Drei-Stufen-Prüfung zur Ermittlung des berechtigten Interesses: Diese Fragen sind entscheidend

Dieser Fragenkatalog führt systematisch durch die Drei-Stufen-Prüfung und erklärt mit praxisnahen Beispielen die Umsetzung.
Kategorien:
,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Berechtigtes Interesse ist in der Praxis oft die „Allzweck“-Rechtsgrundlage und zugleich eine der fehleranfälligsten. Wer Art. 6 Abs. 1 lit. f DSGVO nutzt, muss vorab sauber begründen, warum ein legitimes Interesse vorliegt, weshalb die geplante Verarbeitung dafür erforderlich ist und warum am Ende keine überwiegenden Rechte der Betroffenen entgegenstehen. Der Beitrag führt systematisch durch die Drei-Stufen-Prüfung zur Emittlung des berechtigten Interesses anhand des Fragenkatalogs des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit und zeigt mit praxisnahen Beispielen (u. a. Direktwerbung und Videoüberwachung), wie eine belastbare Interessenabwägung aufgebaut, dokumentiert und in der Compliance-Praxis widerspruchsfest umgesetzt wird.

Berechtigtes Interesse als DEGVO-Allzweckwaffe

Art. 6 Abs. 1 lit. f DSGVO eröffnet Unternehmen und Behörden eine flexible Rechtsgrundlage zur Verarbeitung personenbezogener Daten, sofern berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und keine überwiegenden Interessen oder Grundrechte der betroffenen Personen entgegenstehen. Diese Abwägungsklausel verlangt jedoch eine sorgfältige Prüfung im Einzelfall.

Bereits das Bundesverfassungsgericht (BVerfG) betonte im Volkszählungsurteil 1983, dass Eingriffe in das Recht auf informationelle Selbstbestimmung nur bei überwiegendem Allgemeininteresse auf Grundlage eines verhältnismäßigen Gesetzes zulässig sind. Entsprechend hat der europäische Gesetzgeber die Drei-Stufen-Prüfung in Art. 6 Abs. 1 lit. f DSGVO verankert, die sicherstellen soll, dass jede Verarbeitung auf berechtigtes Interesse gesetzeskonform und verhältnismäßig erfolgt.

In der Praxis müssen Verantwortliche vorab dokumentiert prüfen,

  1. ob ein berechtigtes Interesse vorliegt,
  2. ob die Verarbeitung dafür erforderlich ist, und
  3. ob nicht doch die Interessen oder Grundrechte der Betroffenen überwiegen.


Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am 6. Januar 2026 einen Fragenkatalog veröffentlicht, der Kriterien für jede Stufe aufführt und eine strukturierte Interessenabwägung ermöglicht. Im Folgenden werden die drei Prüfschritte systematisch erläutert und durch Praxisbeispiele veranschaulicht.

Vorliegen eines berechtigten Interesses

Im ersten Schritt ist zu prüfen, welches Interesse der Verantwortliche oder ein Dritter mit der geplanten Datenverarbeitung konkret verfolgt. Art. 6 Abs. 1 lit. f DSGVO nennt ausdrücklich sowohl eigene Interessen des Verantwortlichen als auch Interessen Dritter (natürliche oder juristische Personen, Behörden etc., vgl. Art. 4 Nr. 10 DSGVO). Entscheidend ist, dass es sich um ein „berechtigtes“ Interesse handelt. Dieser Begriff ist weit zu verstehen: Er kann rechtlicher, wirtschaftlicher, ideeller oder faktischer Natur sein. Grundsätzlich kommt eine breite Palette von Interessen in Betracht, etwa Wirtschaftsinteressen (z. B. Effizienzsteigerung, Kostensenkung), Sicherheitsinteressen (Schutz vor Betrug, Diebstahl oder Cyberangriffen) oder gesellschaftliche/interne Interessen (Wahrung der Netzwerksicherheit, Qualitätssicherung, Kundenpflege). Allerdings müssen einige Qualifikationskriterien erfüllt sein, damit ein Interesse als „berechtigt“ anerkannt wird:

  • Legitimität und Rechtskonformität: Das verfolgte Interesse muss rechtmäßig sein. Interessen, die gegen geltendes Recht der EU oder eines Mitgliedstaats verstoßen, sind per se nicht berechtigt. Beispielsweise wäre ein „Interesse“ an diskriminierender Datennutzung oder an allgemeiner Vorratsdatenspeicherung ohne Zweck unzulässig.
  • Klarheit und Präzision: Das Interesse und der konkrete Zweck der Verarbeitung müssen konkret und präzise formuliert werden. Nur ein eindeutig bestimmtes Interesse lässt sich im dritten Schritt sinnvoll gegen die Betroffenenrechte abwägen. Vage oder pauschale Angaben („irgendwelche Geschäftszwecke“) genügen nicht.
  • Aktualität und Realitätsbezug: Das Interesse muss real und gegenwärtig sein, nicht bloß spekulativ oder hypothetisch. Ein nur möglicher, in ferner Zukunft liegender Nutzen rechtfertigt keine aktuelle Datenverarbeitung. Beispiel: Die Speicherung von Kundendaten „auf Vorrat“ für noch unbestimmte, zukünftige Geschäftsideen wäre kein berechtigtes Interesse.


Sind diese Voraussetzungen erfüllt, kann man von einem berechtigten (d.h. legitimen und schutzwürdigen) Interesse ausgehen. Typische Beispiele finden sich in den Erwägungsgründen: So nennt Erwägungsgrund 47 ausdrücklich die Direktwerbung als einen möglichen Fall eines berechtigten Interesses. Ein Unternehmen darf also grundsätzlich davon ausgehen, dass das Interesse an Direktmarketing (insbesondere gegenüber Bestandskunden) legitim sein kann. 

6 Fragen zum berechtigten Interesse

Welches Interesse besteht an der Verarbeitungstätigkeit?

Es geht hier um den allgemeinen Nutzen, der sich von der Verarbeitungstätigkeit versprochen wird, wie zum Beispiel der „Vermarktung von Produkten“. Die Erwägungsgründe 47 bis 49 zur DSGVO enthalten Beispiele für berechtigte Interessen.

Was ist der konkrete Zweck der geplanten Verarbeitung?

Hier geht es um das Ziel bzw. den konkreten Grund für die geplante Datenverarbeitung. Beispiel: Direktwerbung an eigene Kunden per postalischem Anschreiben (z.B. Werbekatalog).

Wer verfolgt das Interesse?

Art. 6 Abs. 1 lit. f DSGVO umfasst eigene und fremde (dritte) Interessen. „Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt ist, die personenbezogenen Daten zu verarbeiten, Art. 4 Nr. 10 DSGVO.

Ist das Interesse rechtmäßig und verstößt es nicht gegen geltendes Recht?

Interessen, die gegen geltendes Recht der EU oder eines Mitgliedstaates verstoßen, sind nicht berechtigt.

Ist das Interesse klar und präzise formuliert?

Der Umfang des verfolgten berechtigten Interesses muss eindeutig festgelegt werden, damit eine Abwägung mit den Interessen und Grundrechten der betroffenen Person in der dritten Stufe möglich ist.

Ist das Interesse real und gegenwärtig?

Spekulative oder hypothetische Interessen entziehen sich einer sachgerechten Bewertung und können eine Datenverarbeitung somit nicht rechtfertigen. Beispiel: Eine Vorratsdatenspeicherung für zukünftige und noch nicht konkretisierte Geschäftsideen.

Erforderlichkeit der Verarbeitung

Liegt ein berechtigtes Interesse vor, muss in einem zweiten Schritt die Erforderlichkeit und Angemessenheit der geplanten Verarbeitung für die Verfolgung dieses Interesses geprüft werden. Art. 6 Abs. 1 lit. f DSGVO verlangt, dass die Verarbeitung „für die Zwecke der berechtigten Interessen notwendig“ ist. Hier spiegelt sich der allgemeine Verhältnismäßigkeitsgrundsatz wider: Die Maßnahme muss geeignet und erforderlich sein, um das legitime Ziel zu erreichen. Und sie darf nicht unverhältnismäßig in die Rechte der Betroffenen eingreifen.

Kernfragen dieser Stufe sind: Benötigt man diese konkreten Daten überhaupt für den Zweck? Und falls ja, gibt es kein milderes Mittel, um das berechtigte Interesse ebenso wirksam zu verwirklichen? Bereits der Wortlaut der DSGVO sowie der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) geben hier die Richtung vor: Es dürfen nur angemessene, erheblich und zwingend notwendige Daten verarbeitet werden. Existiert ein gleich wirksamer, aber für die Betroffenen schonenderer Weg, so ist dieser zu wählen. Beispiele milderer Mittel können eine Anonymisierung oder Pseudonymisierung der Daten, die Verwendung synthetischer Testdaten anstelle echter personenbezogener Daten oder die beschränkte Auswertung von Stichproben statt einer Vollerhebung sein.

Ein weiteres Element der Erforderlichkeit ist die Umfangsbegrenzung der Verarbeitung: Die geplante Maßnahme sollte so klein und zielgerichtet wie möglich gehalten werden. Konkret bedeutet das: Datenumfang, Personenkreis und Dauer der Verarbeitung sind auf das notwendige Minimum zu reduzieren. Besonders zu beachten ist zudem die Speicherdauer: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den verfolgten Zweck notwendig ist. Ein Löschkonzept mit definierten Fristen ist unerlässlich. Nach Zweckwegfall besteht eine Löschpflicht (Art. 17 Abs. 1 lit. a DSGVO; Erwägungsgrund 39). Beispiel: Bei Videoüberwachung eines Firmengeländes könnte die Erforderlichkeit dadurch begrenzt werden, dass die Aufnahmen nach kurzer Zeit (z. B. 48 Stunden) automatisch überschrieben werden, sofern kein sicherheitsrelevantes Ereignis festgestellt wurde.

Die Erforderlichkeitsprüfung zwingt den Verantwortlichen, die Verarbeitung kritisch zu hinterfragen.

7 Fragen zur Erforderlichkeit der Verarbeitung

Ist die Verarbeitung zur Erreichung des Interesses absolut notwendig oder kommen auch mildere Mittel in Betracht?

Es dürfen keine milderen, weniger eingreifenden Mittel existieren. Alternativen müssen geprüft werden. Beispiel: Anonymisierung, Pseudonymisierung, synthetische Daten anstatt echter Daten.

Werden die zu verarbeitenden Daten auf das erforderliche Maß beschränkt?

Der Grundsatz der Datenminimierung ist zu beachten, Art. 5 Abs. 1 lit. c DSGVO. Nur Daten, die angemessen, erheblich und notwendig für den bestimmten Zweck sind, dürfen verarbeitet werden. Insbesondere die Verarbeitung von sensiblen Daten (Art. 9 DSGVO) ist nur in engen gesetzlich geregelten Ausnahmefällen (Art. 9 Abs. 2 DSGVO) erlaubt.

Ist die Anzahl der betroffenen Personen auf das zur Zweckerreichung notwendige Minimum beschränkt?

Beispiel: Begrenzung der Zahl der Datensätze, Stichproben statt Vollerhebungen, Anonymisierung.

Erfolgt die Datenverarbeitung einmalig oder fortlaufend?

Bei fortlaufender Verarbeitung muss die Erforderlichkeit dauerhaft gegeben sein. Ein einmal festgestelltes berechtigtes Interesse rechtfertigt nicht automatisch eine fortlaufende Verarbeitung von Daten.

Sind alle Verarbeitungsschritte für den Zweck erforderlich oder können einzelne Schritte entfallen?

Die Verarbeitungsschritte müssen einzeln betrachtet und bewertet werden.

Besteht ein Löschkonzept? Ist die Speicherdauer definiert?

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den vorgesehenen Zweck nötig sind (ErwG. 39 und Art. 17 Abs. 1 lit. a DSGVO). Nach Wegfall des Zwecks besteht grundsätzlich eine Löschpflicht. Demgegenüber gibt es gesetzliche Aufbewahrungsfristen z.B. aus dem Handelsgesetzbuch (HGB), der Abgabenordnung (AO), dem Einkommensteuergesetz (EStG), dem Sozialversicherungsrecht oder der Gewerbeordnung. Für jede Datenkategorie sollte die Speicherdauer dokumentiert und automatisierte Löschprozesse vorhanden sein.

Gibt es eine Übersicht der bestehenden und geplanten Datenflüsse?

Der Datenfluss muss auch für Dritte nachvollziehbar und transparent sein. Ein Datenflussdiagramm dient der eigenen Veranschaulichung und der Rechenschaftspflicht und Veranschaulichung gegenüber der Geschäftsführung, Kunden, betroffenen Personen, Aufsichtsbehörden etc.

Interessenabwägung: Überwiegen die Interessen der Betroffenen?

Erst wenn ein berechtigtes Interesse identifiziert und die Maßnahme dafür als erforderlich qualifiziert wurde, gelangt man zur entscheidenden Abwägung nach Art. 6 Abs. 1 lit. f Halbsatz 2 DSGVO: Überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person die Interessen des Verantwortlichen? Dieser dritte Prüfschritt stellt sicher, dass selbst bei legitimen Zielen und notwendiger Datenverarbeitung die schützenswerten Belange der Betroffenen nicht unverhältnismäßig beeinträchtigt werden. Es handelt sich um eine umfassende Würdigung aller Umstände des Einzelfalls. Erwägungsgrund 47 Satz 1 betont, dass hierbei vor allem die vernünftigen Erwartungen der betroffenen Person auf Basis ihrer Beziehung zum Verantwortlichen zu berücksichtigen sind. Im Ergebnis darf die Verarbeitung nur erfolgen, wenn die Waage nicht zugunsten der Betroffenen ausschlägt. Andernfalls ist die Verarbeitung unrechtmäßig.

Die Rechtsprechung (insb. EuGH und nationale Gerichte) und die Aufsichtsbehörden haben zahlreiche Kriterien entwickelt, die in die Interessenabwägung einfließen. Anhand dieser  Kriterien wird eine Gesamtbewertung vorgenommen. Kein einzelnes Kriterium entscheidet allein, vielmehr ist eine umfassende Güterabwägung vorzunehmen. Die berechtigten Interessen des Verantwortlichen werden den Beeinträchtigungen der Betroffenen gegenübergestellt. Letztlich ähnelt diese Prüfung einer Verhältnismäßigkeitsprüfung im engeren Sinne (Abwägung von Schwere des Eingriffs vs. Bedeutung des Zwecks). Erwägungsgrund 47 schränkt ein, dass Behörden sich nicht auf Art. 6 Abs. 1 lit. f stützen sollten, wenn es um die Erfüllung ihrer öffentlichen Aufgaben geht. Ansonsten gilt: Je gewichtiger das Interesse und je geringer das Eingriffsgewicht, desto eher überwiegt das Interesse des Verantwortlichen.

Lese-Tipp: Intelligente Datenschutz-Folgenabschätzung in Ailance

Grundrechte, Grundfreiheiten und Interessen der betroffenen Personen

Welche Grundrechte der betroffenen Personen sind berührt?

Recht auf Privatsphäre, Datenschutz, Nichtdiskriminierung, Freiheit und Sicherheit, die Freiheit der Meinungsäußerung und der Information, die Gedanken-, Gewissens- und Religionsfreiheit, die Versammlungs- und Vereinigungsfreiheit, das Diskriminierungsverbot, das Recht auf Eigentum oder das Recht auf körperliche und geistige Unversehrtheit u.a.

Werden Grundfreiheiten der betroffenen Personen berührt?

Hierzu gehören Warenverkehrsfreiheit, Arbeitnehmerfreizügigkeit, Niederlassungsfreiheit, Dienstleistungsfreiheit, Kapital- und Zahlungsverkehrsfreiheit nach dem AEUV.

Werden neben den Grundrechten und Grundfreiheiten auch die „Interessen“ der betroffenen Personen berücksichtigt?

Darunter fallen alle Interessen, die durch die fragliche Verarbeitung beeinträchtigt werden könnten.

  • Finanzielle Interessen: z.B. Schutz vor Auswirkungen auf Investitionen, Erwerbsmöglichkeiten, Altersvorsorge, Bonitätsbewertungen und Versicherungsschutz.
  • Soziale Interessen: z.B. Schutz der Sozialsphäre, Reputationsschäden, Diskriminierung, unerwünschte Kontaktaufnahmen
  • Persönliche Interessen: z.B. Schutz der Intim- und Privatsphäre durch Verarbeitungen von Daten i.V.m. dem Sexualleben oder zur sexuellen Orientierung einer Person

Art der personenbezogenen Daten

Welche Art von Daten soll verarbeitet werden?

In welcher Eigenschaft sind die Personen betroffen? Beispiel: In ihrer persönlichen oder beruflichen Eigenschaft.

Handelt es sich um besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)?

Zu diesen sensiblen Daten zählen insbesondere:

  • ethnische Herkunft und Rasse
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische und biometrische Daten (z. B. Fingerabdruck)
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person


Werden diese Daten verarbeitet, erhalten die möglichen Interessen der betroffenen Personen ein grundsätzlich hohes Gewicht in der Abwägung. Zusätzlich müssen die Anforderungen des Art. 9 Abs. 2 DSGVO erfüllt sein. Auch bei Vorliegen eines Ausnahmetatbestands nach Art. 9 Abs. 2 DSGVO kann die Güterabwägung des Art. 6 Abs. 1 lit. f DSGVO dennoch zugunsten der Betroffeneninteressen ausfallen (vgl. EuGH vom 21. Dezember 2023 (Az. C-667/21)).

Handelt es sich um Daten von Kindern?

Bei allen Kinder betreffenden Maßnahmen muss das Wohl des Kindes eine vorrangige Erwägung sein. Hierbei sind alle Rechte zu berücksichtigen, nicht nur datenschutzrechtliche, vgl. ErwG. 38 zur DSGVO.

Handelt es sich um Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO?

Diese Daten (darunter fällt auch das Führungszeugnis) sind ebenfalls besonders schutzwürdig. Eine Verarbeitung sollte nur unter behördlicher Aufsicht oder wenn sie nach unions- oder nationalem Recht zulässig wäre, stattfinden.

Handelt es sich um private Daten?

Einige Daten werden von Betroffenen als besonders sensibel oder privat angesehen, auch wenn diesem nicht konkret in Art. 9 DSGVO oder Art. 10 DSGVO aufgeführt sind. Beispiel: Finanz-, Standort- oder familiäre Daten.

Vernünftige Erwartungen der betroffenen Personen (Erwg. 47 S. 1 zur DSGVO)

Wo und wann werden die Daten erhoben?

Ein Indiz zugunsten der betroffenen Person liegt vor, wenn die Daten für einen völlig neuen, nicht erkennbaren oder über den ursprünglichen Zweck hinausgehenden Zweck benutzt werden und die Person den Umständen nach bei der Erhebung vernünftigerweise nicht mit der Datenverarbeitung rechnen musste (vgl. auch Art. 6 Abs. 4 DSGVO).

Wie werden die Daten erhoben?

Welche Technologien und Methoden werden verwendet? Sind diese Praktiken allgemein bekannt und für die betroffenen Personen transparent? Beispiele: Online-Umfragen, Gewinnspiele, Web-Scraping.

Wie wird die Datenverarbeitung gegenüber den betroffenen Personen transparent gemacht?

Die Informationspflichten nach Art. 13 und 14 DSGVO sind zu beachten. Diese Informationen müssen unmittelbar bei der Datenerhebung erfolgen. Andernfalls scheitert die Rechtmäßigkeit der Verarbeitung bereits an der fehlenden Transparenz.

Besteht eine Beziehung zu den betroffenen Personen?

Wenn bereits eine Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, erhöht dies die Vorhersehbarkeit einer Datenverarbeitung, Erwg. 47 S.2 zur DSGVO. Beispiel: Die betroffene Person ist bereits Kunde.

Wie umfangreich ist die Datenerhebung und wie viele Personen sind betroffen?

Je größer der Umfang der Datenverarbeitung, desto höher das Risiko einer Beeinträchtigung der betroffenen Personen in ihren Rechten.

Was sind die möglichen negativen Auswirkungen der Verarbeitung auf betroffene Personen?

Wurde eine Datenschutz-Folgenabschätzung oder Schwellwertanalyse vorgenommen?

Gibt es positive Auswirkungen der Verarbeitung auf betroffene Personen?

Liegt die Verarbeitung im objektiven, mutmaßlichen Interesse der betroffenen Person. Beispiele: Zeitersparnisse, finanzielle Vorteile.

Verlieren die betroffenen Personen die Kontrolle über die Verwendung ihrer personenbezogenen Daten?

Bestehen Schutzmaßnahmen, um die Auswirkungen zu minimieren? Können die betroffenen Personen ggf. selbst Schutzmaßnahmen ergreifen?

Wer verarbeitet die Daten? Wie viele Personen haben Zugriff?

Welche Qualifikation haben die Personen bzw. Unternehmen, die die Daten verarbeiten? Werden sie Daten vertraulich behandelt? Gibt es Zugriffsbeschränkungen i.S.d. Art. 32 Abs. 4 DSGVO?

Beispiele für Interessenabwägung

Direktwerbung an Bestandskunden:

Ein Unternehmen möchte Kundendaten nutzen, um postalisch Werbung für ähnliche Produkte zu versenden. Interesse: effektive Vermarktung (berechtigtes wirtschaftliches Interesse, ErwG 47). Daten: Name und Adresse. Normale Daten wurden bereits im Rahmen der Kundenbeziehung erhoben. Erforderlichkeit: Versand ohne diese Daten unmöglich; milderes Mittel wäre evtl. Einwilligung, doch bei Direktwerbung an Bestandskunden gesteht das Gesetz dem Unternehmen ein legitimes Interesse zu. Abwägung: Die Kunden haben aufgrund der Geschäftsbeziehung eine gewisse Erwartung, gelegentlich Werbung zu erhalten, und der Eingriff beschränkt sich auf maßvolle Briefwerbung. Zudem wird eine Opt-Out-Möglichkeit klar angeboten. Ergebnis: In der Regel überwiegt hier das Unternehmensinteresse, die Verarbeitung ist zulässig.

Videoüberwachung eines Ladenlokals:

Ein Ladenbetreiber installiert Überwachungskameras im Verkaufsraum, um Diebstähle vorzubeugen. Interesse: Schutz des Eigentums, Sicherheit von Mitarbeitern und Kunden (berechtigtes Interesse). Daten: Videoaufnahmen aller Personen im Laden (potenziell viele Betroffene, teils sensible Verhaltensdaten; ggf. auch Mitarbeiter = besondere Schutzbedürfnisse nach BVerfG-Rechtsprechung in Arbeitsverhältnissen). Erforderlichkeit: Könnten Alternativen wie mehr Personal oder Warensicherungsetiketten genügen? Falls nein, ist Videoüberwachung als letztes Mittel grundsätzlich geeignet. Abwägung: Hier ist genau zu prüfen: Die Maßnahme greift in das Recht auf Privatsphäre der Kunden ein. Milderung durch Transparenz (Hinweisschilder), eingeschränkte Kamerawinkel (keine Überwachung privater Bereiche wie WC) und kurze Speicherdauer ist wichtig. Wenn das Geschäft in einer hohen Diebstahlgegend liegt und die Überwachung während der Öffnungszeiten erfolgt, könnte das Interesse des Betreibers (Schutz vor erheblichen Schäden) das Interesse der Kunden an nicht beobachtetem Einkaufen gerade noch überwiegen. Vorausgesetzt, es ist keine weniger eingreifende Lösung ist möglich. Würde jedoch dauergefilmt ohne Hinweis oder auch Bereiche überwacht, die Privatsphäre genießen (z. B. Umkleiden), würden die Betroffenenrechte eindeutig überwiegen und die Verarbeitung wäre unzulässig. Arbeitsrechtlich ist zudem die Erwartung der Mitarbeiter relevant: Verdeckte Überwachung wäre unverhältnismäßig, offene Kamera mit Betriebsratszustimmung evtl. zulässig, wenn kein Dauerstress/Überwachungsdruck entsteht. Gerichte (auch das BVerfG) fordern hier strikte Verhältnismäßigkeit und Beachtung von Mitarbeiterrechten.

Berechtigtes Interesse als Rechtsgrundlage

Anhand solcher Beispiele wird deutlich: Die Interessenabwägung erfordert eine individuelle Bewertung. Kleine Änderungen im Sachverhalt (anderer Datenumfang, anderer Kontext) können das Ergebnis verschieben. Daher muss die Abwägung konkret und dokumentiert pro Verarbeitungstätigkeit erfolgen. Werden die Rechte der Betroffenen erheblich beeinträchtigt, ist die Grenze des Zulässigen erreicht. Dann überwiegen die Betroffenenrechte und Art. 6 Abs. 1 lit. f DSGVO bietet keine Legitimationsgrundlage.

Andersrum gilt: Wird der Drei-Stufen-Test sorgfältig durchgeführt und dokumentiert, kann Art. 6 Abs. 1 lit. f DSGVO in vielen Situationen eine belastbare Rechtsgrundlage bieten.

Quelle: Fragenkatalog zur Interessenabwägung nach DSGVO des HmbBfDI

Mit Ailance Verarbeitungen intelligent umsetzen

Sie möchten die Drei-Stufen-Prüfung nach Art. 6 Abs. 1 lit. f DSGVO nicht nur richtig, sondern auch nachweisbar und skalierbar umsetzen. Inklusive sauberer Dokumentation, Review-Workflow und regelmäßiger Re-Evaluierung? Ailance unterstützt Sie dabei, Prozesse für Transparenz, Widerspruch (Art. 21 DSGVO) und Löschung (Art. 17 DSGVO) effizient zu verankern.

Vereinbaren Sie eine Demo von Ailance und erfahren Sie, wie Sie berechtigte Interessen revisionssicher dokumentieren und Ihre Datenschutz-Compliance nachhaltig stärken.

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
, ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge