Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober 2024 Leitlinien zur Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses verabschiedet. Mit den Leitlinien will der EDSA den Begriff „berechtigtes Interesse“ klarer umreißen. Unternehmen sollten sich mit den Leitlinien befassen, da sie für mehr Rechtssicherheit sorgen sollen.
Drei Voraussetzungen für „berechtigtes Interesse“
Das berechtigte Interesse ist eine von sechs möglichen Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO, auf deren Grundlage personenbezogene Daten rechtmäßig verarbeitet werden können. Art. 6 Abs. 1 lit. f DSGVO sieht vor, dass personenbezogene Daten verarbeitet werden dürfen, wenn dies zur Wahrung der „berechtigten Interessen“ des Verantwortlichen oder eines Dritten erforderlich ist – sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Der Begriff des „berechtigten Interesses“ ist im rechtlichen Sinne weit gefasst und wird in den Leitlinien jetzt näher erläutert.
Um sich auf ein berechtigtes Interesse berufen zu können, muss der für die Verarbeitung Verantwortliche laut EDSB drei Voraussetzungen erfüllen:
- Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder einen Dritten
Wie der EDSA betont können nur solche Interessen als legitim betrachtet werden, die rechtmäßig, klar und präzise formuliert, real und aktuell sind. Solche legitimen Interessen könnten beispielsweise in einer Situation bestehen, in der die Person Kunde ist oder in den Diensten des Verantwortlichen steht. - Notwendigkeit der Verarbeitung personenbezogener Daten zur Verfolgung des berechtigten Interesses
Wenn es angemessene, ebenso wirksame, aber weniger einschneidende Alternativen zur Erreichung der verfolgten Interessen gibt, kann die Verarbeitung als nicht notwendig erachtet werden. Die Notwendigkeit einer Verarbeitung sollte auch unter dem Gesichtspunkt des Grundsatzes der Datenminimierung geprüft werden. - Die Interessen oder Grundfreiheiten und -rechte von Einzelpersonen haben keinen Vorrang vor dem berechtigten Interesse des Verantwortlichen oder eines Dritten (Abwägungsprüfung).
Der Verantwortliche muss sicherstellen, dass sein berechtigtes Interesse nicht durch die Interessen, Grundrechte oder Grundfreiheiten der Person außer Kraft gesetzt wird. Bei dieser Abwägung muss der Verantwortliche die Interessen der Personen, die Auswirkungen der Verarbeitung und ihre angemessenen Erwartungen sowie das Vorhandensein zusätzlicher Schutzmaßnahmen, die die Auswirkungen auf die Person begrenzen könnten, berücksichtigen.
Notwendigkeit der Verarbeitung im Focus
Als Beispiel wird in den Leitlinien auch die Verarbeitung personenbezogener Daten zu Zwecken des Direktmarketings genannt, bei der die Rechte der Betroffenen sorgfältig abgewogen werden müssen.
Bei der Bewertung geht es in den Leitlinien aber nicht nur um wirtschaftliche Interessen, sondern auch um die Verhinderung von Betrug, die Gewährleistung der Netzsicherheit oder die Durchführung interner Verwaltungsprozesse.
Eine wesentliche Anforderung von Art. 6 Abs. 1 lit. f DSGVO ist die „Notwendigkeit“ der Verarbeitung. Die Leitlinien stellen klar, dass das Interesse des für die Verarbeitung Verantwortlichen nur dann verfolgt werden darf, wenn es keine andere, weniger einschneidende Maßnahme gibt, um das gleiche Ziel zu erreichen. Die „Datenminimierung“, eines der Kernprinzipien der Datenschutz-Grundverordnung, muss stets berücksichtigt werden.
Lese-Tipp: EuGH-Urteil zu DSGVO-Bußgeldern – welches Ermessen hat eine Datenschutzbehörde?
Abwägung zwischen berechtigten Interessen und Grundrechten oder Grundfreiheiten
Der schwierigste Schritt bei der Anwendung von Art. 6 Abs. 1 lit. f DSGVO ist die Abwägung zwischen den berechtigten Interessen des Verantwortlichen und den Rechten und Freiheiten der betroffenen Person. Gemäß den Leitlinien muss diese Abwägung vor Beginn der Datenverarbeitung erfolgen und ist stark kontextabhängig. Faktoren wie die Art der verarbeiteten Daten, die Auswirkungen der Verarbeitung auf die betroffene Person und die vernünftigen Erwartungen der betroffenen Person in Bezug auf die Datenverarbeitung müssen berücksichtigt werden.
Die Leitlinien heben auch hervor, dass die Abwägung in bestimmten Fällen, wie der Verarbeitung von Daten Minderjähriger oder besonders schutzbedürftiger Personen, besonders streng ist. Da Kinder ein besonderes Schutzbedürfnis haben, sind bei der Verarbeitung ihrer Daten höhere Anforderungen an die Interessenabwägung zu stellen.
Besonders relevant ist laut den Leitlinien insbesondere das Widerspruchsrecht gemäß Artikel 21 DSGVO. Wenn die betroffene Person der Verarbeitung ihrer Daten widerspricht, darf die Verarbeitung nur fortgesetzt werden, wenn zwingende schutzwürdige Gründe vorliegen.
Die Leitlinien des Europäischen Datenschutzausschusses zu rt. 6 Abs. 1 lit. f DSGVO bieten wertvolle Klarstellungen zur Anwendung der „berechtigten Interessen“ als Rechtsgrundlage für die Datenverarbeitung. Sie betonen, dass diese Rechtsgrundlage nicht leichtfertig verwendet werden darf und eine strenge Abwägung erfordert, um die Grundrechte der betroffenen Personen zu wahren. Die sorgfältige Dokumentation und Durchführung dieser Abwägung ist entscheidend, um die Rechtmäßigkeit der Verarbeitung zu gewährleisten.