Berechtigtes Interesse in der DSGVO: Wir erklären, was es damit auf sich hat!

Für die rechtmäßige Verarbeitung von personenbezogenen Daten bedarf es einer Rechtsgrundlage. Neben der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder der Rechtsgrundlage der Datenverarbeitung zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) stellt auch ein überwiegendes berechtigtes Interesse (Art. 6 Abs. 1 lit. f) eine Möglichkeit dar, personenbezogene Daten rechtmäßig zu verarbeiten.

Oftmals wird das berechtigte Interesse als Auffangtatbestand oder „letztes“ Mittel bezeichnet. Warum dies nicht so ist und was es überhaupt mit dem berechtigten Interesse auf sich hat, erklären wir Ihnen in diesem Rechtstipp der Woche.

Welche Voraussetzungen werden benötigt?

Eine Datenverarbeitung basierend auf dem überwiegenden berechtigten Interesse kann dann erfolgen, wenn folgende drei Voraussetzungen erfüllt sind:

  1. Es muss ein berechtigtes Interesse des Verantwortlichen oder eines Dritten an der Datenverarbeitung vorliegen.
  2. Die Datenverarbeitung muss zur Wahrung des berechtigten Interesses erforderlich sein.
  3. Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, dürfen nicht überwiegen.

Welche Interessen sind berechtigt?

Die Definition, was alles unter den Mantel des „berechtigten Interesses“ fällt, ist komplex. Der europäische Gesetzgeber hat diesen Begriff nämlich nicht Legaldefiniert, was dazu führt, dass dieser unbestimmte Rechtsbegriff ausgelegt werden muss.

Unter einem berechtigtes Interesse sind Bestrebungen oder auch vielerlei Absichten des Verantwortlichen oder eines Dritten zu verstehen. Der Gesetzgeber bringt durch diese Rechtsgrundlage „frischen Wind“ und eine gewisse Freiheitsgestaltung in die Datenverarbeitung, denn das Interesse kann z. B. von ideeller, wirtschaftlicher oder rechtlicher Natur sein und eröffnet der verantwortlichen Online-Händlerin bzw. dem Online-Händler weitreichende Einsatzmöglichkeiten.

Während im konkreten Gesetzestext keine weitergehenden Bestimmungen zu finden sind, geben allerdings die Erwägungsgründe 47 bis 49 der DSGVO Anhaltspunkte, wann ein berechtigtes Interesse an der Datenverarbeitung vorliegt.

So kann es vorliegen, wenn die betroffene Person ein Kunde des Verantwortlichen ist, die Verarbeitung zur Verhinderung von Betrug oder zum Zwecke der Direktwerbung dient (vgl. ErwG 47). Ferner sollen Interessen berechtigt sein, wenn die Daten zum Zwecke der internen Verwaltung von Unternehmensgruppe oder Gruppen von Einrichtungen verarbeitet werden (vgl. ErwG 48). In bestimmten Fällen kann auch die Gewährleistung der Netz- und Informationssicherheit ein berechtigtes Interesse darstellen (vgl. ErwG 49).

Weitere Beispiele:

  • Bereitstellung besonderer Funktionalitäten, z. B. Warenkorb-Funktion
  • Interesse an der Sicherheit der Systeme
  • Datenweitergabe im Konzernverbund
  • Datenweitergabe an Steuerberater, Rechtsberatung
  • Direktwerbemaßnahmen (z. B. Postwerbung, Bestandskundenwerbung per E-Mail)

Kein berechtigtes Interesse ist anzunehmen, wenn es sich um unerlaubte Handlungen handelt, da ein berechtigtes Interesse, zwingend mit der Rechtsordnung in Einklang stehen muss.

Achtung: Für das Setzen von Cookies im Rahmen von Direktwerbemaßnahmen (z. B. Analyse-Cookies) ist die Einholung der vorherigen Einwilligung zwingend erforderlich. Die Rechtsgrundlage des berechtigten Interesses kommt hierfür nicht  infrage. Weitere Informationen erhalten Sie dazu auch hier.

Die Frage der Erforderlichkeit

Die Verarbeitung der personenbezogenen Daten muss zusätzlich auch noch erforderlich sein, um das berechtigte Interesse zu wahren. Das bedeutet, dass kein milderes, weniger einschneidendes Mittel zum Erreichen des Verarbeitungszwecks zur Verfügung steht. Es sind dabei mehrere Verarbeitungsoptionen insbesondere in ihrer Eigenart und Eingriffsintensität zu vergleichen und ggf. zu berücksichtigen.

Das VG Hannover (Urt. v. 27.11.2019 – Az.: 10 A 820/19) hatte beispielsweise entschieden, dass die vollständige Ablichtung von Personen, die prominent auf einer Demonstration fotografiert wurden, zu Zwecken der Dokumentation auf einer Facebook-Fanpage einer Partei nicht erforderlich ist. Zwar habe die Partei ein berechtigtes Interesse daran, Fotos zu posten, um zu zeigen, für welche Anliegen sie sich engagiert und wie sie sich positioniert. Jedoch ginge es bei dem Post nicht um die abgelichteten Personen, sondern um die Veranstaltung selbst, weshalb der Zweck auch durch Unkenntlichmachung der Personen hätte erreicht werden können.

Stellen Sie sich also immer die Frage: „Kann der Zweck, den ich verfolge, auch mit milderen Mitteln (z. B. mit weniger oder weniger sensiblen Daten) erreicht werden?“.

Für die Sicherstellung eines störungsfreien Betriebs der Webseite wird z. B. ein Server-Logfile (bestehend aus Namen der angeforderten Datei, IP-Adresse, Datum und Uhrzeit des Webseitenaufrufs) für einen Zeitraum von in der Regel 7 Tagen gespeichert. Eine Dokumentationsdauer von mehreren Monaten oder gar Jahren erscheint in der Regel unter dem genannten Verarbeitungszweck nicht erforderlich.

Interessenabwägung

Das Herzstück des Erlaubnistatbestandes stellt jedoch die Interessenabwägung dar. Während die Anforderungen an das bloße Vorliegen eines berechtigten Interesses in der Praxis vergleichsweise niedrig sind, ist die Interessenabwägung viel ausschlaggebender bei der Frage, ob Art. 6 Abs. 1 lit. f DSGVO eine zutreffende Rechtsgrundlage bietet.

Bei der Abwägung stehen sich die Interessen des Verantwortlichen, z. B. von der Meinungsfreiheit (Art. 5 GG) oder Berufsfreiheit (Art. 12 GG) ausgehend, und die Interessen der betroffenen Person, z. B. Achtung des Privatlebens und der Kommunikation (Art. 7 GRCh) oder Schutz personenbezogener Daten (Art. 8 GRCh) gegenüber. Neben den Grundrechten und Grundfreiheiten sind sodann weitere Interessen zu formulieren. So kann z. B. die Datenweitergabe an einen Dienstleister zur Retourenbearbeitung ein wirtschaftliches Interesse darstellen, Rücksendungen von Kundinnen und Kunden effektiver zu bearbeiten.

In der Praxis ist die Abwägung der Interessen ein zuweilen schwieriges Thema. Das liegt zum einen daran, dass es keine vom Gesetzgeber festgelegten Kriterien für die Gewichtung der Interessen gibt, zum anderen, dass man in der Regel seinen Interessen subjektiv ein verhältnismäßig höheres Gewicht zumisst.

Bei der Abwägung Ihrer sowie der Interessen der Betroffenen sind neben den ggf. betroffenen Grundrechten der beiden Seiten aber auch weitere Faktoren abzuwägen, z. B.:

  • Datenarten (pseudonymisiert? sensibel?…)
  • Datenqualität
  • Datenmenge
  • Menge der betroffenen Personen
  • Menge der beteiligten Verarbeiter
  • Dauer der Verarbeitung
  • Sicherheit der Verarbeitung

Nach ErwG. 47 sind auch die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen. So können Kunden eines Online-Shop vernünftigerweise damit rechnen, dass es im Rahmen der Bereitstellung der Warenkorb-Funktion zu einer Verarbeitung Ihrer Daten kommt. Mit einer Videoüberwachung des Umkleide- oder Sanitärbereichs muss der Besucher einer Badeanstalt dagegen nicht rechnen.

Ein besonderes Augenmerk liegt bei der Gewichtung der Interessen bei der Verarbeitung personenbezogener Daten von Kindern oder älteren Menschen. Diese werden vom europäischen Gesetzgeber als extrem schutzbedürftig angesehen.

All das müssen Sie in die Waagschalen werfen, um abschließend eine vernünftige Interessenabwägung durchführen zu können. Kommen Sie zu dem Ergebnis, dass die Interessen des Verantwortlichen überwiegen, können Sie die personenbezogenen Daten rechtmäßig verarbeiten.

Überwiegen hingegen die Interessen der betroffenen Person, haben Sie als Verantwortlicher die Möglichkeit, die Verarbeitung so zu ändern (z. B. kürzere Speicherdauer, weniger oder andere Daten), dass eine erneute Abwägung zu Ihren Gunsten ausfällt.

Widerspruchsrecht

Wird die Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse gestützt, so besteht für die betroffene Person gegen die Datenverarbeitung ein jederzeitiges Widerspruchsrecht. Bei Direktwerbemaßnahmen muss der bzw. die Betroffene ihren Widerspruch auch nicht begründen. Die Datenverarbeitung hat zukünftig zu unterbleiben.

Auf das Widerspruchsrecht muss spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hingewiesen werden.

Weitere Hinweise finden Sie dazu im Trusted Shops Rechtstexter. Abmahnschutz- Kundinnen und Kunden finden zusätzlich weitere Informationen für Ihre Direktwerbemaßnahmen im Bereich „Dokumente“ des Legal-Accounts

Denken Sie an die Dokumentation!

Verarbeiten Sie Daten auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO, müssen Sie auch daran denken, die vorgenommene Interessenabwägung zu dokumentieren. Sie müssen als Verantwortlicher nämlich die betroffene Person darüber informieren, welche berechtigten Interessen Sie verfolgen. Dies ist Teil der Pflichtinformationen, die jeder Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der Daten mitteilen muss, vgl. Art. 13 Abs. 1 lit. d DSGVO.

 

Unser TIPP

Die Rechtsgrundlage des berechtigten Interesses sollten Sie auf keinen Fall als Freifahrtschein,  oder Auffangtatbestand verstehen, da die unter Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen gleichberechtigte Varianten darstellen.

Wie bei allen anderen Erlaubnistatbeständen der DSGVO (z. B. Einwilligung) auch, müssen die konkreten Tatbestandmerkmale erfüllt werden. Versuchen Sie zu analysieren, ob Ihr Interesse berechtigt ist und ob die Gestaltung der Datenverarbeitung auch wirklich für den Zweck erforderlich ist.

Versuchen Sie außerdem objektiv Ihre Interessen mit denen der betroffenen Person abzuwägen und vergessen Sie dabei nicht, dies nachvollziehbar zu dokumentieren, am besten im Zusammenhang mit Ihrem Verzeichnis für Verarbeitungstätigkeiten.

Mehr zu diesem und weiteren datenschutzrechtlichen Themen finden Sie in unserem Podcast „Legal Datenschutz Donnerstag“. 

 

 

Über den Autor


Konstantin

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.

14.01.21

Weitere relevante Artikel

Datenschutzbeauftrage am Laptop

Betriebliche Daten­schutz­be­auf­tragte: Wer eignet sich?

 Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

 Illustration zum Thema Datenschutz

­­Datenschutz­­­­­­­management­system: Wie Sie den Überblick behalten

Weitere interessante Blog-Artikel

Lieferung , Verbraucherschutzrecht in Legal

Was, wenn beim Transport etwas schiefgeht?

Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.

Jetzt lesen
4min. Lesezeit  |  14.11.24
Datenschutz in Legal

Betriebliche Daten­schutz­be­auf­tragte: Wer eignet sich?

Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.

Jetzt lesen
4min. Lesezeit  |  08.11.24
Online-Handel , Cross-Border Handel in Legal

Gesetz über digitale Märkte: Fairer Digital-Wettbewerb

Die EU hat das Gesetz über digitale Märkte (Digital Markets Act, DMA) eingeführt – wir erklären, wie es faire Wettbewerbsbedingungen gewährleisten soll.

Jetzt lesen
5min. Lesezeit  |  31.10.24
Select Country:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2024 Trusted Shops SE Impressum Datenschutz Cookies