Was ist eigentlich dieses „berechtigte Interesse“?

Fachbeitrag

Das berechtigte Interesse ist nur eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Oftmals scheint diese jedoch vergessen oder schlicht aus Unsicherheit nicht herangezogen zu werden. Denn noch immer werden Einwilligungen an Stellen eingeholt, an denen sie eigentlich gar nicht notwendig wären.

Die Voraussetzungen im Überblick

Art. 6 Abs. 1 DSGVO nennt sechs verschiedene Rechtsgrundlagen, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Eine davon ist die Verarbeitung auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Um die Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse stützen zu können, müssen drei Voraussetzungen gegeben sein.

  1. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche oder ein Dritter haben ein berechtigtes Interesse an der Datenverarbeitung.
  2. Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich.
  3. Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht.

Wenn diese drei Voraussetzungen kumulativ vorliegen, kann eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO und damit das berechtigte Interesse gestützt werden.

Zunächst beschäftigen wir uns mit der ersten Voraussetzung, also wann überhaupt ein berechtigtes Interesse vorliegt.

Wann ein „berechtigtes Interesse“ angenommen werden kann

Mit Art. 6 Abs. 1 lit. f DSGVO hat der Verordnungsgeber eine neue Rechtsgrundlage für die Datenverarbeitung geschaffen. Die Verarbeitung personenbezogener Daten ist demnach zulässig, wenn der Verantwortliche ein „berechtigtes Interesse“ an der Verarbeitung hat. Doch was ist überhaupt unter einem „berechtigten Interesse“ zu verstehen?

Begriffsbestimmung

Bei dem Begriff des berechtigten Interesses handelt es sich um einen unbestimmten Rechtsbegriff. Das bedeutet, dass der tatsächliche Gehalt durch Auslegung zu ermitteln ist.

Es stellt sich also die Frage, was überhaupt ein „berechtigtes Interesse“ ist. Schon die Datenschutzrichtlinie (RL 95/46/EG), der Vorgänger der DSGVO, kannte den Begriff. Auch Art. 7 lit. f DS-RL setzte das „berechtigtes Interesse“ voraus. Gemäß der Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG ist das Interesse

„das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte.“

Der Begriff des Interesses ist dem Wortlaut nach erkennbar weit gefasst und umfasst damit jedes rechtliche, tatsächliche, ideelle oder wirtschaftliche Interesse. Lediglich der Zusatz „berechtigt“ beschränkt den Begriff des Interesses. Sinn dieser Einschränkung ist, dass nur die Interessen von der Rechtsordnung geschützt werden sollen, die ihr nicht entgegenlaufen. Damit können nur solche Interessen, die einem strafrechtlichen oder sonstigen Verbot unterliegen, nicht berechtigt i.S.d Art. 6 Abs. 1 lit. f DSGVO sein. Eine weitere Einschränkung wird, abgesehen vom Ausschluss der behördlichen Aufgabenerfüllung in Art. 6 Abs. 1 lit. f S. 2 DSGVO, nicht vorgenommen.

Wessen Interesse ist gemeint?

Bei dem berechtigten Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO kann es sich nach dem Wortlaut des Artikels um das Interesse des Verantwortlichen oder eines Dritten handeln. Neben den berechtigten Interessen des Verantwortlichen kommen also auch berechtigte Drittinteressen als Grundlage für eine Verarbeitung in Frage.

Beispiele aus den Erwägungsgründen

Näheres zum Begriff des berechtigten Interesses findet sich auch in den Erwägungsgründen 47 bis 49. Hier werden Beispiele aufgeführt, wann für eine Verarbeitung personenbezogener Daten ein berechtigtes Interesse vorliegen kann.

Erwägungsgrund 47 nennt hier beispielsweise den Fall, dass

„eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“

Auch bei der Verarbeitung personenbezogener Daten zur Verhinderung von Betrug und zum Zwecke der Direktwerbung kann ein berechtigtes Interesse vorliegen.

Erwägungsgrund 48 nennt die Übermittlung zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigen. Auch hier besteht die Möglichkeit, dass der Verantwortliche ein berechtigtes Interesse an der Übermittlung hat. In diesem Zusammenhang wird auch oft vom kleinen Konzernprivileg gesprochen.

Laut Erwägungsgrund 49 kann ein berechtigtes Interesse in bestimmten Fällen auch dann vorliegen, wenn Netz- und Informationssicherheit gewährleistet werden sollen.

Die weiteren Voraussetzungen

Die Tatsache, dass der Verantwortliche oder ein Dritter ein solches berechtigte Interesse an der Datenverarbeitung geltend machen kann, bedeutet aber noch nicht, dass die Verarbeitung auch zulässig ist. Ob der Verantwortliche die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO stützen kann hängt ebenso sehr davon ab, ob die Verarbeitung für die Wahrung der berechtigten Interessen erforderlich ist und wie die anschließende Interessensabwägung im Ergebnis ausfällt. Insbesondere der Abwägung kommt ein hohes Gewicht zu. Da die Anforderungen an das Vorliegen eines berechtigten Interesses derart niedrig sind, liegt hier der eigentliche Knackpunkt. Die Identifikation des berechtigten Interesses ist lediglich der erste Schritt. Wie genau die darauf folgende Abwägung vorzunehmen ist, wird in einem gesonderten Artikel näher betrachtet.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

11 Kommentare zu diesem Beitrag

  1. Guten Tag,
    wenn ich im Rahmen einer ISO 9001-Zertifizierung verpflichtet bin, Kundenfeedback einzuholen und dann mit mir zur Verfügung gestellten eMail-Adressen eine Kundenbefragung durchführe, liegt dann nicht auch ein berechtigtes Interesse vor? Jüngste Gerichtsurteile fordern, dass vorab bereits eine Zustimmung eingeholt werden muss bzw. die Möglichkeit der Nutzung der eMail-Adresse zu einem solchen Zweck zu widersprechen. Wir sind jetzt davon ausgegangen, dass wir unsere 2018er Neukunden nicht in die diesjährige Kundenbefragung mit einschließen dürfen, da wir eine solche Info bisher nicht bei Auftragserteilung zur Verfügung gestellt haben. Bei der Befragung selbst war schon immer vermerkt, dass der Kunde mitteilen kann, dass er künftig keine Befragung mehr erhalten möchte. Dies scheint aber zeitlich zu spät zu sein.

    • Bei Kundenumfragen per E-Mail muss man immer auch darauf achten, ob eine solche Mail als Werbung einzustufen ist. In dem Fall ist man im Anwendungsbereich des UWG. Dann ist das Zusenden von Mails nur noch mit Einwilligung der Kunden oder nur in ganz bestimmten Ausnahmefällen auch ohne Einwilligung möglich (§ 7 UWG). Selbst wenn man zu dem Ergebnis kommen sollte, dass das UWG in dem Fall nicht anwendbar ist, reicht das Vorliegen eines berechtigten Interesses alleine noch nicht aus. Dazu kommt noch, dass die Verarbeitung für die Wahrung des berechtigten Interesses erforderlich sein muss und es müssen die Interessen des für die Verarbeitung Verantwortlichen und der betroffenen Person gegeneinander abgewogen werden. Erst, wenn man zu dem Ergebnis kommt, dass die Interessen der betroffenen Person den Interessen des Verantwortlichen nicht überwiegen, kann man die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO stützen.

  2. Ist ein genereller Ausschluss des Widerspruchsrechtes möglich?

    Ein deutscher Sportverband bietet seinen Mitgliedsvereinen folgenden -angeblich rechtlich sicheren- Text zur Verwendung an:

    „…nachfolgend senden wir Ihnen einen Text, der für Ausschreibungen im Bereich der Wettkämpfe jeglicher Art verwendet werden kann. Er wurde uns freundlicherweise vom XXX (Dachverband) zur Verfügung gestellt. Bitte benutzen Sie genau diesen Text, da er auf Konformität mit der neuen Datenschutzgrundverordnung geprüft wurde.

    Mit der Meldung zu Veranstaltungen des XXX und seinen Untergliederungen erklärt sich der Teilnehmer aus organisatorischen Gründen mit der Verarbeitung der wettkampfrelevanten personenbezogenen Daten, unter der Angabe von Name, Vereinsname, Verbandszugehörigkeit, Alter, Klasse, Wettkampfbezeichnung, Startnummer, Startzeiten und erzielten Ergebnissen einverstanden. Sie willigen ebenfalls in die Veröffentlichung der Start- und Ergebnislisten, sowie der Erstellung und Veröffentlichung von Fotos in Aushängen, im Internet, in Sozialen Medien und in weiteren Publikationen des XXX sowie dessen Untergliederungen ein. Aufgrund des berechtigten Interesses des Ausrichters an diesen Ergebnislisten sowie Fotos vom Wettbewerb und / oder Siegertreppchen für die Dokumentation bzw. Bewerbung des Sports in der Öffentlichkeit, besteht auch im Nachhinein kein Anspruch der Teilnehmer zur Löschung ihrer persönlichen Daten aus diesen Ergebnislisten bzw. von Fotos, die im Zusammenhang mit dem Wettkampf gefertigt und veröffentlicht wurden…“

    Gerade in Bezug auf die Bildveröffentlichungen habe ich hierbei für den einzelnen Sportverein Bauchschmerzen. Wäre dieser im Falle einer (vorsätzlich) falschen Formulierung ja haftbar…?!

    Vielen Dank für Ihre Einschätzung
    Gruß
    Max

    • Zu Ihrer Frage lässt sich ganz allgemein feststellen, dass die DSGVO zwischen einem Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) und einem Widerspruchsrecht (Art. 21 DSGVO) unterscheidet. Ein Widerspruchsrecht besteht gegen Datenverarbeitungen, die aufgrund einer Rechtsgrundlage durchgeführt werden (v.a. aus Art. 6 DSGVO; z.B. aufgrund eines „berechtigten Interesses“).

      Datenverarbeitungen, die aufgrund einer Einwilligung geschehen (und der Wortlaut des von Ihnen zitierten Passus lässt das Vorliegen einer Einwilligung sehr nahe liegen), müssen auch von der betroffenen Person widerrufen werden können. Ein Verzicht auf dieses Widerrufsrecht sieht die DSGVO nicht vor. Wird eine Einwilligung widerrufen, muss der Verantwortliche auf Verlangen der betroffenen Person gemäß Art. 17 Abs. 1 DSGVO die personenbezogenen Daten löschen, soweit nicht eine anderweitige Rechtsgrundlage für die weitere Verarbeitung vorliegt. Ob sich vorliegend auch auf eine Rechtsgrundlage gestützt wird, wird aus dem Wortlaut nicht ganz klar und darf im Rahmen dieses Blogs auch nicht tiefergehend beantwortet werden. Bitte haben Sie Verständnis dafür.

  3. Guten Tag,

    ist es auch ein berechtigtes Interesse, wenn ein Anbieter von Onlineschulungen vom Kunden (B2B für die Mitarbeiter und B2C Endverbraucher direkt) Daten verarbeitet (in die Software einspielt, um einen persönlichen Login zu generieren) wie Vorname, Nachname, Mailadresse und Geburstdatum, was u. a. zur Erstellung und dem Versand von Schulungsbescheinigungen verwendet wird?
    In den meisten Fällen werden vom Kundenansprechpartner Teilnehmerlisten gesendet.
    Spielt es eine Rolle, dass die Software über einen anderen Betreiber gehostet wird über eine nicht öffentliche Plattform? Daten werden direkt in das System eingegeben. Greift das privacy by design?

    Vielen Dank im Voraus für Ihre Einschätzung und fachliche Antwort.

    • Anbieter von Onlineschulung werden in der Regel im Auftrag des Vertragspartners die Daten der Mitarbeiter verarbeiten und als Auftragsverarbeiter tätig. Mit Endverbrauchern wird wohl direkt ein Vertrag abgeschlossen. Die DSGVO sieht mit Art. 6 Abs. 1 lit. b extra eine Rechtsgrundlage vor, für den Fall, dass die Datenverarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. In der Regel wird ein Rückgriff auf das berechtigte Interesse daher nicht notwendig sein.
      Der Hoster der Software könnte in dem Fall Subunternehmer des Anbieters von Onlineschulungen sein.
      Das Konzept „Privacy by Design“ gehört zu den grundlegenden Anforderungen und sollte immer beachtet werden.

  4. Hallo,

    kann ein Online Händler ohne meine Einwilligung Daten bei Infoscore bzw Schufa mit dem Hinweis auf ein berechtigtes Interesse abfragen, bzw. wie muss er sein berechtigtes Interesse zur Abfrage meiner persönlichen Daten glaubhaft machen?

    • Grundsätzlich ist eine Bonitätsprüfung mit vorheriger Einwilligung möglich. Hat der Händler allerdings ein berechtigtes Interesse an der Bonitätsprüfung, kann auch das Rechtsgrundlage sein. Von einem überwiegenden berechtigten Interesse des Onlinehändlers ist insbesondere dann auszugehen, wenn dieser in Vorleistung geht (beispielsweise Kauf auf Rechnung). Sein berechtigtes Interesse muss der Händler dann benennen.

  5. Hallo,

    ich bin im Bereich der Berechtigungsadministration mehrerer ERP Systeme in einem großen Handelskonzern tätig.
    Derzeit habe ich einen Fall, in dem wir die Berechtigungen eines Fachbereichs im Unternehmen aufräumen bzw. neu strukturieren wollen. Dies geschieht im ständigen Dialog mit dem zuständigen Bereichsleiter
    Wir haben ein Addon im Einsatz, das eigentlich für die Lizensierung gegenüber dem Softwarehersteller genutzt wird, das aber auch die Möglichkeit bietet, die tatsächliche Nutzung des Systems auszuwerten. Dieses Addon ist KPMG zertifiziert. Ich habe keine Möglichkeit, irgendwelche Anzahlen, Häufigkeiten, Belegnummern, Aufrufuhrzeiten oder ähnliches auszuwerten. Lediglich, ob eine Transaktion/ein Programm/ein Dialog innerhalb des System wurde; auf Ebene Ja oder Nein (bspw. „hat er sich im Auswertungszeitraum einmal eine Bestellung anzeigen lassen oder nicht“).

    Darf diese Auswertung – Gegenüberstellung, welche Berechtigungen ein Benutzer hat und welche aus diesem Portfolio hat er denn tatsächlich mindestens 1x genutzt – gezogen und an den Bereichsleiter gegeben werden?
    Ich bin der Meinung, hier liegt ein berechtigtes Interesse vor („welche Berechtigungen hat mein Mitarbeiter im System und welche benötigt er eigentlich tatsächlich anhand der Nutzung?“).

    Würde mich über Antwort freuen, da wir so gerne mehrere Bereiche aufpolieren würden.

    • Grundsätzlich kann hier ein berechtigtes Interesse des Arbeitgebers vorliegen. Dieses müsste dann mit den berechtigten Interessen der betroffenen Personen abgewogen werden. Diese Abwägung ist immer auf den jeweiligen Einzelfall bezogen und alle Gesichtspunkte des Einzelfalls sind in die Abwägung einzustellen. Insbesondere kommt es darauf an, inwieweit die Auswertung Rückschlüsse auf Verhalten und Leistung des Mitarbeiters zulässt und wie sehr die Auswertung damit in das Persönlichkeitsrecht des Mitarbeiters eingreift.
      Außerdem ist die Zweckbindung bei der Nutzung von Protokolldaten zu beachten. Protokolldaten dürfen grundsätzlich nur für die Zwecke verwendet werden, für die sie erhoben wurden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.