Zur Verarbeitung personenbezogener Daten macht die DSGVO klare Vorschriften: Eine Datenverarbeitung ist nur bei Erfüllung bestimmter Voraussetzungen zulässig. Eine Option besteht darin, sich auf ein berechtigtes Interesse zu stützen. Doch aufgepasst, dies muss den rechtlichen Anforderungen standhalten.

Verarbeitung personenbezogener Daten erfordert Rechtsgrundlage

Unternehmen können sich für die Verarbeitung von Daten mit Personenbezug auf verschiedene Rechtsgrundlagen stützen. Eine ist die Einwilligung des Betroffenen. Allerdings ist sie nicht immer die praktikabelste Lösung, da eine Einwilligung widerrufen werden kann und im Beschäftigtenverhältnis unter Umständen nicht zu hundertprozentig auf Freiwilligkeit der Mitarbeiter basiert.

Eine gesetzliche Grundlage zur Verarbeitung personenbezogener Daten ist stets die sicherste Alternative, wie es z.B. bei der Erfassung des Impfstatus von Mitarbeitern im Rahmen der Pandemiebekämpfung der Fall war. Speziell im Bereich Kundenmanagement bietet sich die durchaus attraktive Möglichkeit, dass sich der Verarbeiter mangels Alternativen auf ein berechtigtes Interesse stützt. Hier bedarf es aber der Erfüllung bestimmter Rahmenbedingungen.

Berechtigtes Interesse

Die DSGVO kennt sechs zulässige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Die Verarbeitung basierend auf einem berechtigten Interesse regelt Art. 6 Abs. 1 lit. f DSGVO: „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

(Hinweis: Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. Ebenso gelten gemäß Art. 6 lit. f DSGVO für die Verarbeitung personenbezogener Daten von Kindern besondere Anforderungen.)

Somit ist die Verarbeitung nur zulässig, wenn der Verarbeiter folgende drei Voraussetzungen allesamt erfüllt:

  • Der Verarbeiter oder ein Dritter müssen ein berechtigtes Interesse an der Verarbeitung haben.
  • Die Verarbeitung ist notwendig, um das berechtigte Interesse zu wahren.
  • Interessen, Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen.

Alle drei Voraussetzungen sehen wir uns nachfolgend genauer an.

1. Definition „berechtigtes Interesse“

Der Begriff „berechtigtes Interesse“ ist in der DSGVO nicht näher definiert. Damit umfasst er zunächst jede Art von Interesse, also unabhängig davon, ob es z.B. einen rechtlichen oder wirtschaftlichen Hintergrund hat. Der Zusatz „berechtigt“ kann als Einschränkung gesehen werden, um solche Interessen auszuschließen, die beispielsweise mit dem Gesetz in Konflikt stehen.

Das berechtigte Interesse muss keineswegs das Interesse des Verantwortlichen sein. Ebenso kann es sich um das Interesse eines Dritten (auch Drittinteressent genannt) handeln.

2. Notwendigkeit der Verarbeitung

Die Notwendigkeit hängt davon ab, ob alternative (mildere) Mittel zur Datenverarbeitung existieren. Erwägungsgrund 39 besagt: „Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.“

Somit kann die Verarbeitung nur erfolgen, sofern dem Verantwortlichen keine Alternative zur Verfügung steht bzw. ihm diese unter Berücksichtigung weiterer Aspekte, wie z.B. dem Aufwand, nicht zumutbar ist.

3. Interessenabwägung

Der Verantwortliche hat abzuwägen, welches Interesse überwiegt, also sein Interesse (oder das Interesse eines Dritten) an der Verarbeitung oder die Belange der betroffenen Person. Dies ist einer der zentralen Aspekte des Datenschutzes: Die DSGVO soll gewährleisten, dass die Interessen, Grundrechte und Grundfreiheiten von Verbrauchern angemessen geschützt sind.

Die Abwägung des Interesses ist somit keinesfalls auf die leichte Schulter zu nehmen. Vielmehr entscheidet sich hier, ob eine Datenverarbeitung aufgrund eines berechtigten Interesses erfolgen kann.

Der Ablauf der Interessenabwägung lässt sich in zwei Schritte unterteilen.

  1. Die Interessen beider Seiten sind zu benennen und zu gewichten.
  2. Die gewichteten Interessen sind gegeneinander abzuwiegen.

Entscheidend ist, welche Interessen letztlich überwiegen. Sofern die eigenen Interessen überwiegen, kann von einer Zulässigkeit der Datenverarbeitung ausgegangen werden. Im gegenteiligen Fall ist sie nicht lässig.

Eine Abwägung mit negativem Ergebnis muss nicht gleich das Aus für die Datenverarbeitung bedeuten. Es kann versucht werden die Verarbeitung anzupassen (mit Maßnahmen, wie z.B. einer Verkürzung der Speicherdauer). Alternativ wäre zu prüfen, ob sich eine andere Verarbeitungsgrundlage (z.B. auf Basis einer Einwilligung) findet.

Dokumentation

Das Stützen auf ein berechtigtes Interesse und die anschließende Interessenabwägung sollten keine theoretischen Überlegungen bleiben. Für den praxisnahen Datenschutz ist es empfehlenswert, sie zu dokumentieren.

Verarbeitungsvorgänge werden im Verzeichnis von Verarbeitungstätigkeiten (VVT) schriftlich festgehalten. Wenn sich ein Unternehmen für die Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse stützt, ist folglich eine Dokumentation der Verarbeitung mitsamt zugehöriger Rechtsgrundlage im VVT anzuraten.

Das VVT ist eines der zentralen Dokumente, wenn es zur Prüfung durch eine Aufsichtsbehörde kommt. Dies verdeutlicht, weshalb eine solide Rechtsgrundlage, die einer kritischen Analyse standhält, zu wählen ist. In Verbindung mit einer ordnungsgemäßen Dokumentation bildet sie die Grundlage, um ein angemessenes Datenschutzniveau zu erreichen und nachweisen.

Berücksichtigung der Informationspflichten

Da ohne Einwilligung gearbeitet wird, sind Betroffene über die Verarbeitung ihrer Daten und dem damit in Verbindung stehenden Interesse zu informieren. Dies kann je nach Situation z.B. über einen expliziten Informationstext oder eine Datenschutzerklärung erfolgen.

Prüfschema

Für geplante Datenverarbeitungen gilt: Erst prüfen, dann umsetzen. Im Grunde hält dieser Beitrag das Prüfschema schon bereit. Trotzdem haben wir nachfolgend zusammengefasst, wie Sie die Rechtmäßigkeit einer Datenverarbeitung prüfen können:

  1. Zweck der Verarbeitung beschreiben
  2. Rechtsgrundlage und Erforderlichkeit der Verarbeitung prüfen
  3. Abwägung der Interessen von Betroffenem und Datenverarbeiter
  4. Dokumentation

Wir helfen Ihnen beim Datenschutz

Ganz gleich, ob Sie ein berechtigtes Interesse identifizieren oder es mit den Interessen der Betroffenen abwägen möchten: Unsere Datenschutzberater bringen das notwendige Knowhow sowie umfassende Praxiserfahrung mit, um Sie bei datenschutzrechtlichen Fragestellungen zu unterstützen. Für weitere Informationen nutzen Sie unsere kostenlose Erstberatung – wir freuen uns auf Ihre Anfrage.