Für Unternehmen und Vereine ist das „berechtigte Interesse“ (Art. 6 Abs. 1 lit. f DSGVObzw. § 6 Nr. 4 DSG-EKD) eine der flexibelsten und wichtigsten Rechtsgrundlagen imDatenschutz-Alltag. Eine aktuelle Fallzusammenfassung des EuropäischenDatenschutzausschusses (EDPB) zeigt jedoch, dass die Aufsichtsbehörden hierbei immerstrenger hinschauen.
Das Überraschende dabei: In fast jedem untersuchten Fall wurde das vomVerantwortlichen geltend gemachte Interesse von den Behörden grundsätzlich alsberechtigt anerkannt. Und dennoch scheitern viele Organisationen bei einer Überprüfung.
Den Verantwortlichen gelingt es häufig nicht nachzuweisen, dass sie sich in ihremkonkreten Einzelfall tatsächlich auf diese Rechtsgrundlage stützen konnten – weil dieVerarbeitung die nachfolgenden Prüfungen der Erforderlichkeit und der detailliertenInteressenabwägung nicht bestand.
Erfahren Sie im Folgenden, wie Sie teure Fallstricke vermeiden und das berechtigteInteresse rechtssicher in Ihrer Praxis verankern.
Der 3-Stufen-Test: Ihr rechtliches Fundament
Damit Sie sich auf ein berechtigtes Interesse berufen können, müssen grundsätzlich dreiBedingungen
kumulativ (also gleichzeitig) erfüllt sein:
- Interesse festlegen: Sie oder ein Dritter müssen ein legitimes Interesse verfolgen.
- Erforderlichkeit prüfen: Die Datenverarbeitung muss zwingend notwendig sein,um dieses Ziel zu erreichen.
- Abwägungsprüfung durchführen: Die Grundrechte und Interessen derbetroffenen Personen dürfen Ihre Interessen nicht überwiegen.
Hinweis für den öffentlichen Sektor:
Eine öffentliche Stelle kann sich bei der Ausübunghoheitlicher Aufgaben ausdrücklich nicht auf diese Rechtsgrundlage berufen. Für Vereineund Unternehmen bleibt sie jedoch eine zentrale Säule.
Die drei größten Praxis-Fallen – und wie Sie dieseumgehen
Die Auswertung der europäischen Behördenentscheidungen zeigt, dass Verantwortlicheselten am Interesse selbst, sondern an der korrekten Umsetzung, scheitern.
1. Falle: Zu vage Formulierungen
Floskeln wie „Inhalte messen“ oder „Marktforschung“ reichen nicht aus. Der EuropäischeGerichtshof (EuGH) hat zwar bestätigt, dass rein kommerzielle Interessen (z. B.Produktvermarktung) grundsätzlich legitim sein können. Sie müssen das konkreteInteresse aber präzise benennen. Ein vage formuliertes Interesse führt dazu, dass dieRechtsgrundlage unwirksam ist und gleichzeitig die Transparenzpflicht verletzt wird.
- Praxistipp: Trennen Sie klar zwischen Ihrem übergeordneten Interesse und dem
konkreten Verarbeitungszweck (dem spezifischen Ziel der Datenverarbeitung). - Beispiele für Interessen: Betrugsprävention, Schutz vor Vandalismus undDiebstahl, Wahrung des Hausrechts, Reichweitenmessung und statistischeAnalysen, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,[... ]
- Beispiele für den Zweck: Feststellung der Zahlungsfähigkeit, Prävention undAufklärung, Überwachung von kritischen Bereichen, Dokumentation von Vorfällen,[...]
2. Falle: Die Verarbeitung ist nicht „erforderlich“
Gibt es ein milderes, ebenso effektives Mittel, um Ihr Ziel zu erreichen? Wenn ja, ist dieDatenverarbeitung unzulässig. Beispielsweise stuften Behörden die verpflichtendeErhebung von Telefonnummern im Kundenservice oder das Speichern von Gästefotos zurBetrugsprävention in Hotels als nicht erforderlich ein, da E-Mails oder Namensabgleicheausgereicht hätten.
- Praxistipp: Prüfen Sie stets den Grundsatz der Datenminimierung. Nutzen Sie nurdie Daten, die für das Erreichen des Zwecks absolut unverzichtbar sind.
3. Falle: Verletzung der „vernünftigen Erwartungen“
Eine Datenverarbeitung darf für Kunden oder Vereinsmitglieder keine unvorhersehbareÜberraschung sein. Die berechtigten Erwartungen orientieren sich stark an derbestehenden Beziehung zwischen der betroffenen Person und Ihrer Organisation. WerDaten ohne ausreichende Transparenz verarbeitet, scheitert in der Regel bei derInteressenabwägung.
- Praxistipp: Sorgen Sie für lückenlose Transparenz. Informieren Sie in IhrerDatenschutzerklärung präzise vorab über Ihre berechtigten Interessen sowie überdas bestehende Widerspruchsrecht.
Dokumentation vorab erstellen
Ein fataler Fehler vieler Organisationen ist es, die Interessenabwägung erst dann zukonstruieren, wenn die Aufsichtsbehörde bereits eine Prüfung eingeleitet hat. Einenachträgliche, rückwirkende Heilung wird von den Behörden in der Regel strikt abgelehnt.Die Prüfung muss ex ante – also vor Beginn der Datenverarbeitung – schriftlichdokumentiert vorliegen.
Mit einer sauberen Dokumentation und transparenten Informationen sichern Sie IhrUnternehmen und Ihren Verein rechtlich ab.
Quelle: One-Stop-Shop case digest on the legal basis of "legitimate interest"
Verwandte Beiträge
Prüfung der Aufsichtsbehörden zur AuskunftAm 16. Januar 2025 hat der Europäische Datenschutzausschuss (EDSA) seinen Berichtzur europaweiten Prüfung der Umsetzung…
Passwortwechsel GoodbyeDer regelmäßige Passwortwechsel entsprich nach dem aktuellen IT-Grundschutzkompendium nicht mehr dem Stand der Technik. Das…
Orientierungshilfe für VideoüberwachungIn einer neuen Orientierungshilfe informiert die DSK über den Einsatz von Videoüberwachung: Der Begriff…