judges desk with gavel and scales
Photo by Sora Shimazaki on Pexels.com
Posted inDatenschutz

DSGVO: Berechtigte Interessen – EDSA Leitlinien

Verarbeitung personenbezogener Daten auf Grundlage berechtigter Interessen: Neue Leitlinien des EDSA

In der Praxis dient Art. 6 Abs. 1 Buchst. f der Datenschutz-Grundverordnung (DSGVO) häufig als Rechtsgrundlage, um personenbezogene Daten zu verarbeiten: die sogenannten „berechtigten Interessen“. Der Europäische Datenschutzausschuss (EDSA) hat jedoch neue Leitlinien (1/2024) herausgegeben, die ein Prüfkonzept vorgeben, um festzustellen, ob „berechtigte Interessen“ eine tragfähige Rechtsgrundlage für eine Datenverarbeitung darstellen. Der EDSA warnt davor, „berechtigte Interessen“ als letzte Möglichkeit zu nutzen, wenn alle anderen Rechtsgrundlagen der DSGVO nicht greifen.

Umfassende Prüfung erforderlich: Nach Auffassung des EDSA ist Artikel 6 Abs. 1 Buchst. f DSGVO weder einfach anzuwenden noch als Auffangbecken gedacht. Verantwortliche müssen vielmehr eine umfassende Prüfung durchführen, um „berechtigte Interessen“ als Rechtsgrundlage nutzen zu können. Der EDSA legt bei der Definition berechtigter Interessen strenge Maßstäbe an, um zu vermeiden, dass die Formulierung zum Auffangbecken für Datenverarbeitungen ohne konkrete Rechtsgrundlage wird.

Drei Prüfschritte für die Verarbeitung auf Grundlage berechtigter Interessen:

Verantwortliche müssen vor jeder Verarbeitung prüfen, ob „berechtigte Interessen“ als Rechtsgrundlage tragfähig sind. Gegebenenfalls sollte der Datenschutzbeauftragte (DSB) in die Prüfung einbezogen werden. Die Prüfung umfasst drei Schritte:

1. Rechtmäßiges Interesse des Verantwortlichen: Zunächst muss ein rechtmäßiges Interesse vorliegen. Verantwortliche müssen zwischen dem Interesse und dem Verarbeitungszweck unterscheiden. Das Interesse ist der weiter gefasste Begriff (Beispiel: Interesse an Produktbewerbung; Verarbeitungszweck: Direktmarketing). Damit ein Interesse rechtmäßig ist, muss es folgende Voraussetzungen erfüllen:

  • Gesetzmäßigkeit: Das Interesse muss dem Recht der EU oder des Mitgliedstaats entsprechen und darf vorhandenen Regelungen nicht widersprechen (Negativbeispiel: Direktwerbung für Tabakprodukte).
  • Klarheit und Eindeutigkeit: Das Interesse muss klar und eindeutig identifiziert sein (Negativbeispiel: Videoüberwachung „für Zwecke der Gemeinschaft“).
  • Echtheit und Bestehen: Das Interesse muss echt und bestehend sein; rein hypothetische oder zukünftig mögliche Interessen genügen nicht (Negativbeispiel: Datensammlung früherer Abonnenten für ein noch nicht geplantes Magazin).
  • Bezug zum Verantwortlichen oder einem Dritten: Das rechtmäßige Interesse muss für den Verantwortlichen oder einen Dritten bestehen und mit den aktuellen Aktivitäten oder Tätigkeiten zusammenhängen.

2. Notwendigkeit der Verarbeitung für die legitimen Interessen des Verantwortlichen: Ist der erste Prüfschritt erfolgreich, muss überprüft werden, ob die Verarbeitung personenbezogener Daten notwendig ist, um das gesetzmäßige Interesse zu erreichen. Dabei sind folgende Überlegungen einzubeziehen:

  • Rechte und Freiheiten der betroffenen Personen: Lässt sich das Interesse mit weniger Eingriffen in die Rechte der Betroffenen erreichen? Falls ja, besteht keine Notwendigkeit der Verarbeitung!
  • DSGVO-Vorgaben: Die Prinzipien der DSGVO, wie die Datenminimierung, müssen beachtet werden. Der EuGH verlangt eine „strenge Notwendigkeit“ der Verarbeitung. Je sensibler oder privater die Daten sind, desto eher hat die Verarbeitung negative Auswirkungen auf die betroffene Person und desto mehr Gewicht erhalten diese Daten im Rahmen der Interessenabwägung.

3. Interessenabwägung im eigentlichen Sinne: In diesem Schritt müssen die eigenen Interessen den Interessen der betroffenen Personen im Einzelfall gegenübergestellt werden, um festzustellen, wessen Interesse schwerer wiegt. Ziel ist es, übermäßige Eingriffe abzuwenden und die Interessen der Beteiligten zueinander in Verhältnis zu setzen. Die Interessenabwägung gliedert sich in vier Teilschritte:

  1. Identifizierung der grundlegenden Rechte und Freiheiten sowie der Interessen der Betroffenen (z.B. Meinungsfreiheit, Eigentumsrechte, finanzielle und soziale Interessen).
  2. Feststellung der Einwirkung der beabsichtigten Verarbeitung auf die Betroffenen (positive oder negative, aktuelle oder potenzielle Auswirkungen). Hierbei sind Aspekte wie der Umfang der Verarbeitung, die Beziehung zum Betroffenen, eine mögliche Zusammenführung von Daten, die öffentliche Verfügbarkeit der Daten und der Status der Betroffenen (z.B. Kinder) zu berücksichtigen. Auch mögliche Konsequenzen wie rechtliche Auswirkungen, Diskriminierung, Reputationsschäden, finanzielle Verluste oder der Ausschluss von Dienstleistungen sind einzubeziehen. Besonders zu berücksichtigen sind Gefühle wie Kontrollverlust oder dauerhafte Beobachtung.
  3. Einbeziehung der vernünftigen Erwartungen der Betroffenen (basierend auf Erwägungsgrund 47 DSGVO). Hierbei sind der Charakter der Beziehung zum Verantwortlichen (Kunde/Nicht-Kunde), rechtliche Anforderungen und die Erwartungen des durchschnittlichen Betroffenen (Alter, Stellung in der Öffentlichkeit, Wissen und Verständnis) relevant. Verantwortliche dürfen nicht davon ausgehen, dass alle Betroffenen die gleichen Interessen haben.
  4. Gewichtung der Interessen der Beteiligten: Wessen Interessen wiegen schwerer? Besondere Vorsicht ist bei personenbezogenen Daten von Kindern oder Jugendlichen geboten.

Wichtig: Wenn im Rahmen der Interessenabwägung hohe Risiken identifiziert werden, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Es kann auch sinnvoll sein, bei Unklarheiten oder geplanten Schutzmaßnahmen den jeweils letzten positiven Prüfschritt zu wiederholen. Begrenzende Schutzmaßnahmen gehen dabei über die ohnehin von der DSGVO vorgeschriebenen Maßnahmen hinaus.

Dokumentationspflicht und Betroffenenrechte: Verantwortliche müssen die Durchführung der einzelnen Prüfschritte und die Ergebnisse der Interessenabwägung umfassend dokumentieren (Art. 5 Abs. 2 DSGVO) und diese der Aufsichtsbehörde auf Anfrage vorlegen können. Selbstverständlich müssen alle in der DSGVO geregelten Betroffenenrechte beachtet werden, einschließlich der Informationspflichten nach Art. 13 und 14 DSGVO. Dabei können die Ergebnisse der Interessenabwägung mitgeteilt werden. Auf Anfrage der betroffenen Person sind die Ergebnisse der Interessenabwägung mitzuteilen.

Fazit: Die neuen Leitlinien des EDSA bieten Verantwortlichen und Datenschutzbeauftragten eine umfangreiche Hilfestellung zur Verarbeitung personenbezogener Daten auf der Rechtsgrundlage berechtigter Interessen und sorgen für mehr Rechtsklarheit. Die Leitlinien befinden sich aktuell (Februar 2025) noch im Stadium der öffentlichen Konsultation, es ist aber davon auszugehen, dass sich die dargestellten Prüfschritte nicht wesentlich ändern werden.