Berechtigtes Interesse und Interessenabwägung nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

An die Verarbeitung personenbezogener Daten stellt die DSGVO hohe Anforderungen, um die Privatsphäre der Betroffenen und deren Datensicherheit zu wahren.
Dieser Artikel soll Ihnen zeigen:

  • was das berechtigte Interesse nach DSGVO ist,
  • wie Sie das berechtigte Interesse prüfen,
  • was eine Interessenabwägung nach DSGVO mit dem berechtigten Interesse zu tun hat,
  • wie Sie Ihre Interessenabwägung richtig dokumentieren,
  • und Sie erhalten ein kostenloses Prüfungsschema Muster zur Hand.

Unter anderem muss die Datenverarbeitung gemäß Artikel 6 DSGVO anhand einer zulässigen Rechtsgrundlage durchgeführt werden. Um ganz sicherzugehen, lassen sich viele Unternehmen per se die schriftliche Einwilligung zur Verarbeitung der Daten ihrer Kunden geben. Die Datenschutz-Grundverordnung führt jedoch noch weitere Rechtsgrundlagen an, auf die Sie sich als Unternehmen stützen können. Eine mögliche Grundlage ist das Vorliegen eines berechtigten Interesses des Verantwortlichen an der Datenverarbeitung (Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO).

Nachfolgend wird näher auf diese Problematik eingegangen.

Was bedeutet berechtigtes Interesse?

Der Wortlaut des Artikels 6 Absatz 1 Satz 1 Buchstabe f DSGVO besagt, dass die Verarbeitung nur dann rechtmäßig ist, wenn sie zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen, Grundrechte und Grundfreiheiten des Betroffenen überwiegen.

Daraus lässt sich schließen, dass allein ein Interesse an der Verarbeitung nicht ausreicht. Vielmehr müssen noch weitere Voraussetzungen vorliegen, was womöglich der Grund ist, weshalb sich viele Unternehmen lieber eine Einwilligung des Betroffenen einholen. Dabei ist es gar nicht so kompliziert, wenn man sich an folgende Reihenfolge hält:

  1. Welches Interesse verfolgen Sie mit der Verarbeitung? Ist dieses Interesse auch berechtigt? Falls ja:
  2. Ist die Datenverarbeitung zur Wahrung Ihres berechtigten Interesses erforderlich? Falls ja:
  3. Stehen Ihrem Interesse Grundfreiheiten oder Grundrechte des Betroffenen der Datenverarbeitung entgegen (diese müssen überwiegen!)? Falls nein:
  4. Die Rechtsgrundlage ist zulässig und kann zur Datenverarbeitung herangezogen werden.

Die Interessenabwägung nach DSGVO kann in 4 Schritten mit diesem kostenlosen Muster erfolgen.

 

Was ist ein berechtigtes Interesse?

Ein berechtigtes Interesse ist also ein konkretes Interesse an einer Datenverarbeitung, welches eine rechtliche Grundlage haben muss.

Begriffsbestimmung

Nun ist geklärt, dass im ersten Schritt ein Interesse an der Datenverarbeitung vorliegen muss. Doch wie weit geht das? Wann ist ein Interesse berechtigt?
Grundsätzlich umfasst das Interesse jedes rechtliche, tatsächliche oder wirtschaftliche Bestreben bzw. der Nutzen des Verantwortlichen oder seiner Dienstleister, solange es klar und eindeutig bestimmt wurde.

Hinzukommend muss das Interesse berechtigt sein. Mit dieser Einschränkung fallen Interessen des Verantwortlichen heraus, die gegen die Rechtsordnung gerichtet sind. Das sind zum Beispiel durch andere Gesetze (z.B. §203 des Strafgesetzbuches) verbotene Handlungen (z.B. der Datenschutzbeauftragte einer Arztpraxis bekommt Zugang zu Geheimnissen, die den Ärzten anvertraut wurden und offenbart diese). Dieses Interesse kann die DSGVO nicht schützen.

Beispiele für berechtigte Interessen gem Art. 6 Abs. 1 lit. f DSGVO

Nun soll anhand einiger Beispiele verdeutlicht werden, wann ein solches Interesse berechtigt ist. Die Erwägungsgründe 47 bis 49 der DSGVO selbst enthalten Beispiele:

  • Ist der Betroffene zugleich Kunde eines bestimmten Unternehmens und kann er aufgrund dieser Beziehung mit einer weiteren Verarbeitung seiner Daten rechnen, ist ein berechtigtes Interesse des Verantwortlichen des Unternehmens gegeben, insbesondere bei Direktwerbung von (Bestands-)Kunden.
  • Sollen personenbezogene Kundendaten innerhalb eines Unternehmens oder einer Unternehmensgruppe bspw. zu Verwaltungszwecken übermittelt werden, besteht ein berechtigtes Interesse des Verantwortlichen.
  • Um unbefugten Dritten den Zugang zu Computersystemen zu verwehren und die IT-Sicherheit aufrecht zu erhalten, haben Betreiber solcher Systeme und von Notdiensten ein berechtigtes Interesse an der Datenverarbeitung.

Ebenfalls weitere berechtigte Interessen können sein:

  • wissenschaftliche, historische und statistische Zwecke
  • Marktforschungszwecke
  • politische Kampagnen zur Information der Bevölkerung
  • Ausübung des Rechts auf Meinungsfreiheit

Wann ist das berechtigte Interesse auch erforderlich?

Die Datenverarbeitung muss weiterhin zur Wahrung des berechtigten Interesses erforderlich sein. Sie ist dann erforderlich, wenn ihr Zweck durch kein anderes, milderes Mittel erreicht werden kann.

Kann sich also der Verantwortliche einer anderen und weniger einschneidenden Möglichkeit bedienen, die den Zweck der Datenverarbeitung gleichsam effektiv erreicht, ist die Datenverarbeitung nicht erforderlich.

Praxisbeispiel: Der Geschäftsführer möchte die Geburtstage seiner Mitarbeiter in einem gesonderten Kalender eintragen, um kleine Präsente zu verteilen. Dazu will er die Geburtsurkunden aller Mitarbeiter einscannen und daraus die Geburtstage abschreiben. Milder wäre es jedoch, lediglich das Geburtsdatum zu erfragen oder in die Arbeitsverträge zu schauen. Dann wäre eine erneute Datenerhebung gar nicht notwendig.

Was ist eine Interessenabwägung im Sinne der Datenschutzgrundverordnung und wie findet sie statt?

Vorgehen bei einer Interessenabwägung

Das Ermitteln eines berechtigten und eines für die Datenverarbeitung erforderlichen Interesses sind erste wichtige Schritte. Sie allein reichen allerdings noch nicht aus. Abschließend muss eine objektive Abwägung der Interessen des Verantwortlichen mit den Interessen, Grundfreiheiten und Grundrechten des Betroffenen stattfinden, eine sogenannte Interessenabwägung.

Hierbei werden zunächst die genau ermittelten Interessen des Verantwortlichen angeführt und anschließend ihrer Bedeutung nach geordnet. Stützen sich die Interessen dabei auf Grundrechte oder handelt es sich um Interessen, die auch die Allgemeinheit verfolgt, so sind diese an erste Stelle zu setzen.

Nun werden Grundrechte und Grundfreiheiten, aber auch Erwartungen und Interessen der betroffenen Person bestimmt und ebenfalls nach ihrer Bedeutung geordnet.
Im letzten und wichtigsten Schritt kommt es zur eigentlichen Abwägung. Dabei werden neben der ermittelten Gewichtung insbesondere auch die Art und die Menge, die Speicherdauer und die gegebenen Sicherheitsvorkehrungen für die zu verarbeitenden Daten berücksichtigt. Ebenso auch, ob der Betroffene bei Erhebung der Daten eine solche Verarbeitung erwarten konnte oder ob er selbst noch ein Kind ist.

Die Abwägung ist dann erfolgreich, wenn die Interessen und Rechte des Betroffenen die Interessen des Verantwortlichen nicht eindeutig überwiegen. Sollten sie überwiegen, so können geeignete Sicherheitsmaßnahmen bei bspw. besonders sensiblen Daten, eine erkennbare Anzeige der späteren Datenverarbeitung bei Erhebung oder ein eindeutiger Hinweis auf ein Widerspruchsrecht installiert werden, um eine erneute Abwägung zugunsten des Verantwortlichen entscheiden zu lassen.
So kann sich auf die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe f gestützt werden.

Eine berechtigtes Interesse nach DSGVO.

Wie Sie Ihr berechtigtes Interesse nachweisen

Obwohl es nicht explizit nach DSGVO gefordert ist, kann es ratsam sein, die Interessenabwägung kurz auch im Verzeichnis von Verarbeitungstätigkeiten zu formulieren bzw. in der Datenschutzerklärung öffentlich zu machen.

Eine Musterformulierung für eine Interessenabwägung finden Sie in unseren Vorlagenpaketen zu jeder Verabreitungstätigkeit.

Beispiel zur Interessenabwägung nach DSGVO

Zur besseren Anschaulichkeit soll folgendes Beispiel dienen:

Eine Online-Apotheke möchte die Wünsche der Webseitenbesucher herausfinden und die Kontaktdaten der Bestandskunden nutzen, um gezielte Werbung und Rabattaktionen verschicken zu können. Kann sie die Datenverarbeitung zur Wahrung eigener berechtigter Interessen vornehmen?

  1. Welche Interessen hat der Verantwortliche und sind diese berechtigt?
    – gezieltes Marketing, verbesserte Angebote, Kennenlernen der Kunden
    – das ist durchaus berechtigt
  2. Ist die Verarbeitung der Daten erforderlich, um dieses Interesse zu wahren?
    – Ja, es gibt kein anderes gleich effektives Mittel.
  3. Interessenabwägung
    – Welche Relevanz haben die Interessen des Verantwortlichen?
    1. Teilnahme am Wirtschaftsverkehr, 2. Kundenakquise, 3. Marketing
    – Welche Interessen, Grundrechte und Grundfreiheiten hat der Kunde bzw. der Webseitenbesucher?
    1. Recht auf Privatsphäre, 2. Interesse an der Sicherheit der eigenen Daten
    – Welches Interesse überwiegt?
    Die Rechte der Betroffenen werden hier nicht angetastet. Es handelt sich um keine besonders schutzwürdigen Daten (lediglich die Adresse und die E-Mailadresse sollen genutzt werden). Außerdem werden die Neu- und auch die Bestandskunden auf ihr Recht zum Widerspruch deutlich hingewiesen. Die Werbung auf Grundlage berechtigter Interessen ist hier zulässig.
  4. Dokumentation der Entscheidungsfindung
    – Die Interessen des Verantwortlichen überwiegen stark, die Verarbeitung ist also nicht unverhältnismäßig.

Anders würde es sich verhalten, wenn die Apotheke sensible Daten (wie z.B. Krankheitsbilder oder Befunde) in sehr großen Mengen und unter dem Zugriff etlicher Mitarbeiter und Externer nutzt, um Broschüren und Werbematerial zu erstellen. Hier könnte man ohne geeignete Sicherheitsvorkehrungen von einem Überwiegen der Rechte der Betroffen ausgehen.

Das Verhältnis zu anderen Rechtsgrundlagen der DSGVO

Die Möglichkeit der Rechtsgrundlage der berechtigten Interessen wird als letzte Variante des Artikel 6 DSGVO angeführt. Es ist jedoch ein Irrtum, daraus zu schlussfolgern, es sei sicherer, aus diesem Grund die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen, da alle Varianten des Artikels 6 Absatz 1 a – f gleichberechtigt sind. Man sollte sich insbesondere nicht auf die erstbeste Variante stürzen, sondern stets überlegen, welche der sechs zulässigen Rechtsgrundlagen am besten für den vorliegenden Fall geeignet ist.

Danach kann natürlich auch die Einwilligung (Artikel 6 Absatz 1 Buchstabe a DSGVO) die passende Rechtsgrundlage sein (z. B. bei der Verarbeitung besonders geschützter und sensibler Daten). Doch gerade das Vorliegen eines berechtigten Interesses erspart eine solche Einwilligungserklärung und kann auch eingreifen, wenn bspw. auch die Rechtsgrundlage der Vertragserfüllung nicht einschlägig ist (z.B. Installieren einer Videoüberwachung der Mitarbeiter in einer risikobehafteten Abteilung des Unternehmens, um Gefahrensituationen frühzeitig zu erkennen).

Fazit

Das berechtigte Interesse erfordert also nicht nur das das Vorliegen allgemeiner Voraussetzungen, sondern zudem auch eine komplexe Interessenabwägung. Es ist nachvollziehbar, dass sich viele Unternehmen an einigen Punkten unsicher sind und Angst haben, eine unrichtige oder unvollständige Interessenabwägung durchzuführen, sodass die Datenverarbeitung ohne zulässige Rechtsgrundlage betrieben würde.
Die aufgeführten Kriterien helfen allerdings, diese Unsicherheit zu überwinden. Seien Sie sich vor allem folgenden Punkten bewusst:

  1. Ermitteln Sie zunächst Ihre Interessen an der Datenverarbeitung und schauen Sie, ob die Datenverarbeitung für die Interessenwahrung auch erforderlich ist!
  2. Wägen Sie Ihre Interessen mit denen des Betroffenen objektiv und nicht nur aus Ihrer Sicht ab!
  3. Bei Zweifeln oder Überwiegen der Betroffeneninteressen aufgrund zu niedriger Datensicherheit, überdenken Sie ihre Sicherheitsvorkehrungen im Unternehmen und überprüfen Ihre Umsetzung der DSGVO-Grundsätze.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-6-dsgvo/

https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf