Was ist ein berechtigtes Interesse im Sinne der DSGVO
Das "berechtigte Interesse" ist vielleicht der am schlechtesten verstandene Begriff der Datenschutz-Grundverordnung. Dieser Artikel wird:
- einige der häufigsten Fragen zu berechtigten Interessen beantworten
- Erklären, warum "berechtigte Interessen" kein Schlupfloch sind.
- Sie durch die Schritte führen, die Sie unternehmen sollten, bevor Sie sich auf "berechtigte Interessen" berufen.
- Beispiele aus der Praxis, in denen Organisationen vor Gericht angefochten wurden, weil sie sich auf "berechtigte Interessen" berufen haben.
Die Rechtsgrundlagen der GDPR
Das "berechtigte Interesse" ist eine von sechs "Rechtsgrundlagen" (oder "Rechtsgrundlagen") für die Verarbeitung personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung.
Ohne Rechtsgrundlage dürfen Sie personenbezogene Daten nicht verarbeiten (sammeln, weitergeben, löschen oder anderweitig nutzen). Wenn keine der sechs Rechtsgrundlagen zutrifft, dürfen Sie die Verarbeitung nicht fortsetzen.
Hier sind die sechs Rechtsgrundlagen für die Verarbeitung gemäß Artikel 6 Absatz 1 der Datenschutz-Grundverordnung:
- Einwilligung
- Vertrag
- Gesetzliche Verpflichtung
- Wichtige Interessen
- Öffentliche Aufgabe
- Berechtigte Interessen
In allen Fällen mit Ausnahme der "Einwilligung" muss die Verarbeitung für den jeweiligen Zweck "erforderlich" sein.
Was sind "berechtigte Interessen"?
Nach Auffassung der [Europäischen Kommission] (https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_en) können Sie ein "berechtigtes Interesse" an der Verarbeitung personenbezogener Daten haben, wenn "Sie personenbezogene Daten verarbeiten müssen, um Aufgaben im Zusammenhang mit Ihrer Geschäftstätigkeit zu erfüllen ".
Allerdings gibt es mehrere Vorbehalte.
Die Rechtsgrundlage des "berechtigten Interesses" findet sich in Art. 6(1)(f) GDPR:
"Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen; dies gilt insbesondere, wenn es sich bei der betroffenen Person um ein Kind handelt."
Schauen wir uns das mal genauer an. Die Verarbeitung ist rechtmäßig, wenn:
- Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich.
- Die Interessen werden von dem für die Verarbeitung Verantwortlichen oder einem Dritten wahrgenommen.
- Die Interessen überwiegen nicht die Interessen oder Grundrechte und -freiheiten der betroffenen Person, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
Im weiteren Verlauf des Artikels erfahren Sie, wie Sie diese drei Elemente der berechtigten Interessen in der Praxis anwenden können.
Das "berechtigte Interesse" gilt als die "flexibelste" der Rechtsgrundlagen der DSGVO. Die für die Verarbeitung Verantwortlichen können versuchen, sich auf das berechtigte Interesse zu berufen, wenn keine der anderen Rechtsgrundlagen auf ihre Verarbeitung zutrifft.
Wie die [Artikel 29-Datenschutzgruppe] (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf) jedoch feststellte:
"Diese flexible Formulierung lässt viel Spielraum für Interpretationen und hat manchmal - wie die Erfahrung gezeigt hat - zu mangelnder Vorhersehbarkeit und Rechtssicherheit geführt..."
Am Ende des Artikels sehen wir uns einige reale Beispiele von Organisationen an, deren Berufung auf "berechtigte Interessen" in Frage gestellt wurde.
Beispiele für berechtigte Interessen
Die Datenschutz-Grundverordnung enthält keine Liste der berechtigten Interessen. Es gibt jedoch einige Beispiele, die in den Erwägungsgründen der Datenschutz-Grundverordnung genannt werden (ein nicht verbindlicher Teil des Gesetzes, der bei der Auslegung der rechtlich verbindlichen Artikel hilft).
Gemäß den Erwägungsgründen der DSGVO könnten die folgenden Zwecke ein berechtigtes Interesse darstellen:
- Verhinderung von Betrug (Erwägungsgrund 47).
- Direktmarketing (Erwägungsgrund 47).
- Verarbeitung von personenbezogenen Daten von Mitarbeitern oder Kunden (Erwägungsgrund 48).
- Weitergabe personenbezogener Daten innerhalb einer Unternehmensgruppe für "interne Verwaltungszwecke" (Erwägungsgrund 48).
- Gewährleistung der Netz- und Informationssicherheit (Erwägungsgrund 49).
- Hinweise auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit (Erwägungsgrund 50).
Die Berufung auf "berechtigte Interessen" für eine dieser Tätigkeiten ist nur unter bestimmten Bedingungen rechtmäßig. Wenn Sie einen der oben genannten Zwecke verfolgen, prüfen Sie den entsprechenden Erwägungsgrund und die verschiedenen Bedingungen, die gelten.
Ist das "berechtigte Interesse" ein Schlupfloch?
Das "berechtigte Interesse" wird manchmal als "Schlupfloch" in der Datenschutz-Grundverordnung bezeichnet. Diese Behauptung ist falsch.
Wie wir weiter unten sehen werden, müssen Sie einige Arbeit leisten, bevor Sie sich auf berechtigte Interessen berufen können. Wenn eine andere Rechtsgrundlage besser geeignet ist als berechtigte Interessen, müssen Sie sich stattdessen auf diese Rechtsgrundlage stützen.
Sie müssen sicherstellen, dass die betroffenen Personen über Ihre Verarbeitungstätigkeiten informiert werden, es sei denn, es gilt eine Ausnahmeregelung. Sie müssen alle Einwände berücksichtigen. Und Sie müssen immer noch die Grundsätze der GDPR für die Datenverarbeitung einhalten.
Die Berufung auf berechtigte Interessen ist kein Schlupfloch. Es kann sogar mit mehr Aufwand verbunden sein als die Einholung einer Einwilligung.
Berechtigte Interessen vs. Einwilligung
Es gibt keine Hierarchie zwischen den Rechtsgrundlagen der GDPR. Unter bestimmten Umständen ist die "Einwilligung" am besten geeignet, unter anderen die "berechtigten Interessen".
Die Bedingungen der GDPR für die Einwilligung sind sehr streng. Manchmal müssen Sie personenbezogene Daten für einen rechtmäßigen Zweck verarbeiten, können aber nicht alle Bedingungen für eine Einwilligung erfüllen.
So ist es zum Beispiel wahrscheinlich kontraproduktiv, Personen zu fragen, ob Sie überprüfen können, ob sie einen Betrug begehen. Es ist unwahrscheinlich, dass kompetente Betrüger "ja" sagen.
Sie können personenbezogene Daten zur Betrugsbekämpfung aber auch ohne Einwilligung verarbeiten, wenn Sie nachgewiesen haben, dass dies in Ihrem berechtigten Interesse liegt.
Können Personen der Verarbeitung auf der Grundlage berechtigter Interessen widersprechen?
Personen haben das Recht, gegen eine auf berechtigten Interessen beruhende Verarbeitung Widerspruch einzulegen. Es gelten auch andere Rechte der betroffenen Person.
Das Recht auf Widerspruch ist jedoch nicht absolut. Wenn Sie nachweisen können, dass Ihre Interessen an der Fortsetzung der Verarbeitung das Widerspruchsrecht der betroffenen Person überwiegen, können Sie die Verarbeitung möglicherweise fortsetzen.
Es gibt eine Ausnahme für Direktmarketing auf der Grundlage legitimer Interessen. Personen haben immer das Recht, der Direktwerbung zu widersprechen.
Schauen wir uns nun eine systematische Methode an, um zu beurteilen, ob Sie sich auf berechtigte Interessen berufen können.
Try Wide Angle Analytics!
Bewertung der berechtigten Interessen oder "Dreiteiliger Test
Um festzustellen, ob "berechtigte Interessen" die richtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind, sollten Sie eine "Bewertung der berechtigten Interessen" durchführen.
Das UK Information Commissioner's Office (ICO) nennt dies den "dreiteiligen Test". Die drei Teile des Tests sind:
- Die Prüfung der Erforderlichkeit.
- Der Zweck-Test.
- Der Abwägungstest.
Der dreiteilige Test ist nicht in der Datenschutz-Grundverordnung enthalten. Der Test kann jedoch eine gültige Methode zur Bewertung Ihrer berechtigten Interessen sein. Er geht auf ein wichtiges EU-Gerichtsurteil aus dem Jahr 2017 zurück, das als "Rigas" bekannt ist.
Es ist wichtig, den dreiteiligen Test zu dokumentieren. Außerdem müssen Sie die berechtigten Interessen, die Sie verfolgen, in Ihrem Datenschutzhinweis angeben.
Der Zweck-Test
Bei der Zweckprüfung geht es darum, die berechtigten Interessen zu ermitteln, die Sie (der für die Verarbeitung Verantwortliche) oder ein Dritter (eine andere Organisation, eine Einzelperson oder die Gesellschaft insgesamt) verfolgen.
Um festzustellen, ob der Zweck, zu dem Sie personenbezogene Daten verarbeiten, ein berechtigtes Interesse sein könnte, fragen Sie, ob der Zweck rechtmäßig ist:
- Rechtmäßig ist, entweder gemäß der Datenschutz-Grundverordnung oder anderen einschlägigen Gesetzen (wie der Datenschutzrichtlinie für elektronische Kommunikation oder dem Verbraucherschutzgesetz).
- Fair und ethisch vertretbar.
- Zu Ihren Gunsten oder zu Gunsten einer dritten Partei.
- Gut definiert.
Zu diesem letzten Punkt: ein berechtigtes Interesse darf nicht zu weit gefasst oder vage sein. Zum Beispiel ist "unser Geschäft ausbauen" wahrscheinlich nicht spezifisch genug, um den Zweck-Test zu bestehen.
Die Erforderlichkeitsprüfung
Bei der Erforderlichkeitsprüfung geht es darum zu beurteilen, ob die Verarbeitung personenbezogener Daten notwendig ist, um den von Ihnen verfolgten Zweck zu erfüllen.
Dabei sind Fragen wie die folgenden zu berücksichtigen:
- Müssen Sie personenbezogene Daten verarbeiten, um Ihre Ziele zu erreichen?
- Können Sie Ihre Ziele auch mit weniger personenbezogenen Daten erreichen?
- Können Sie Ihre Ziele auch mit weniger sensiblen Daten erreichen?
- Können Sie jeden Aspekt der Verarbeitung auf Ihre Zwecke zurückführen?
Einige Datenschutzbehörden legen den Begriff "Notwendigkeit" recht weit aus. Die Verarbeitung muss nicht unbedingt notwendig sein, um Ihre Zwecke zu erreichen.
Laut ICO geht es bei der Erforderlichkeitsprüfung darum, festzustellen, ob Sie personenbezogene Daten auf eine "gezielte und angemessene" Weise verarbeiten.
Der Abwägungstest
Bei der Abwägungsprüfung werden die Vorteile der Verarbeitung gegen die Risiken für die Interessen und "Rechte und Freiheiten" der betroffenen Personen abgewogen.
Ein Verarbeitungszweck kann fair, ethisch vertretbar und für die Verfolgung eines rechtmäßigen Zwecks erforderlich sein. Wenn jedoch das Risiko für die betroffenen Personen die Vorteile für Sie oder einen Dritten überwiegt, können Sie sich nicht auf "berechtigte Interessen" berufen.
Im Folgenden finden Sie einige Fragen, die bei der "Abwägungsprüfung" zu berücksichtigen sind und die in drei Kategorien unterteilt sind:
- Art der personenbezogenen Daten:
- Verarbeiten Sie "Daten einer besonderen Kategorie" oder "Daten über strafrechtliche Verurteilungen"?
- Verarbeiten Sie private oder vertrauliche Daten?
- Handelt es sich bei den betroffenen Personen um Kinder oder schutzbedürftige Personen?
- Vernünftige Erwartungen der Personen:
- Besteht bereits eine Beziehung zwischen Ihnen und den betroffenen Personen? Welcher Art ist diese Beziehung?
- Haben Sie die personenbezogenen Daten direkt von den betroffenen Personen erhalten?
- Zu welchem Zweck wurden die personenbezogenen Daten erhoben? Sind sie mit den Zwecken, die Sie verfolgen, vereinbar?
- Wie lange liegt die Erhebung der personenbezogenen Daten zurück?
- Ist die Verarbeitung experimentell oder innovativ?
- Haben Sie die Erwartungen der Menschen erforscht?
- Mögliche Auswirkungen:
- Wie könnte sich die Verarbeitung auf die betroffenen Personen oder andere auswirken? Würden die Menschen von der Verarbeitung überrascht oder verärgert sein?
- Können Sie die Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten stärken, z. B. indem Sie ihnen ein Opt-out anbieten?
- Können Sie die Personen über die Verarbeitung informieren?
- Welche Schutzmaßnahmen könnten die Auswirkungen abmildern?
Dieser Prozess dient dazu, Risiken und Probleme zu ermitteln. Wenn Sie Risiken entdecken, können Sie diese möglicherweise abmildern. Ist dies nicht der Fall, können Sie die Verarbeitung trotzdem fortsetzen - allerdings nur, wenn die Vorteile die Risiken überwiegen.
Berechtigte Interessen: Drei Beispiele aus der Praxis
Hier sind drei wichtige Fälle im Zusammenhang mit "berechtigten Interessen".
Norwegen: Veröffentlichung von Beurteilungen von Angehörigen der Gesundheitsberufe
Dieser Fall [2021 Oberster Gerichtshof Norwegens] (https://lovdata.no/dokument/HRSIV/avgjorelse/hr-2021-2403-a) zeigt, wie die "Abwägungsprüfung" manchmal einen für die Verarbeitung Verantwortlichen gegenüber den betroffenen Personen begünstigen kann.
Eine Website namens Legelisten.no veröffentlichte anonyme Bewertungen von Angehörigen der Gesundheitsberufe. Die Betreiber der Website beriefen sich auf "berechtigte Interessen" und argumentierten, dass die Vorteile der Verarbeitung die Interessen der betroffenen Personen überwiegen.
Die norwegische Datenschutzbehörde stellte fest, dass die Betreiber der Website kein berechtigtes Interesse an der Veröffentlichung der Bewertungen hatten. Die Entscheidung wurde in der Berufung aufgehoben und vor den Obersten Gerichtshof gebracht.
Der norwegische Oberste Gerichtshof entschied, dass die Betreiber der Website ein berechtigtes Interesse an der Veröffentlichung der personenbezogenen Daten der Angehörigen der Gesundheitsberufe hatten, u. a. weil:
- Die Website war eine nützliche Informationsquelle und diente einem öffentlichen Interesse.
- Der für die Verarbeitung Verantwortliche hatte einige Datenschutzmaßnahmen ergriffen.
- Die Schließung der Website würde das Recht auf freie Meinungsäußerung beeinträchtigen.
Daher konnte sich der Eigentümer der Website auf "berechtigte Interessen" berufen.
Niederländische Datenschutzbehörde: "Rein kommerzielle" legitime Interessen
In diesem [umstrittenen niederländischen Fall] (https://curia.europa.eu/juris/document/document.jsf?text=&docid=269046&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=289964) steht das Urteil des Gerichtshofs der Europäischen Union (EuGH) noch aus. Je nach Ausgang könnte der Fall tiefgreifende Auswirkungen auf die "berechtigten Interessen" haben.
Die niederländische Datenschutzbehörde verhängte gegen den Königlichen Rasentennisverband (KNLT) eine Geldstrafe in Höhe von 525.000 Euro, nachdem der Verein die personenbezogenen Daten einiger seiner Mitglieder an Sponsoren verkauft hatte. Der Verein gab an, er habe ein berechtigtes Interesse an dem Verkauf der personenbezogenen Daten.
Die niederländische Datenschutzbehörde entschied, dass ein "rein kommerzielles Interesse" kein berechtigtes Interesse sein könne. Der Verein legte gegen die Entscheidung Berufung ein und das Berufungsgericht verwies den Fall an den EuGH.
Die Entscheidung der niederländischen Datenschutzbehörde wurde kritisiert, auch von der Europäischen Kommission.
Sollte der EuGH der niederländischen Datenschutzbehörde zustimmen, würde dies den Anwendungsbereich des "Zweck"-Tests erheblich einschränken.
Ein rein kommerzieller Nutzen für einen für die Verarbeitung Verantwortlichen würde kein "berechtigtes Interesse" darstellen - die Verarbeitung müsste auch einen anderen Nutzen für einen Dritten oder die Gesellschaft im Allgemeinen mit sich bringen.
UK Tribunal: Angemessene Erwartungen der Bürger
In einem Fall [2023 beim First Tier (Information Rights) Tribunal des Vereinigten Königreichs] (https://informationrights.decisions.tribunals.gov.uk/DBFiles/Decision/i3176/Experian%20Limited%20EA-2020-0317%20FP%20(17.02.23).pdf) ging es um die "angemessenen Erwartungen" im Rahmen des "Abwägungstests".
Im Jahr 2020 erließ das ICO eine Vollstreckungsmitteilung gegen die Marketingabteilung der Kreditratingagentur Experian.
Neben mehreren Verstößen behauptete das ICO, dass Experian sich nicht auf "berechtigte Interessen" berufen sollte, um personenbezogene Daten zu verarbeiten, die ursprünglich auf der Grundlage einer "Einwilligung" erhoben wurden.
Experian erhielt personenbezogene Daten von Dritten, um eine Kreditprüfung durchzuführen. Diese Dritten hatten zu diesem Zweck die Einwilligung der betroffenen Personen eingeholt.
Neben der Durchführung einer Bonitätsprüfung berief sich Experian auf "berechtigte Interessen", um die personenbezogenen Daten für Direktmarketingzwecke zu verarbeiten. Das ICO stellte fest, dass die betroffenen Personen vernünftigerweise nicht mit dieser Weiterverarbeitung rechnen konnten, zumal sie als Eingriff in die Privatsphäre angesehen wurde.
Experian legte gegen den Durchsetzungsbescheid Berufung ein. Das Gericht hob die meisten anderen Punkte der ICO-Entscheidung auf, stimmte aber zu, dass die Berufung auf "berechtigte Interessen" in diesem Fall nicht angemessen war.
Vier Schritte, die vor der Berufung auf berechtigte Interessen zu beachten sind
Die "berechtigten Interessen" sind die flexibelste Rechtsgrundlage der DSGVO. Bevor Sie sich jedoch bei der Verarbeitung personenbezogener Daten auf Ihre berechtigten Interessen berufen, sollten Sie die folgenden Schritte unternehmen:
- Stellen Sie fest, ob Sie die Daten für einen legitimen Zweck verarbeiten, der Ihrer Organisation oder einem Dritten zugute kommt.
- Überlegen Sie, ob die Verarbeitung personenbezogener Daten zur Erreichung dieses Zwecks erforderlich ist.
- Wägen Sie die Vorteile Ihrer Verarbeitungstätigkeit gegen die Risiken für die betroffenen Personen ab und führen Sie alle erforderlichen Schutzmaßnahmen oder Abhilfemaßnahmen durch.
- Dokumentieren Sie Ihre Bewertung und erläutern Sie Ihre berechtigten Interessen in Ihrem Datenschutzhinweis.