Die Wahrung berechtigter Interessen des Verantwortlichen wird oftmals als Rechtfertigung für die Verarbeitung personenbezogener Daten herangezogen. Ob die Voraussetzungen nun vorliegen oder nicht, ist allerdings oft streitig: Eine Interessenabwägung zwischen den Interessen an der Verarbeitung und den gegenläufigen Betroffeneninteressen ist naturgemäß keine objektive Entscheidung. In der Praxis helfen hier nun Leitlinien des Europäischen Datenschutzausschusses zur Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Darin werden insbesondere die Vorgaben der Norm erläutert: Wann liegt ein berechtigtes Interesse vor? Wann ist die Datenverarbeitung erforderlich? Und wie müssen die Interessen der Betroffenen berücksichtigt werden?
Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober 2024 Leitlinien zur Verarbeitung personenbezogener Daten aufgrund Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO veröffentlicht (Guidelines 1/2024). Der EDSA ist ein Gremium der EU, welches sich aus Vertretern der europäischen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt. Ziel des Ausschusses ist die einheitliche Anwendung der Datenschutzvorschriften der EU durch die Mitgliedstaaten. Dazu werden regelmäßig Leitlinien oder Empfehlungen veröffentlicht, die vor allem bei der Anwendung und Auslegung der DSGVO helfen sollen.
In den neuesten Leitlinien befasst sich der EDSA im Detail mit den Kriterien aus Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Nach dieser Vorschrift ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen der von der Datenverarbeitung betroffenen Person überwiegen. Die Norm kann schnell als Ausweichtatbestand angesehen werden, für den Fall, dass alle weiteren Rechtfertigungsgründe des Art. 6 DSGVO nicht greifen. Die Vorgaben an diese Erlaubnisgrundlage erscheinen wenig konkret und leicht zu begründen. Dem widerspricht der EDSA nun in seinen Leitlinien eindeutig und betont, dass hiermit gerade nicht jede Verarbeitung personenbezogener Daten gerechtfertigt werden soll. Vielmehr muss Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO restriktiv ausgelegt und kritisch beurteilt werden, ob die erforderlichen Vorgaben auch wirklich vorliegen. Der EDSA teilt diese Prüfung in drei Schritte auf:
- Die Verfolgung berechtigter Interessen
Allgemein können zwar verschiedenste Interessen als Begründung für eine Datenverarbeitung in Betracht kommen – dazu berechtigen jedoch nicht alle. Nur, wenn das Interesse an der Datenverarbeitung (1.) rechtmäßig ist, d. h. nicht gegen EU- oder nationales Recht verstößt, (2.) klar und präzise bestimmt ist und (3.) tatsächlich und gegenwärtig besteht, kommt es als berechtigtes Interesse im Rahmen von Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO in Betracht. So kann z. B. eine Datenspeicherung aufgrund möglicherweise in der Zukunft entstehender Interessen an diesen Daten nicht nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO gerechtfertigt sein.
An sich bleibt der EDSA hier noch vage, da eine vollständige Erfassung aller berechtigten Interessen gar nicht möglich wäre. Orientierungspunkte und Beispiele geben die Leitlinien dennoch (Rn. 18). Eingeschränkt wird die Beurteilung der rechtmäßigen Datenverarbeitung durch die weiteren Prüfungsschritte.
- Beurteilung der Erforderlichkeit der Datenverarbeitung
Eine Verarbeitung personenbezogener Daten muss mehr als lediglich nützlich zur Wahrung der berechtigten Interessen sein. Bei der Bewertung der Erforderlichkeit müssen die Prinzipien des Datenschutzrechts mit einbezogen werden, insbesondere der Grundsatz der „Datenminimierung“. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn sie angemessen, erheblich und auf das für den Zweck notwendige Maß beschränkt sind. Sobald es passende alternative Maßnahmen gibt, die gleichermaßen zum Erreichen der verfolgten Interessen geeignet sind, ist eine Datenverarbeitung nicht mehr von Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO gedeckt.
- Abwägung der entgegenstehenden Interessen der betroffenen Person
Kernstück ist die Interessenabwägung. Dazu müssen zum einen die Interessen, Rechte und Freiheiten der betroffenen Person benannt werden. Außerdem muss erörtert werden, welche Auswirkungen die Art und der Umfang der Datenverarbeitung auf die Rechte der betroffenen Person hat. Auch, ob die Person mit einer Verarbeitung ihrer Daten rechnen konnte, wird mit einbezogen. All diese Aspekte sind schließlich in einer Gesamtabwägung den berechtigten Interessen des Verantwortlichen an der Verarbeitung gegenüberzustellen. Sollten die Interessen der betroffenen Person das Verarbeitungsinteresse überwiegen, könnte der Verantwortliche noch Maßnahmen treffen, die ggf. das Gleichgewicht beider Seiten wiederherstellen. Überwiegen trotzdem die Interessen der betroffenen Person, darf die Datenverarbeitung nicht auf Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO gestützt werden. Dass der EDSA sich nun zu den Vorgaben des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO geäußert hat, ist sehr zu begrüßen. Die Norm ist äußerst praxisrelevant, ihre Anwendung aber auch immer wieder mit Bewertungsunsicherheiten verbunden. Zwar bleiben die Leitlinien ziemlich generell, da eine konkrete Aussage zu einem Tatbestand, der eine Interessenabwägung und damit die Betrachtung jedes konkreten Einzelfalles voraussetzt, nicht möglich ist. Dennoch bringen sie mehr Rechtssicherheit durch diverse Fallbeispiele und Anwendungshinweise. Wer personenbezogene Daten aufgrund (vermeintlich) berechtigter Interessen verarbeitet, sollte in jedem Fall genau prüfen und zwingend auch dokumentieren, ob und weshalb die beschriebenen Vorgaben auch wirklich erfüllt sind.