BERECHTIGTES INTERESSE – „Das 3×8“ der Interessenabwägung

Jede Datenverarbeitung nach DSGVO ist verboten, außer sie ist erlaubt (s. Art. 6 DSGV0). In der täglichen Praxis ist die Erlaubnis oft ein Begriff mit viel Auslegungspotential.

Neben den wichtigsten Rechtsgrundlagen „Vertrag“, „Gesetz“ und „Einwilligung durch Nutzer“ wird das „Berechtigte Interesse“ oft als Notnagel oder letzte Möglichkeit herangezogen, wenn alle anderen Grundlagen, warum Daten erhoben werden dürfen, wegfallen. Da die DSGVO mit dem Verbot der Datenverarbeitung mit Erlaubnisvorbehalt arbeitet, bleibt vielen Datenverarbeitern oft nichts anderes übrig als das berechtigte Interesse zu unterstellen und die Datenverarbeitung zu rechtfertigen.

Inzwischen möchte die Aufsichtsbehörde jedoch die Berufung auf das „Berechtigtes Interesse“ genau dokumentiert haben. Wir zeigen Ihnen, nach welchen Kriterien Sie am bestem vorgehen sollten.

Was heißt eigentlich „Berechtigtes Interesse“?

Das „Berechtigte Interesse“ ist eine von mehreren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten nach Art. 6 Abs. 1 DSGVO. Das Unternehmen muss begründen, weshalb die Erhebung, Verwendung oder Verarbeitung der Daten wichtig ist, worin die Bedeutung der Interessenswahrung besteht und welche Interessen das konkret sind.

Um prüfen zu können, ob ein berechtigtes Interesse vorliegt oder nicht, muss man sich zunächst im Klaren sein, was Datenverarbeitung eigentlich alles umfasst.

Datenverarbeitung schließt jede Form der Verarbeitung von Daten ein, inklusive des gewollten Erhalts von Daten, ohne diese weiterzuverarbeiten. Angefangen bei der eben genannten Datenerhebung schließt die Datenverarbeitung das Auswerten, Speichern, Organisieren, Abfragen, Verwenden, Weitergeben, Löschen, Einschränken oder Pseudonymisieren mit ein.

Bei jedem dieser Vorgänge muss der Verantwortliche prüfen: habe ich die notwendige Rechtsgrundlage, um die Daten entsprechend zu verarbeiten, und, wenn ja, welche? Gibt es evtl. Alternativen zur gewählten Datenverarbeitung bzw. ein „milderes Mittel“?

Erwägungsgründe für berechtigtes Interesse

 Bei dem berechtigten Interesse DSGVO kann es sich grundsätzlich um das Interesse des Verantwortlichen oder auch eines Dritten handeln. Neben den berechtigten Interessen des Verantwortlichen kommen also auch berechtigte Drittinteressen als Grundlage für eine Verarbeitung in Frage.

So geben die sog. Erwägungsgründe (47 – 49) weiteren Aufschluss darüber, in welchen Fällen ein berechtigtes Interesse vorliegt:

Drei Erwägungsgründe:

Eine „maßgebliche und angemessene Beziehung“, z. B. eine Kundenbeziehung (z. B. für das Tracking im CRM-System)

Interne Verwaltungszwecke zwischen Unternehmens- oder Einrichtungsgruppen
z. B. für die Benutzeranlage, Berechtigungen

Gewährleistung von Netz- und Informationssicherheit
z. B. Proxy-Server-Tracking, Protokolle

Auch wenn der Verantwortliche ein solches berechtigte Interesse an der Datenverarbeitung geltend machen kann, ist die Verarbeitung aber noch nicht unbedingt zulässig. Dies hängt ebenso sehr davon ab, ob die Verarbeitung für die Wahrung der berechtigten Interessen unbedingt erforderlich ist und wie die Interessensabwägung hierzu ausfällt. Dabei kommt insbesondere der Abwägung eine hohe Bedeutung zu.

Die Rolle des „milderen Mittels“

Stuft ein Verantwortlicher die Datenverarbeitung als wichtig ein, kann ein berechtigtes Interesse vorliegen – muss aber nicht. Dafür müssen zunächst folgende zwei Aspekte geklärt werden:

  • Gibt es mildere Mittel?
  • Wird die Privatsphäre der betroffenen Personen übermäßig strapaziert?

Milderes Mittel: Die Möglichkeit, weniger Daten bzw. Daten weniger zu verarbeiten, stellt ein milderes Mittel dar.

Beispiel Zutrittsüberprüfung:
Eine Schlüsselausgabeliste dokumentiert, wer in welchem Zeitraum Zutritt zu einem bestimmten Bereich im Unternehmen hat. Im Vergleich zu einer 24-Stunden Video-Überwachung, bei der alle Zutritte videomäßig erfasst werden, ist die „good old“ Liste ein vergleichbar mildes Mittel. Es werden nur die Daten erhoben, die für den Verantwortlichen notwendig sind. Somit wird die Privatsphäre eines jeden Mitarbeiters weniger belastet, der möglicherweise durch das Bild der Überwachungskamera gelaufen wäre.

Wenn also mildere Mittel vorhanden sind und genutzt werden können, ist es schwierig, das berechtigte Interesse als Grundlage zur Datenverarbeitung anzuführen. Man könnte sogar so weit gehen und sagen, wer unter dem Vorwand des berechtigten Interesses das mildere Mittel nicht wählt, handelt nicht datenschutzkonform.

DSM-Online 14 Tage kostenlos und unverbindlich testen!
Mitarbeiterschulung inklusive.

Berechtigtes Interesse und Interessenabwägung nach DSGVO prüfen

 Es ist empfehlenswert die Interessenabwägung auch im Verzeichnis der Verarbeitungstätigkeiten zu formulieren und zu dokumentieren.

Wie geht man hierbei nun konkret vor? Wir zeigen Ihnen hier das „3 x 8“ der Interessenabwägung.

3 Schritte zur Dokumentation von „Berechtigten Interessen“:

  1. Beschreiben Sie Ihr „Berechtigtes Interesse“ als Unternehmen so transparent wie möglich. Warum wollen bzw. müssen Sie die Verarbeitungstätigkeit durchführen?
  2. Belegen Sie die Notwendigkeit der Verarbeitung. Legen Sie dar, warum die Art der gewünschten Verarbeitung das mildeste Mittel aus Datenschutzsicht ist.
  3. Legen Sie die Interessenabwägung dar.

 

Die 8 Kriterien zur Interessensabwägung haben wir hier aufgelistet:

  1. Wie viele Betroffene beinhaltet die Datenverarbeitung?
  2. Wie lange dauert die Beobachtung bzw. die Datenerfassung? Liegt eine stichpunktartige Verarbeitung vor oder eine dauerhafte?
  3. Welchen Umfang hat die Verarbeitung? Sind viele Datensätze betroffen oder nur eine kleine Gruppe?
  4. Werden die erhobenen Daten mit anderen Daten verkettet (Profiling)?
  5. Wer sind die Beteiligten? Handelt es sich hierbei um Ihre Mitarbeiter, die die Daten „sehen“, oder geben Sie die Daten an externe Dienstleister weiter?
  6. Kann der Betroffene selbst intervenieren und die Verarbeitung seiner Daten eindämmen?
  7. Welche Datenkategorien werden verarbeitet? Handelt es sich hierbei um einfache personenbezogene Daten oder besonders sensitive Daten wie z. B. Gesundheitsdaten?
  8. Was kann der Betroffene von der Erhebung seiner Daten erwarten? Kann er davon ausgehen, dass die Verarbeitung so vonstattengeht, wie er auch zugestimmt hat?
  9. Und vor allem, ist das Berechtigte Interesse des Unternehmens höher zu werten als der Schutzbedarf der Daten des/der Betroffenen.