Berechtigtes Interesse und Interessenabwägung nach DSGVO

Sie sind hier: Startseite » Fachbeiträge » Berechtigtes Interesse und Interessenabwägung nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

An die Verarbeitung personenbezogener Daten stellt die DSGVO hohe Anforderungen, um die Privatsphäre der Betroffenen und deren Datensicherheit zu wahren.
Dieser Artikel soll Ihnen zeigen:

was das berechtigte Interesse nach DSGVO ist,
wie Sie das berechtigte Interesse prüfen,
was eine Interessenabwägung nach DSGVO mit dem berechtigten Interesse zu tun hat,
wie Sie Ihre Interessenabwägung richtig dokumentieren,
und Sie erhalten ein kostenloses Prüfungsschema Muster zur Hand.

Unter anderem muss die Datenverarbeitung gemäß Artikel 6 DSGVO anhand einer zulässigen Rechtsgrundlage durchgeführt werden. Um ganz sicherzugehen, lassen sich viele Unternehmen per se die schriftliche Einwilligung zur Verarbeitung der Daten ihrer Kunden geben. Die Datenschutz-Grundverordnung führt jedoch noch weitere Rechtsgrundlagen an, auf die Sie sich als Unternehmen stützen können. Eine mögliche Grundlage ist das Vorliegen eines berechtigten Interesses des Verantwortlichen an der Datenverarbeitung (Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO).

Nachfolgend wird näher auf diese Problematik eingegangen.

Inhalte

Was bedeutet berechtigtes Interesse?
Was ist ein berechtigtes Interesse?
Was ist eine Interessenabwägung im Sinne der Datenschutzgrundverordnung und wie findet sie statt?
Das Verhältnis zu anderen Rechtsgrundlagen der DSGVO
Häufige Fragen zum Thema berechtigtes Interesse und Interessenabwägung nach EU-Datenschutz-Grundverordnung
Fazit
Quellen

Was bedeutet berechtigtes Interesse?

Der Wortlaut des Artikels 6 Absatz 1 Satz 1 Buchstabe f DSGVO besagt, dass die Verarbeitung nur dann rechtmäßig ist, wenn sie zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen, Grundrechte und Grundfreiheiten des Betroffenen überwiegen.

Daraus lässt sich schließen, dass allein ein Interesse an der Verarbeitung nicht ausreicht. Vielmehr müssen noch weitere Voraussetzungen vorliegen, was womöglich der Grund ist, weshalb sich viele Unternehmen lieber eine Einwilligung des Betroffenen einholen. Dabei ist es gar nicht so kompliziert, wenn man sich an folgende Reihenfolge hält:

Welches Interesse verfolgen Sie mit der Verarbeitung? Ist dieses Interesse auch berechtigt? Falls ja:
Ist die Datenverarbeitung zur Wahrung Ihres berechtigten Interesses erforderlich? Falls ja:
Stehen Ihrem Interesse Grundfreiheiten oder Grundrechte des Betroffenen der Datenverarbeitung entgegen (diese müssen überwiegen!)? Falls nein:
Die Rechtsgrundlage ist zulässig und kann zur Datenverarbeitung herangezogen werden.

Die Interessenabwägung nach DSGVO kann in 4 Schritten mit diesem kostenlosen Muster erfolgen.

Was ist ein berechtigtes Interesse?

Ein berechtigtes Interesse ist also ein konkretes Interesse an einer Datenverarbeitung, welches eine rechtliche Grundlage haben muss.

Begriffsbestimmung

Nun ist geklärt, dass im ersten Schritt ein Interesse an der Datenverarbeitung vorliegen muss. Doch wie weit geht das? Wann ist ein Interesse berechtigt?
Grundsätzlich umfasst das Interesse jedes rechtliche, tatsächliche oder wirtschaftliche Bestreben bzw. der Nutzen des Verantwortlichen oder seiner Dienstleister, solange es klar und eindeutig bestimmt wurde.

Hinzukommend muss das Interesse berechtigt sein. Mit dieser Einschränkung fallen Interessen des Verantwortlichen heraus, die gegen die Rechtsordnung gerichtet sind. Das sind zum Beispiel durch andere Gesetze (z.B. §203 des Strafgesetzbuches) verbotene Handlungen (z.B. der Datenschutzbeauftragte einer Arztpraxis bekommt Zugang zu Geheimnissen, die den Ärzten anvertraut wurden und offenbart diese). Dieses Interesse kann die DSGVO nicht schützen.

Beispiele für berechtigte Interessen gem Art. 6 Abs. 1 lit. f DSGVO

Nun soll anhand einiger Beispiele verdeutlicht werden, wann ein solches Interesse berechtigt ist. Die Erwägungsgründe 47 bis 49 der DSGVO selbst enthalten Beispiele:

Ist der Betroffene zugleich Kunde eines bestimmten Unternehmens und kann er aufgrund dieser Beziehung mit einer weiteren Verarbeitung seiner Daten rechnen, ist ein berechtigtes Interesse des Verantwortlichen des Unternehmens gegeben, insbesondere bei Direktwerbung von (Bestands-)Kunden.
Sollen personenbezogene Kundendaten innerhalb eines Unternehmens oder einer Unternehmensgruppe bspw. zu Verwaltungszwecken übermittelt werden, besteht ein berechtigtes Interesse des Verantwortlichen.
Um unbefugten Dritten den Zugang zu Computersystemen zu verwehren und die IT-Sicherheit aufrecht zu erhalten, haben Betreiber solcher Systeme und von Notdiensten ein berechtigtes Interesse an der Datenverarbeitung.

Ebenfalls weitere berechtigte Interessen können sein:

wissenschaftliche, historische und statistische Zwecke
Marktforschungszwecke
politische Kampagnen zur Information der Bevölkerung
Ausübung des Rechts auf Meinungsfreiheit

Wann ist das berechtigte Interesse auch erforderlich?

Die Datenverarbeitung muss weiterhin zur Wahrung des berechtigten Interesses erforderlich sein. Sie ist dann erforderlich, wenn ihr Zweck durch kein anderes, milderes Mittel erreicht werden kann.

Kann sich also der Verantwortliche einer anderen und weniger einschneidenden Möglichkeit bedienen, die den Zweck der Datenverarbeitung gleichsam effektiv erreicht, ist die Datenverarbeitung nicht erforderlich.

Praxisbeispiel: Der Geschäftsführer möchte die Geburtstage seiner Mitarbeiter in einem gesonderten Kalender eintragen, um kleine Präsente zu verteilen. Dazu will er die Geburtsurkunden aller Mitarbeiter einscannen und daraus die Geburtstage abschreiben. Milder wäre es jedoch, lediglich das Geburtsdatum zu erfragen oder in die Arbeitsverträge zu schauen. Dann wäre eine erneute Datenerhebung gar nicht notwendig.

Was ist eine Interessenabwägung im Sinne der Datenschutzgrundverordnung und wie findet sie statt?

Das Ermitteln eines berechtigten und eines für die Datenverarbeitung erforderlichen Interesses sind erste wichtige Schritte. Sie allein reichen allerdings noch nicht aus. Abschließend muss eine objektive Abwägung der Interessen des Verantwortlichen mit den Interessen, Grundfreiheiten und Grundrechten des Betroffenen stattfinden, eine sogenannte Interessenabwägung.

Vorgehen bei einer Interessenabwägung

Ermittlung der Interessen beider Parteien
Priorisierung der Interessen des Verantwortlichen
Bestimmung und Ordnung der Interessen des Betroffenen (Grundrechte, Grundfreiheiten, Erwartungen und Interessen der betroffenen Person)
Durchführung der eigentlichen Interessenabwägung
Anpassung bei Überwiegen der Betroffeneninteressen und ggf. Einstellung der Verarbeitung
Dokumentation des Vorgehens und des Ergebnisses

Hierbei werden zunächst die genau ermittelten Interessen des Verantwortlichen angeführt und anschließend ihrer Bedeutung nach geordnet. Stützen sich die Interessen dabei auf Grundrechte oder handelt es sich um Interessen, die auch die Allgemeinheit verfolgt, so sind diese an erste Stelle zu setzen.

Nun werden Grundrechte und Grundfreiheiten, aber auch Erwartungen und Interessen der betroffenen Person bestimmt und ebenfalls nach ihrer Bedeutung geordnet.
Im letzten und wichtigsten Schritt kommt es zur eigentlichen Abwägung. Dabei werden neben der ermittelten Gewichtung insbesondere auch die Art und die Menge, die Speicherdauer und die gegebenen Sicherheitsvorkehrungen für die zu verarbeitenden Daten berücksichtigt. Ebenso auch, ob der Betroffene bei Erhebung der Daten eine solche Verarbeitung erwarten konnte oder ob er selbst noch ein Kind ist.

Als Leitlinie für die Interessen der Betroffenen Person können die Art. 7 und 8 der Charta der Grundrechte der Europäischen Union herangezogen werden:

Die Abwägung ist dann erfolgreich, wenn die Interessen und Rechte des Betroffenen die Interessen des Verantwortlichen nicht eindeutig überwiegen. Sollten sie überwiegen, so können geeignete Sicherheitsmaßnahmen bei bspw. besonders sensiblen Daten, eine erkennbare Anzeige der späteren Datenverarbeitung bei Erhebung oder ein eindeutiger Hinweis auf ein Widerspruchsrecht installiert werden, um eine erneute Abwägung zugunsten des Verantwortlichen entscheiden zu lassen.
So kann sich auf die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe f DSGVO gestützt werden.

Wie Sie Ihr berechtigtes Interesse nachweisen

Obwohl es nicht explizit nach DSGVO gefordert ist, kann es ratsam sein, die Interessenabwägung kurz auch im Verzeichnis von Verarbeitungstätigkeiten zu formulieren bzw. in der Datenschutzerklärung öffentlich zu machen.

Eine Musterformulierung für eine Interessenabwägung finden Sie in unseren Vorlagenpaketen zu jeder Verarbeitungstätigkeit.

Beispiel zur Interessenabwägung nach DSGVO

Zur besseren Anschaulichkeit soll folgendes Beispiel dienen:

Eine Online-Apotheke möchte die Wünsche der Webseitenbesucher herausfinden und die Kontaktdaten der Bestandskunden nutzen, um gezielte Werbung und Rabattaktionen verschicken zu können. Kann sie die Datenverarbeitung zur Wahrung eigener berechtigter Interessen vornehmen?

Analysieren im Team. Die Interessenabwägung als Analytischer Prozess.

Welche Interessen hat der Verantwortliche und sind diese berechtigt?
– gezieltes Marketing, verbesserte Angebote, Kennenlernen der Kunden
– das ist durchaus berechtigt
Ist die Verarbeitung der Daten erforderlich, um dieses Interesse zu wahren?
– Ja, es gibt kein anderes gleich effektives Mittel.
Interessenabwägung
– Welche Relevanz haben die Interessen des Verantwortlichen?
1. Teilnahme am Wirtschaftsverkehr, 2. Kundenakquise, 3. Marketing
– Welche Interessen, Grundrechte und Grundfreiheiten hat der Kunde bzw. der Webseitenbesucher?
1. Recht auf Privatsphäre, 2. Interesse an der Sicherheit der eigenen Daten
– Welches Interesse überwiegt?
Die Rechte der Betroffenen werden hier nicht angetastet. Es handelt sich um keine besonders schutzwürdigen Daten (lediglich die Adresse und die E-Mailadresse sollen genutzt werden). Außerdem werden die Neu- und auch die Bestandskunden auf ihr Recht zum Widerspruch deutlich hingewiesen. Die Werbung auf Grundlage berechtigter Interessen ist hier zulässig.
Dokumentation der Entscheidungsfindung
– Die Interessen des Verantwortlichen überwiegen stark, die Verarbeitung ist also nicht unverhältnismäßig.

Anders würde es sich verhalten, wenn die Apotheke sensible Daten (wie z.B. Krankheitsbilder oder Befunde) in sehr großen Mengen und unter dem Zugriff etlicher Mitarbeiter und Externer nutzt, um Broschüren und Werbematerial zu erstellen. Hier könnte man ohne geeignete Sicherheitsvorkehrungen von einem Überwiegen der Rechte der Betroffen ausgehen.

Interessenabwägung und berechtigtes Interesse nach DSGVO prüfen – so geht’s

Benötigte Zeit: 2 Stunden

Wie Sie eine Interessenabwägung durchführen und Ihre berechtigtes Interesse dokumentieren

Beschreiben Sie intern den genauen Zweck
Normalerweise sollte der Zweck schon alleine aus dem Verzeichnis von Verarbeitungstätigkeiten hervorgehen. Sollten Sie dieses noch nicht haben, so wäre jetzt der ideale Zeitpunkt es zu erstellen.

Beschreiben Sie welchen Zweck die Verarbeitung hat, für welche Sie Ihr berechtigtes Interesse vorbringen möchten.
Prüfen Sie Rechtsgrundlage und Erforderlichkeit
Fragen Sie sich, ob Ihren Interessen ggf. rechtliche Schranken entgegen stehen. Nur wenn dies nicht der Fall ist, können Sie auch ein berechtigtes Interesse anmelden. Fragen Sie sich auch, ob die Verarbeitung unbedingt erforderlich ist, ggf. gibt es mildere Mittel, die ohne Verarbeitung auskommen.
Machen Sie eine Interessenabwägung
Welche überwiegen mehr, Ihr Interesse an der Datenverarbeitung oder die Grundrechte und Grundfreiheiten des Betroffenen? Hier kommt die eigentlich Interessenabwägung zum Tragen, an dessen Ende Sie entscheiden müssen: kann ich mich auf mein berechtigtes Interesse stützen oder nicht?
Dokumentieren Sie alles
Nach dem Sie festgestellt haben, dass Ihre Interessen überwiegen und geprüft haben, ob es nicht auch anders geht, müssen Sie Ergebnis festhalten. Manche Unternehmen schreiben ihre Interessenabwägung sogar in Ihre Datenschutzerklärung auf die Webseite. Dies ist als maximal transparenter Weg zu sehen.

Auf jeden Fall sollten Sie das ganze an zentraler Stelle dokumentieren, am besten direkt im Verzeichnis von Verarbeitungstätigkeiten.

Das Verhältnis zu anderen Rechtsgrundlagen der DSGVO

Die Möglichkeit der Rechtsgrundlage der berechtigten Interessen wird als letzte Variante des Artikel 6 DSGVO angeführt. Es ist jedoch ein Irrtum, daraus zu schlussfolgern, es sei sicherer, aus diesem Grund die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen, da alle Varianten des Artikels 6 Absatz 1 a – f gleichberechtigt sind. Man sollte sich insbesondere nicht auf die erstbeste Variante stürzen, sondern stets überlegen, welche der sechs zulässigen Rechtsgrundlagen am besten für den vorliegenden Fall geeignet ist.

Danach kann natürlich auch die Einwilligung (Artikel 6 Absatz 1 Buchstabe a DSGVO) die passende Rechtsgrundlage sein (z. B. bei der Verarbeitung besonders geschützter und sensibler Daten). Doch gerade das Vorliegen eines berechtigten Interesses erspart eine solche Einwilligungserklärung und kann auch eingreifen, wenn bspw. auch die Rechtsgrundlage der Vertragserfüllung nicht einschlägig ist (z.B. Installieren einer Videoüberwachung der Mitarbeiter in einer risikobehafteten Abteilung des Unternehmens, um Gefahrensituationen frühzeitig zu erkennen).

Häufige Fragen zum Thema berechtigtes Interesse und Interessenabwägung nach EU-Datenschutz-Grundverordnung

FAQ-Fragezeichen. Häufige Fragen zum berechtigten Interesse.

Was ist berechtigtes Interesse im Sinne der DSGVO?

Das berechtigte Interesse ist eine der 6 Rechtsgrundlagen, welche im Art. 6 Absatz 1 DSGVO genannt werden, die es einem Verantwortlichen erlauben, personenbezogene Daten von Betroffenen zu verarbeiten.

Wie kann das berechtigte Interesse nachgewiesen werden?

Der einfachste Nachweis ist über eine Interessenabwägung, welche die Interessen des Betroffenen und des Datenverarbeiters abwägt und zu einem positiven oder negativen Ergebnis kommt.

Was sind Beispiele für berechtigte Interessen nach DSGVO?

– bestehende Geschäftsbeziehung
– Verwaltungszwecke
– Sicherung interner Systeme
– wissenschaftliche, historische und statistische Zwecke
– Marktforschungszwecke
– politische Kampagnen zur Information der Bevölkerung
– Ausübung des Rechts auf Meinungsfreiheit

Was bedeutet berechtigtes Interesse bei Cookies?

Aus bestimmten Gründen kann es sich ergeben, dass ein Webseitenbetreiber, anstatt sich eine Einwilligung zu holen, ein Cookie auch auf Grund seines berechtigten Interesses setzen darf. Dies ist in der Cookie-Richtlinie oder in der Datenschutzerklärung zu erfassen.

Was bedeutet legitimes Interesse?

Legitimes Interesse ist ein anderes Wort für berechtigtes Interesse.

Was ist eine Interessenabwägung?

Eine Interessenabwägung ist ein Vergleich der Interessen eines Betroffenen und denen des Datenverarbeiters. Hierbei wird abgewägt, ob die einen Interessen die anderen überwiegen und ob im Endeffekt eine Datenverarbeitung stattfinden darf. Eine Interessenabwägung sollte ausführlich dokumentiert werden, wenn diese als Rechtsgrundlage der Datenverarbeitung verwendet werden soll.

Fazit

Das berechtigte Interesse erfordert also nicht nur das das Vorliegen allgemeiner Voraussetzungen, sondern zudem auch eine komplexe Interessenabwägung. Es ist nachvollziehbar, dass sich viele Unternehmen an einigen Punkten unsicher sind und Angst haben, eine unrichtige oder unvollständige Interessenabwägung durchzuführen, sodass die Datenverarbeitung ohne zulässige Rechtsgrundlage betrieben würde.
Die aufgeführten Kriterien helfen allerdings, diese Unsicherheit zu überwinden. Seien Sie sich vor allem folgenden Punkten bewusst:

Ermitteln Sie zunächst Ihre Interessen an der Datenverarbeitung und schauen Sie, ob die Datenverarbeitung für die Interessenwahrung auch erforderlich ist!
Wägen Sie Ihre Interessen mit denen des Betroffenen objektiv und nicht nur aus Ihrer Sicht ab!
Bei Zweifeln oder Überwiegen der Betroffeneninteressen aufgrund zu niedriger Datensicherheit, überdenken Sie ihre Sicherheitsvorkehrungen im Unternehmen und überprüfen Ihre Umsetzung der DSGVO-Grundsätze.