Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach der DSGVO. Artikel sechs Absatz eins Buchstabe f erlaubt die Verarbeitung, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. In der Praxis ist das berechtigte Interesse die am häufigsten herangezogene Rechtsgrundlage: Laut einer Studie des EDPB stützen sich etwa 47 % aller Datenverarbeitungen in der EU auf berechtigtes Interesse.
Gleichzeitig ist das berechtigte Interesse die Rechtsgrundlage mit dem höchsten Fehlerrisiko. Ein erheblicher Anteil aller DSGVO-Bußgelder betrifft Fälle, in denen die Interessenabwägung fehlerhaft durchgeführt oder gänzlich unterlassen wurde. Dieser Artikel erklärt die Voraussetzungen, die dreistufige Prüfung und die praktische Anwendung des berechtigten Interesses nach der DSGVO.
Was bedeutet berechtigtes Interesse nach der DSGVO?
Berechtigtes Interesse nach der DSGVO ist eine Rechtsgrundlage, die es dem Verantwortlichen erlaubt, personenbezogene Daten ohne Einwilligung der betroffenen Person zu verarbeiten, wenn bestimmte Voraussetzungen erfüllt sind. Es handelt sich um eine flexible, aber anspruchsvolle Rechtsgrundlage, die stets eine dokumentierte Einzelfallprüfung erfordert.
Abgrenzung zu anderen Rechtsgrundlagen
Im Gegensatz zur Einwilligung erfordert das berechtigte Interesse keine aktive Zustimmung der betroffenen Person. Im Gegensatz zur Vertragserfüllung muss kein Vertragsverhältnis bestehen. Das berechtigte Interesse ist daher besonders relevant für Verarbeitungssituationen, in denen weder eine Einwilligung praktikabel noch ein Vertragsverhältnis gegeben ist.
Die Erwägungsgründe der DSGVO nennen ausdrücklich die Verarbeitung zum Zwecke der Direktwerbung als möglichen Fall des berechtigten Interesses. Auch die Verarbeitung zur Betrugsprävention, zur Netzwerk- und Informationssicherheit und zur konzerninternen Datenübermittlung wird in den Erwägungsgründen als potenziell berechtigt anerkannt.
Voraussetzungen und der Drei-Stufen-Test
Die Berufung auf berechtigtes Interesse erfordert eine dreistufige Prüfung, die der Europäische Datenschutzausschuss (EDPB) in seinen Leitlinien konkretisiert hat. Alle drei Stufen müssen kumulativ erfüllt sein, damit das berechtigte Interesse als Rechtsgrundlage dienen kann.
Die drei Prüfungsstufen
Stufe eins – Vorliegen eines berechtigten Interesses: Der Verantwortliche muss ein konkretes, tatsächlich bestehendes Interesse identifizieren. Dieses Interesse muss rechtmäßig, hinreichend klar formuliert und nicht rein hypothetisch sein. Wirtschaftliche Interessen, Sicherheitsinteressen und organisatorische Interessen können grundsätzlich berechtigt sein. Das Interesse muss zum Zeitpunkt der Verarbeitung tatsächlich bestehen und darf nicht lediglich zukünftig oder spekulativ sein.
Stufe zwei – Erforderlichkeit der Verarbeitung: Die Datenverarbeitung muss zur Wahrung des berechtigten Interesses tatsächlich erforderlich sein. Es muss geprüft werden, ob der Zweck auch mit milderen Mitteln erreicht werden könnte, die weniger in die Rechte der betroffenen Personen eingreifen. Der Grundsatz der Datenminimierung ist dabei stets zu berücksichtigen. Eine Verarbeitung, die über das zur Zweckerreichung Erforderliche hinausgeht, ist nicht gerechtfertigt.
Stufe drei – Interessenabwägung: Im letzten Schritt werden die Interessen des Verantwortlichen gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person abgewogen. Überwiegen die Rechte der betroffenen Person, kann das berechtigte Interesse nicht als Rechtsgrundlage dienen.
Wie wird die Interessenabwägung durchgeführt?
Die Interessenabwägung ist das Herzstück der Prüfung des berechtigten Interesses. Sie muss dokumentiert und nachvollziehbar sein, um den DSGVO-Anforderungen an die Rechenschaftspflicht zu genügen. Eine mangelhafte oder fehlende Dokumentation wird von Aufsichtsbehörden regelmäßig beanstandet.
Abwägungsfaktoren und Dokumentation
Bei der Interessenabwägung sind auf Seiten des Verantwortlichen insbesondere Art und Gewicht des verfolgten Interesses, die wirtschaftliche Notwendigkeit der Verarbeitung, die Verhältnismäßigkeit und die vorhandenen Schutzmaßnahmen und Garantien zu berücksichtigen.
Auf Seiten der betroffenen Person spielen die Art der verarbeiteten Daten (besondere Kategorien wiegen schwerer), die vernünftigen Erwartungen der betroffenen Person, die konkreten Auswirkungen der Verarbeitung, der besondere Schutzbedarf bei Kindern und vulnerablen Gruppen sowie ein mögliches Machtgefälle zwischen Verantwortlichem und betroffener Person eine Rolle.
Die Dokumentation der Interessenabwägung ist eine Pflicht aus dem Rechenschaftsgrundsatz der DSGVO. Das BfDI empfiehlt, die Interessenabwägung schriftlich zu dokumentieren und im Verzeichnis von Verarbeitungstätigkeiten zu hinterlegen. Die Dokumentation sollte das identifizierte Interesse, die Erforderlichkeitsprüfung, die Abwägungsfaktoren und das Ergebnis umfassen. Die jüngere EuGH-Rechtsprechung verschärft diese Anforderung weiter: Der Gerichtshof verknüpft die Zulässigkeit der Berufung auf berechtigtes Interesse unmittelbar mit der Transparenzpflicht nach Artikel 13 Absatz 1 Buchstabe d DSGVO — wer die betroffene Person zum Zeitpunkt der Datenerhebung nicht über das konkrete berechtigte Interesse informiert hat, kann sich auf diese Rechtsgrundlage nicht mehr berufen.
Praxisbeispiele: zulässig und unzulässig
Die Rechtsprechung und die Aufsichtspraxis haben zahlreiche Anwendungsfälle des berechtigten Interesses herausgearbeitet. Die folgenden Beispiele verdeutlichen, wann die Berufung auf berechtigtes Interesse typischerweise zulässig oder unzulässig ist.
Typische Anwendungsfälle
Zulässig – Direktwerbung: Die Erwägungsgründe der DSGVO erkennen Direktwerbung ausdrücklich als berechtigtes Interesse an. Voraussetzung ist, dass die betroffene Person der Werbenutzung nicht widersprochen hat und die Werbung nicht unverhältnismäßig in ihre Rechte eingreift. Bei bestehenden Kundenbeziehungen ist die Interessenabwägung typischerweise positiv.
Zulässig – IT-Sicherheit: Die Verarbeitung von Logdaten und Zugriffsprotokollen zum Schutz der Netzwerk- und Informationssicherheit ist ein anerkannter Fall des berechtigten Interesses. Die Erwägungsgründe der DSGVO bestätigen dies ausdrücklich, und auch Aufsichtsbehörden erkennen diese Rechtsgrundlage regelmäßig an.
Zulässig – Betrugsprävention und konzerninterne Datenübermittlung: Die Verarbeitung zur Verhinderung von Betrug wird in den Erwägungsgründen ebenso als berechtigtes Interesse anerkannt wie die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke.
Unzulässig – Umfassendes Profiling ohne Schutzmaßnahmen: Die Berliner Beauftragte für Datenschutz hat mehrfach klargestellt, dass umfassendes Verhaltenstracking ohne transparente Information und Widerspruchsmöglichkeit in der Regel nicht auf berechtigtes Interesse gestützt werden kann.
Unzulässig – Überwachung von Beschäftigten: Eine umfassende Überwachung am Arbeitsplatz, etwa durch Keylogger oder lückenlose Videoüberwachung, übersteigt regelmäßig das berechtigte Interesse des Arbeitgebers. In Deutschland hat das Bundesarbeitsgericht in mehreren Urteilen die Grenzen der Zulässigkeit konkretisiert.
Das Widerspruchsrecht der betroffenen Personen
Betroffene Personen haben nach der DSGVO ein besonderes Widerspruchsrecht gegen Verarbeitungen, die auf berechtigtem Interesse beruhen. Dieses Recht ist stärker als das allgemeine Widerspruchsrecht und muss in der Datenschutzinformation ausdrücklich erwähnt werden.
Nach einem wirksamen Widerspruch darf der Verantwortliche die personenbezogenen Daten nicht mehr für den betreffenden Zweck verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen, die die Interessen der betroffenen Person überwiegen. Bei Widerspruch gegen Direktwerbung ist die Verarbeitung jedoch ohne jede weitere Prüfung sofort einzustellen. Das Auskunftsrecht umfasst ausdrücklich die Information über die verfolgten berechtigten Interessen, sodass betroffene Personen die Grundlage der Verarbeitung überprüfen und gegebenenfalls einen Widerspruch einlegen oder eine Löschung verlangen können.
Häufige Fehler bei der Anwendung
Die Auswertung der Bußgeldpraxis zeigt, dass bestimmte Fehler bei der Berufung auf berechtigtes Interesse besonders häufig auftreten und zu hohen Sanktionen führen. Die Kenntnis dieser Fallstricke ist für eine rechtssichere Datenverarbeitung unerlässlich.
Pauschale Berufung ohne Einzelfallprüfung: Die bloße Behauptung eines berechtigten Interesses ohne dokumentierte Prüfung und Abwägung verstößt gegen die DSGVO. Das DSGVO-Portal dokumentiert zahlreiche Bußgelder für Verstöße in diesem Bereich.
Fehlende Information der Betroffenen: Die DSGVO verlangt, dass betroffene Personen über die verfolgten berechtigten Interessen informiert werden. Eine Datenschutzerklärung, die lediglich “berechtigtes Interesse” als Rechtsgrundlage nennt, ohne das konkrete Interesse zu benennen, ist unzureichend und kann zu Sanktionen führen.
Keine regelmäßige Überprüfung: Berechtigte Interessen können sich im Laufe der Zeit verändern. Eine Interessenabwägung, die vor langer Zeit durchgeführt wurde, ist möglicherweise nicht mehr aktuell. Die Erfassung der Prüfungszeitpunkte im Verzeichnis von Verarbeitungstätigkeiten ermöglicht eine systematische Überprüfung und stellt die fortlaufende Aktualität sicher.
Ignorieren des Widerspruchsrechts: Der Verantwortliche muss über das Widerspruchsrecht informieren und Widersprüche effektiv bearbeiten. Eine fehlende oder unzureichende Widerspruchsmöglichkeit kann ebenfalls zu Bußgeldern führen.
Eine systematische DSGVO-Checkliste sollte die Prüfung der Rechtsgrundlagen einschließlich der Dokumentation der Interessenabwägung umfassen. Die Einbindung des Datenschutzbeauftragten in die Bewertung des berechtigten Interesses ist dringend empfehlenswert, da dieser die erforderliche Fachkenntnis mitbringt und eine unabhängige Beurteilung sicherstellt. Die ordnungsgemäße vertragliche Regelung mit Auftragsverarbeitern ist auch bei der Stützung auf berechtigtes Interesse als Rechtsgrundlage unerlässlich.
FAQ
Kann berechtigtes Interesse die Einwilligung ersetzen?
Berechtigtes Interesse und Einwilligung sind zwei eigenständige Rechtsgrundlagen nach der DSGVO. Grundsätzlich kann das berechtigte Interesse in vielen Fällen die Einwilligung ersetzen, sofern die dreistufige Prüfung positiv ausfällt. Allerdings gibt es Bereiche, in denen die Einwilligung zwingend erforderlich ist, etwa beim Einsatz von Cookies und Tracking-Technologien nach der ePrivacy-Richtlinie oder bei der Verarbeitung besonderer Kategorien personenbezogener Daten.
Muss die Interessenabwägung schriftlich dokumentiert werden?
Ja, die schriftliche Dokumentation ist nach dem Rechenschaftsgrundsatz der DSGVO erforderlich. Der Verantwortliche muss jederzeit nachweisen können, dass er die Rechtsgrundlage sorgfältig geprüft hat. Eine mündliche Abwägung genügt nicht. Die Dokumentation sollte das verfolgte Interesse, die Erforderlichkeitsprüfung, die Abwägungsfaktoren und das Ergebnis umfassen. In der Praxis empfiehlt es sich, ein standardisiertes Formular zu verwenden.
Was passiert, wenn die Interessenabwägung fehlerhaft ist?
Eine fehlerhafte oder fehlende Interessenabwägung führt dazu, dass die Verarbeitung ohne gültige Rechtsgrundlage erfolgt. Dies stellt einen Verstoß gegen die DSGVO dar, der mit Bußgeldern der oberen Stufe geahndet werden kann – bis zu zwanzig Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Betroffene Personen haben darüber hinaus Anspruch auf Schadensersatz und können die Löschung ihrer Daten verlangen.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
