Die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union bildet die Grundlage des europäischen Datenschutzrechts und regelt die Voraussetzungen für die rechtmäßige Verarbeitung personenbezogener Daten. Eine zentrale Bestimmung ist Art. 6 Abs. 1 DS-GVO, der die verschiedenen Rechtsgrundlagen für die Datenverarbeitung aufzählt. Insbesondere das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DS-GVO bietet eine „flexible“ Grundlage zur Datenverarbeitung auch ohne ausdrückliche Einwilligung der betroffenen Person, sofern das Interesse des Verantwortlichen oder eines Dritten nicht durch die Interessen oder Grundrechte der betroffenen Person überwogen wird. Die Anwendung dieser Rechtsgrundlage erfordert jedoch eine sorgfältige Abwägung, da die Rechte und Freiheiten der betroffenen Personen stets gewahrt bleiben müssen.
Um Verantwortlichen eine klare Orientierung zu bieten, hat der Europäische Datenschutzausschuss (EDSA) am 08.10. 2024 die Leitlinien 1/2024 zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO veröffentlicht. Diese Leitlinien erläutern die Voraussetzungen und Grenzen der Anwendung des berechtigten Interesses in der Praxis. Im Folgenden werden die zentralen Aspekte dieser Leitlinien vorgestellt, um zu verdeutlichen, wann und wie das berechtigte Interesse als Rechtsgrundlage herangezogen werden kann und welche Anforderungen dabei zu beachten sind.
Gleichrangigkeit der Erlaubnistatbestände
Der EDSA hebt hervor, dass die Anwendung des Erlaubnistatbestands nach Art. 6 Abs. 1 lit. f DS-GVO eine sorgfältige Abwägung der geplanten Verarbeitung voraussetzt. Dabei sollte der „offene Charakter“ des berechtigten Interesses weder als „letztes Mittel“ für seltene und unvorhersehbare Situationen verstanden werden, noch sollte es von Verantwortlichen bevorzugt genutzt werden, um spezifische rechtliche Anforderungen zu umgehen oder weil es als weniger restriktiv empfunden wird als die übrigen Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO. Vielmehr sollen die Verantwortlichen alle Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO als gleichwertige Optionen betrachten.
Eine Verarbeitung beruht auf einem berechtigten Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO, wenn drei kumulative Bedingungen erfüllt sind:
- Die Verarbeitung muss der Verfolgung berechtigter Interessen des Verantwortlichen oder eines Dritten dienen.
- Die Verarbeitung der personenbezogenen Daten muss für diese Zwecke „notwendig“ sein.
- Die Interessen oder Grundfreiheiten und Rechte der betroffenen Person dürfen keinen Vorrang vor den berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten haben.
Berechtigte Interessen
Ein Interesse bezeichnet den umfassenden Nutzen, den ein für die Verarbeitung Verantwortlicher oder Dritte aus einer bestimmten Verarbeitungstätigkeit ziehen kann. Ein Beispiel hierfür ist das Interesse an der Vermarktung von Produkten, das durch die Verarbeitung personenbezogener Daten für Direktmarketing gefördert wird.
Ein Interesse gilt als "legitim", wenn folgende Kriterien erfüllt sind:
- Es ist rechtmäßig und verstößt nicht gegen EU-Recht oder nationales Recht, auch wenn es nicht explizit gesetzlich verankert sein muss.
Bsp.: Die Verarbeitung personenbezogener Daten für Zwecke des Direktmarketings ist grds. ein legitimes Interesse. Soll das Direktmarketing hingegen Werbung für E-Zigaretten zum Gegenstand haben, ist das verfolgte Interesse nicht legitim, da Werbung für solche Erzeugnisse nach EU-Recht verboten ist. - Es ist klar definiert, damit es angemessen gegen die Rechte und Interessen der betroffenen Person abgewogen werden kann.
Bsp.: Wenn eine Nachbarschaftsvereinigung plant Videoüberwachung auf den Straßen einzuführen mit dem Zweck „Zum Wohle der Gemeinschaft“, so ist dies kein hinreichend bestimmter Zweck. Werden hingegen Aspekte mit berücksichtigt wie vorangegangene Hauseinbrüche oder Sachbeschädigungen, könnte der Schutz des Eigentums ein legitimes Interesse im dargelegten Beispiel sein. - Es ist konkret und aktuell, d. h., es darf nicht spekulativ oder hypothetisch sein, sondern muss zum Zeitpunkt der Verarbeitung tatsächlich bestehen.
Bsp.: Das Vorhalten von Kundendaten für den grundsätzlichen Plan, in Zukunft Produkte zu entwickeln, welche für diese Kunden von Interesse sein könnten, ist damit nicht legitim. Ist der Plan für die Produkteinführung hingegen konkret, wie es beispielsweise bei einem feststehendem Release-Datum der Fall wäre, so kann das berechtigte Interesse an der Weiterverarbeitung personenbezogener Daten als legitim angesehen werden.
Darüber hinaus können entsprechend bisheriger Rechtsprechung die folgenden Interessen als legitim betrachtet werden:
- der Zugang zu Online-Informationen,
- die Sicherstellung des Betriebs öffentlich zugänglicher Websites,
- die Erhebung personenbezogener Daten von Personen, die anderen Schaden zugefügt haben, oder
- die Bewertung der Kreditwürdigkeit.
Erforderlichkeit der Verarbeitung
Die Bedingung der "Erforderlichkeit der Verarbeitung" gilt nicht nur für Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DS-GVO basieren. Der Begriff der Erforderlichkeit hat eine eigenständige Bedeutung im EU-Recht und erfordert die Berücksichtigung der Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten. Bei der Beurteilung, was „notwendig“ ist, muss festgestellt werden, ob legitime Interessen auch mit weniger eingreifenden Mitteln erreicht werden können. Wenn solche Alternativen existieren, ist die Verarbeitung nicht als „notwendig“ einzustufen. Der EuGH, (EuGH, Urteil vom 7. Dezember 2023, verbundene Rechtssachen C-26/22 und C-64/22,) auf dessen Urteil der EDSA in den Leitlinien verweis, hebt hervor, dass die Verarbeitung nur insoweit erfolgen sollte, wie sie unbedingt für die verfolgten Interessen erforderlich ist, was auch mit dem Prinzip der Datenminimierung verknüpft ist.
Zu beachten sei weiter, dass in der Praxis es oft einfacher ist, die Notwendigkeit zur Verfolgung eigener Interessen nachzuweisen als zur Verfolgung der Interessen Dritter, da Letzteres von betroffenen Personen weniger erwartet wird.
Interessenabwägung
Die Abwägungsprüfung nach Art. 6 Abs. 1 lit. f DS-GVO verlangt abschließend, dass das berechtigte Interesse des Verantwortlichen nicht durch die Interessen oder Rechte der betroffenen Person überwogen wird. Dabei spielen Faktoren wie die Art der Daten, der Verarbeitungskontext und die berechtigten Erwartungen der betroffenen Person eine Rolle; zudem sollten Maßnahmen zur Schadensbegrenzung berücksichtigt werden. Genau diese Prüfung stellt in der Praxis oft die größte Herausforderung dar. Die Leitlinien bieten dazu ausführliche Informationen und Hinweise, welche Hintergründe für eine fundierte Interessenabwägung relevant sind.
Interessen, Grundrechte und Freiheiten der betroffenen Personen
Zunächst sind bei der Abwägung der berechtigten Interessen die Interessen sowie die Grundrechte und Grundfreiheiten der betroffenen Person zu berücksichtigen, einschließlich des Datenschutzes und des Schutzes der Privatsphäre sowie anderer Grundrechte wie der Freiheit der Meinungsäußerung und der Nichtdiskriminierung. Auch die finanziellen, sozialen und persönlichen Interessen der betroffenen Person sind bei der Abwägung zu berücksichtigen.
Auswirkungen der Verarbeitung
Nachdem die Interessen, Grundrechte und Freiheiten der betroffenen Personen ermittelt wurden, muss der Verantwortliche die potenziellen Auswirkungen der Datenverarbeitung sorgfältig bewerten. Dabei sind die Art der Daten (z.B. sensible Daten), der Kontext (einschließlich Umfang und Zugänglichkeit) sowie die möglichen weiteren Folgen der Verarbeitung zu berücksichtigen. Diese Prüfung erfordert eine objektive Bewertung. Zu berücksichtigen sind unter anderem hohe Risiken oder das besondere Schutzbedürfnis bestimmter Gruppen, z. B. von Kindern. Wenn hohe Risiken bestehen, muss eine Datenschutz-Folgenabschätzung in Betracht gezogen werden.
Nach Bewertung aller Interessen, Rechte und Freiheiten muss der Verantwortliche abwägen, ob das berechtigte Interesse des verantwortlichen oder eines Dritten das Interesse der betroffenen Person überwiegt. Überwiegt das berechtigte Interesse, kann die Verarbeitung durchgeführt werden. Andernfalls sollten Abhilfemaßnahmen getroffen werden, die über die Verpflichtungen der DS-GVO hinausgehen, z. B. zusätzliche Datenschutzgarantien. Diese Maßnahmen können helfen ein angemessenes Gleichgewicht zu erreichen und eine erneute Abwägung ist erforderlich. Ist ein Ausgleich nicht möglich, darf die Verarbeitung gemäß Art. 6 Abs. 1 lit. f DS-GVO nicht durchgeführt werden.
Vernünftige Erwartungshaltung der Betroffenen
Nach Erwägungsgrund 47 müssen die berechtigten Erwartungen der betroffenen Person in Bezug auf ihre Beziehung zum für die Verarbeitung Verantwortlichen berücksichtigt werden. Es ist zu prüfen, ob die betroffene Person zum Zeitpunkt der Datenerhebung vernünftigerweise erwarten kann, dass eine Verarbeitung zu diesem Zweck erfolgt. Dabei ist zwischen vernünftigen Erwartungen und gängiger Praxis in bestimmten Sektoren zu unterscheiden. Die übliche Verarbeitung bestimmter personenbezogener Daten in einem Sektor bedeutet nicht automatisch, dass die betroffene Person damit rechnen kann. Zusätzlich hängen begründete Erwartungen nicht ausschließlich von den Informationen ab, die den betroffenen Personen bereitgestellt werden. Das Fehlen von Informationen kann zwar Überraschungen verursachen, doch reicht die Erfüllung der Informationspflichten gem. Art. 12, 13 und 14 DS-GVO nicht aus, um anzunehmen, dass die betroffenen Personen eine Verarbeitung vernünftigerweise erwarten können.
Kontextuale Anwendung des Art. 6 Abs. 1 lit. f DS-GVO
Der EDSA erläutert in seiner Leitlinie eine Vielzahl von Kontexten, in denen die Rechtsgrundlage des berechtigten Interesses herangezogen werden könnte oder die besonderen Merkmale aufweisen, die bei der Beurteilung der Frage, ob Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage herangezogen werden kann, sorgfältig geprüft werden sollten.
Kinder
Kinder benötigen besonderen Schutz ihrer personenbezogenen Daten, da sie oft weniger über Risiken und Rechte informiert sind. Dies wird in Art. 6 Abs. 1 lit. f DS-GVO ausdrücklich betont, der eine sorgfältige Abwägung fordert („…insbesondere wenn die betroffene Person ein Kind ist"). Bei der Interessenabwägung muss das Wohl des Kindes Vorrang haben, um die Anforderungen des Art. 24 der Charta und der UN-Kinderrechtskonvention zu erfüllen. Besonders bei Profiling und gezielter Werbung müssen Verantwortliche nachweisen, dass die Verarbeitung das Kindeswohl nicht beeinträchtigt oder solche Aktivitäten einstellen. In der Praxis sollten altersbedingte Unterschiede berücksichtigt werden, um Kinder vor unangemessener Datenverarbeitung zu schützen.Betrugsbekämpfung
Die Verarbeitung personenbezogener Daten zur Betrugsbekämpfung kann laut Erwägungsgrund 47 der DS-GVO auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern sie notwendig ist und eine Abwägung mit den Rechten der betroffenen Personen erfolgt. Es fehlt jedoch an einer klaren Definition von „Betrugsbekämpfung“. Die Verarbeitung muss dabei den Grundsätzen der Datenminimierung, Speicherbegrenzung und Zweckbindung entsprechen. Allgemeine Hinweise zur Betrugsbekämpfung reichen nicht für die Transparenzpflicht aus. Bei einer gesetzlichen Vorgabe zur Betrugsprävention ist Art. 6 Abs. 1 lit. c DS-GVO die korrekte Rechtsgrundlage.Direktmarketing
Erwägungsgrund 47 der DS-GVO sieht die Möglichkeit vor Direktwerbung als berechtigtes Interesse zur Verarbeitung personenbezogener Daten anzuerkennen. Der EuGH hat diesbezüglich festgelegt, dass für die Einordnung einer Kommunikation als Direktwerbung entscheidend ist, ob sie einen kommerziellen Zweck hat und direkt an einen Verbraucher gerichtet ist. Dabei ist es unerheblich, ob die Werbung gezielt oder massenhaft versendet wird. Entscheidend ist die unmittelbare Ansprache einer Person. Die Berufung auf berechtigtes Interesse für Direktwerbung ist jedoch nicht pauschal möglich und kann beispielsweise durch Einwilligungspflichten laut Datenschutzrichtlinie für elektronische Kommunikation ausgeschlossen sein.Verarbeitung von Daten innerhalb einer Unternehmensgruppe
Erwägungsgrund 48 der DS-GVO erlaubt es Verantwortlichen innerhalb einer Unternehmensgruppe, ein berechtigtes Interesse an der Datenübermittlung zu internen Verwaltungszwecken geltend zu machen, etwa für Kunden- oder Mitarbeiterdaten. Dies kann als Rechtsgrundlage gemäß Artikel 6 Abs. 1 lit. f DS-GVO gelten, wenn die Erforderlichkeit und Interessenabwägung positiv ausfallen. Eine solche Übermittlung ist jedoch nicht zwingend nur durch Artikel 6 Abs. 1 lit. f gerechtfertigt, sondern muss auch nationale Vorschriften, insbesondere im Beschäftigungskontext, berücksichtigen. Zudem sind die Betroffenen umfassend über die Datenverarbeitung zu informieren.
Profiling
Nicht alle Profiling-Aktivitäten führen zu einer automatisierten Entscheidungsfindung im Sinne von Art. 22 DS-GVO. Unabhängig von der Absicht des für die Verarbeitung Verantwortlichen, ein solches Profiling durchzuführen, sind bestimmte Faktoren entscheidend, bevor Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage herangezogen wird.
Diese Faktoren umfassen:
Detaillierungsgrad des Profils: Wird die betroffene Person als Teil einer breiten Kohorte (z.B. „Personen mit Interesse an englischer Literatur“) oder auf granularer Ebene angesprochen?
Umfang des Profils: Beschreibt das Profil lediglich einen kleinen Aspekt der betroffenen Person oder vermittelt es ein umfassenderes Bild?
Auswirkungen des Profilings: Welche Auswirkungen hat das Profiling auf die betroffene Person?
Zukünftige Kombination von Profilen: Besteht die Möglichkeit, Profile in der Zukunft zu kombinieren?
Garantien für Fairness, Nichtdiskriminierung und Genauigkeit: Maßnahmen zur Sicherstellung dieser Aspekte im Profiling-Prozess.
Fazit
Die Rechtsgrundlage des berechtigten Interesses ist in der Praxis von großer Bedeutung, allerdings bietet die DS-GVO hier viel Interpretationsspielraum. Der EDSA schafft nun mehr Klarheit und Einheitlichkeit. In den Leitlinien wird betont, dass die Verarbeitung nicht als „letztes Mittel“ für Fälle angesehen werden sollte, in denen andere Rechtsgrundlagen nicht anwendbar sind, und dass sie auch nicht aus Bequemlichkeit übermäßig genutzt werden sollte, da sie als weniger restriktiv angesehen wird.