichtig, weil du das ganze dokumentieren musst.
Erforderlichkeit
In der zweiten Stufe musst du prüfen, ob die Datenverarbeitung zur Wahrung dieses Interesses erforderlich ist. Hier musst du überlegen, ob du den Zweck der Verarbeitung z. B. die Reichweitenmessung auf deiner Webseite auch mit anderen, für die betroffene Person milderen Mitteln erreichen kannst. Wenn das der Fall ist, ist die Verarbeitung nicht erforderlich und du kannst sie nicht auf ein berechtigtes Interesse stützen. Nehmen wir die Reichweitenmessung deiner Webseite. Wenn es dir rein um Zugriffszahlen geht, ohne Nutzertracking, kannst du das auch mit Tools wie Matomo machen, ohne überhaupt personenbezogene Daten zu verarbeiten. Eine Verarbeitung mit Google Analytics etwa (bei der zumindest immer die IP-Adresse verarbeitet wird) ist dann nicht notwendig und damit nicht erforderlich. Die Erforderlichkeit solltest du restriktiv auszulegen. Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten müssen sich auf das absolut Notwendige beschränken (EuGH, GRUR 2021, 1067 Rn. 110 – Mircom/Telenet; BGH, 12. Oktober 2021 – VI ZR 488/19, WRP 2022, 193 Rn. 30 und VI ZR 489/19, WRP 2022, 203 Rn. 30).
Keine entgegenstehenden Interessen der betroffenen Person
Hier beginnt deine eigentliche Arbeit. Wenn du ein berechtigtes Interesse an der Verarbeitung hast und diese auch erforderlich ist, musst du im letzten Schritt deine Interessen mit denen der betroffenen Person abwägen.
Diesen Punkt solltest du nicht auf die leichte Schulter nehmen und die Abwägung sorgfältig durchführen.
Zunächst solltest du mögliche Interessen der betroffenen Personen zusammenstellen. Als Interessen der betroffenen Person kommen etwa die Grundrechte und Grundfreiheiten. Dazu zählt nicht nur das Recht auf Schutz personenbezogener Daten gem. Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) oder das Recht auf Vertraulichkeit der Kommunikation gem. Art. 7 GRCh. Vielmehr solltest du jedes (realistische) Interesse in deine Abwägung einbeziehen, also auch wirtschaftliche Interessen.
Wenn du die Interessen zusammengestellt hast, musst du diese mit deinem berechtigten Interesse abwägen. Leider gibt es keine allgemein gültigen Kriterien, die du, wie eine Checkliste abhaken kannst und am Ende hast du ein Ergebnis. Als Faustregel kannst du aber mitnehmen, dass Grundrechte in der Regel ein hohes Gewicht einnehmen. Als Orientierung kannst du dich außerdem an den Erwägungsgründen zur DSGVO orientieren. Die DSK hat diese in ihrer Orientierungshilfe wie folgt zusammengefasst:
a) Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
b) Interventionsmöglichkeiten der betroffenen Personen
c) Verkettung von Daten
d) Beteiligte Akteure
e) Dauer der Beobachtung
f) Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
g) Datenkategorien
h) Umfang der Datenverarbeitung
Die Kriterien sind keine Checkliste, können dir aber als Marschrichtung dienen.
Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
Hier geht es um die subjektiven Erwartungen der betroffenen Person in der Beziehung zu dir und was objektiv vernünftigerweise erwartet werden kann. Einfach ausgedrückt geht es um die Frage, ob die betroffene Person mit der geplanten Datenverarbeitung rechnen musste.
Dauer der Beobachtung
Überlege dir, wie lange die Möglichkeit besteht, die betroffene Personen wiederzuerkennen. Es gilt, je kürzer, desto besser.
Interventionsmöglichkeiten der betroffenen Personen
Im Rahmen der Interessenabwägung kannst du auch berücksichtigen, ob betroffene Personen die Möglichkeiten, die Datenverarbeitung rechtlich wie technisch zu unterbinden, einzuschränken oder unter andere Bedingungen zu setzen. Ggf. solltest du entsprechende Möglichkeiten schaffen
Verkettung von Daten
Überlege dir, wie Daten verknüpft und vervielfältigt werden und welche Gefahren hieraus für die betroffenen Personen resultieren können.
Beteiligte Akteure
Viele Köche verderben den Brei! Je mehr Akteure an der Verarbeitung beteiligt sind, desto größer die Gefahr für die betroffene Personen.
Kreis der Betroffenen
Mach dir Gedanken, wer alles von der Verarbeitung betroffen ist. Sind z. B. besonders schutzwürdige Personen betroffen wie Kinder, gilt ein strengerer Maßstab.
Datenkategorien
Je sensibler die verarbeiteten Daten sind, desto eher geht die Abwägung zu deinen Lasten. Die Verarbeitung einer einzelnen E-Mail-Adresse der betroffenen Person fällt dabei weniger ins Gewicht als die Verarbeitung des umfangreichen Nutzerverhaltens.
Umfang der Datenverarbeitung
Im Datenschutz gilt das Sparsamkeitsprinzip. Weniger ist hier mehr. Und je weniger Daten du verarbeitest, desto eher gehr die Abwägung zu deinen Gunsten aus.
Dokumentation
Die Interessenabwägung solltest du dokumentieren. Das geht in einfachen Excel oder in deiner Datenschutzsoftware.
Fazit
Auch wenn die Interessenabwägung mit ein bisschen Aufwand verbunden ist, solltest du das berechtigte Interesse als Rechtsgrundlage für deine Datenverarbeitungen nicht aus den Augen verlieren. Mehr Mut zum berechtigten Interesse, lautet hier das Motto.
Rechtsprechung zum Thema
- BGH Urteil vom 15.02.2022 – VI ZR 692/20 (JAMEDA)
- OLG München Teilurteil vom 24.10.2018 – 3 U 1551/17
Verweise
(1) Dr. Hans-Jürgen Schaffland; Gabriele Holthaus in: Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG), Artikel 6 Rechtmäßigkeit der Verarbeitung, 7. Ergänzungslieferung 2023: Rn 118
(2) Kramer in Auernhammer DSGVO, 6. Auflage: Art. 6, Rn. 46
Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.
Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams — CERT, beziehungsweise Computer Security Incident Response Teams — CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d.h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.
Fragen zum berechtigten Interesse?
Als externer Datenschutzbeauftragter für Unternehmen berate ich dich und schule deine Mitarbeitenden in Sachen Datenschutz. Sicher dir gern ein kostenloses Beratungsgespräch: Gemeinsam definieren wir deinen Bedarf.