Was ist eigentlich dieses „berechtigte Interesse“?

Fachbeitrag

Das berechtigte Interesse ist nur eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Oftmals scheint diese jedoch vergessen oder schlicht aus Unsicherheit nicht herangezogen zu werden. Denn noch immer werden Einwilligungen an Stellen eingeholt, an denen sie eigentlich gar nicht notwendig wären.

Die Voraussetzungen im Überblick

Art. 6 Abs. 1 DSGVO nennt sechs verschiedene Rechtsgrundlagen, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Eine davon ist die Verarbeitung auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Um die Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse stützen zu können, müssen drei Voraussetzungen gegeben sein.

  1. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche oder ein Dritter haben ein berechtigtes Interesse an der Datenverarbeitung.
  2. Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich.
  3. Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht.

Wenn diese drei Voraussetzungen kumulativ vorliegen, kann eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO und damit das berechtigte Interesse gestützt werden.

Zunächst beschäftigen wir uns mit der ersten Voraussetzung, also wann überhaupt ein berechtigtes Interesse vorliegt.

Wann ein „berechtigtes Interesse“ angenommen werden kann

Mit Art. 6 Abs. 1 lit. f DSGVO hat der Verordnungsgeber eine neue Rechtsgrundlage für die Datenverarbeitung geschaffen. Die Verarbeitung personenbezogener Daten ist demnach zulässig, wenn der Verantwortliche ein „berechtigtes Interesse“ an der Verarbeitung hat. Doch was ist überhaupt unter einem „berechtigten Interesse“ zu verstehen?

Begriffsbestimmung

Bei dem Begriff des berechtigten Interesses handelt es sich um einen unbestimmten Rechtsbegriff. Das bedeutet, dass der tatsächliche Gehalt durch Auslegung zu ermitteln ist.

Es stellt sich also die Frage, was überhaupt ein „berechtigtes Interesse“ ist. Schon die Datenschutzrichtlinie (RL 95/46/EG), der Vorgänger der DSGVO, kannte den Begriff. Auch Art. 7 lit. f DS-RL setzte das „berechtigtes Interesse“ voraus. Gemäß der Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG ist das Interesse

„das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte.“

Der Begriff des Interesses ist dem Wortlaut nach erkennbar weit gefasst und umfasst damit jedes rechtliche, tatsächliche, ideelle oder wirtschaftliche Interesse. Lediglich der Zusatz „berechtigt“ beschränkt den Begriff des Interesses. Sinn dieser Einschränkung ist, dass nur die Interessen von der Rechtsordnung geschützt werden sollen, die ihr nicht entgegenlaufen. Damit können nur solche Interessen, die einem strafrechtlichen oder sonstigen Verbot unterliegen, nicht berechtigt i.S.d Art. 6 Abs. 1 lit. f DSGVO sein. Eine weitere Einschränkung wird, abgesehen vom Ausschluss der behördlichen Aufgabenerfüllung in Art. 6 Abs. 1 lit. f S. 2 DSGVO, nicht vorgenommen.

Wessen Interesse ist gemeint?

Bei dem berechtigten Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO kann es sich nach dem Wortlaut des Artikels um das Interesse des Verantwortlichen oder eines Dritten handeln. Neben den berechtigten Interessen des Verantwortlichen kommen also auch berechtigte Drittinteressen als Grundlage für eine Verarbeitung in Frage.

Beispiele aus den Erwägungsgründen

Näheres zum Begriff des berechtigten Interesses findet sich auch in den Erwägungsgründen 47 bis 49. Hier werden Beispiele aufgeführt, wann für eine Verarbeitung personenbezogener Daten ein berechtigtes Interesse vorliegen kann.

Erwägungsgrund 47 nennt hier beispielsweise den Fall, dass

„eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“

Auch bei der Verarbeitung personenbezogener Daten zur Verhinderung von Betrug und zum Zwecke der Direktwerbung kann ein berechtigtes Interesse vorliegen.

Erwägungsgrund 48 nennt die Übermittlung zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigen. Auch hier besteht die Möglichkeit, dass der Verantwortliche ein berechtigtes Interesse an der Übermittlung hat. In diesem Zusammenhang wird auch oft vom kleinen Konzernprivileg gesprochen.

Laut Erwägungsgrund 49 kann ein berechtigtes Interesse in bestimmten Fällen auch dann vorliegen, wenn Netz- und Informationssicherheit gewährleistet werden sollen.

Die weiteren Voraussetzungen

Die Tatsache, dass der Verantwortliche oder ein Dritter ein solches berechtigte Interesse an der Datenverarbeitung geltend machen kann, bedeutet aber noch nicht, dass die Verarbeitung auch zulässig ist. Ob der Verantwortliche die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO stützen kann hängt ebenso sehr davon ab, ob die Verarbeitung für die Wahrung der berechtigten Interessen erforderlich ist und wie die anschließende Interessensabwägung im Ergebnis ausfällt. Insbesondere der Abwägung kommt ein hohes Gewicht zu. Da die Anforderungen an das Vorliegen eines berechtigten Interesses derart niedrig sind, liegt hier der eigentliche Knackpunkt. Die Identifikation des berechtigten Interesses ist lediglich der erste Schritt. Wie genau die darauf folgende Abwägung vorzunehmen ist, wird in einem gesonderten Artikel näher betrachtet.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

5 Kommentare zu diesem Beitrag

  1. Guten Tag,
    wenn ich im Rahmen einer ISO 9001-Zertifizierung verpflichtet bin, Kundenfeedback einzuholen und dann mit mir zur Verfügung gestellten eMail-Adressen eine Kundenbefragung durchführe, liegt dann nicht auch ein berechtigtes Interesse vor? Jüngste Gerichtsurteile fordern, dass vorab bereits eine Zustimmung eingeholt werden muss bzw. die Möglichkeit der Nutzung der eMail-Adresse zu einem solchen Zweck zu widersprechen. Wir sind jetzt davon ausgegangen, dass wir unsere 2018er Neukunden nicht in die diesjährige Kundenbefragung mit einschließen dürfen, da wir eine solche Info bisher nicht bei Auftragserteilung zur Verfügung gestellt haben. Bei der Befragung selbst war schon immer vermerkt, dass der Kunde mitteilen kann, dass er künftig keine Befragung mehr erhalten möchte. Dies scheint aber zeitlich zu spät zu sein.

    • Bei Kundenumfragen per E-Mail muss man immer auch darauf achten, ob eine solche Mail als Werbung einzustufen ist. In dem Fall ist man im Anwendungsbereich des UWG. Dann ist das Zusenden von Mails nur noch mit Einwilligung der Kunden oder nur in ganz bestimmten Ausnahmefällen auch ohne Einwilligung möglich (§ 7 UWG). Selbst wenn man zu dem Ergebnis kommen sollte, dass das UWG in dem Fall nicht anwendbar ist, reicht das Vorliegen eines berechtigten Interesses alleine noch nicht aus. Dazu kommt noch, dass die Verarbeitung für die Wahrung des berechtigten Interesses erforderlich sein muss und es müssen die Interessen des für die Verarbeitung Verantwortlichen und der betroffenen Person gegeneinander abgewogen werden. Erst, wenn man zu dem Ergebnis kommt, dass die Interessen der betroffenen Person den Interessen des Verantwortlichen nicht überwiegen, kann man die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO stützen.

  2. Ist ein genereller Ausschluss des Widerspruchsrechtes möglich?

    Ein deutscher Sportverband bietet seinen Mitgliedsvereinen folgenden -angeblich rechtlich sicheren- Text zur Verwendung an:

    „…nachfolgend senden wir Ihnen einen Text, der für Ausschreibungen im Bereich der Wettkämpfe jeglicher Art verwendet werden kann. Er wurde uns freundlicherweise vom XXX (Dachverband) zur Verfügung gestellt. Bitte benutzen Sie genau diesen Text, da er auf Konformität mit der neuen Datenschutzgrundverordnung geprüft wurde.

    Mit der Meldung zu Veranstaltungen des XXX und seinen Untergliederungen erklärt sich der Teilnehmer aus organisatorischen Gründen mit der Verarbeitung der wettkampfrelevanten personenbezogenen Daten, unter der Angabe von Name, Vereinsname, Verbandszugehörigkeit, Alter, Klasse, Wettkampfbezeichnung, Startnummer, Startzeiten und erzielten Ergebnissen einverstanden. Sie willigen ebenfalls in die Veröffentlichung der Start- und Ergebnislisten, sowie der Erstellung und Veröffentlichung von Fotos in Aushängen, im Internet, in Sozialen Medien und in weiteren Publikationen des XXX sowie dessen Untergliederungen ein. Aufgrund des berechtigten Interesses des Ausrichters an diesen Ergebnislisten sowie Fotos vom Wettbewerb und / oder Siegertreppchen für die Dokumentation bzw. Bewerbung des Sports in der Öffentlichkeit, besteht auch im Nachhinein kein Anspruch der Teilnehmer zur Löschung ihrer persönlichen Daten aus diesen Ergebnislisten bzw. von Fotos, die im Zusammenhang mit dem Wettkampf gefertigt und veröffentlicht wurden…“

    Gerade in Bezug auf die Bildveröffentlichungen habe ich hierbei für den einzelnen Sportverein Bauchschmerzen. Wäre dieser im Falle einer (vorsätzlich) falschen Formulierung ja haftbar…?!

    Vielen Dank für Ihre Einschätzung
    Gruß
    Max

    • Zu Ihrer Frage lässt sich ganz allgemein feststellen, dass die DSGVO zwischen einem Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) und einem Widerspruchsrecht (Art. 21 DSGVO) unterscheidet. Ein Widerspruchsrecht besteht gegen Datenverarbeitungen, die aufgrund einer Rechtsgrundlage durchgeführt werden (v.a. aus Art. 6 DSGVO; z.B. aufgrund eines „berechtigten Interesses“).

      Datenverarbeitungen, die aufgrund einer Einwilligung geschehen (und der Wortlaut des von Ihnen zitierten Passus lässt das Vorliegen einer Einwilligung sehr nahe liegen), müssen auch von der betroffenen Person widerrufen werden können. Ein Verzicht auf dieses Widerrufsrecht sieht die DSGVO nicht vor. Wird eine Einwilligung widerrufen, muss der Verantwortliche auf Verlangen der betroffenen Person gemäß Art. 17 Abs. 1 DSGVO die personenbezogenen Daten löschen, soweit nicht eine anderweitige Rechtsgrundlage für die weitere Verarbeitung vorliegt. Ob sich vorliegend auch auf eine Rechtsgrundlage gestützt wird, wird aus dem Wortlaut nicht ganz klar und darf im Rahmen dieses Blogs auch nicht tiefergehend beantwortet werden. Bitte haben Sie Verständnis dafür.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.