Umfas­sen­de Interessenabwägung

Der EuGH hat eine drei­stu­fi­ge Prü­fung her­aus­ge­ar­bei­tet, die zur Ver­wen­dung des berech­tig­ten Inter­es­ses als Rechts­grund­la­ge für die Daten­ver­ar­bei­tung durch­ge­führt wer­den muss. Zunächst ist zu ermit­teln, ob ein berech­tig­tes Inter­es­se der daten­ver­ar­bei­ten­den Stel­le oder eines Drit­ten vor­liegt. In einem zwei­ten Schritt wird die Erfor­der­lich­keit der Daten­ver­ar­bei­tung geprüft. Schließ­lich erfolgt eine Inter­es­sen­ab­wä­gung zwi­schen den Inter­es­sen der ver­ant­wort­li­chen Stel­le und den Inter­es­sen der betrof­fe­nen Per­son. Die Durch­füh­rung die­ser drei Schrit­te wur­de vom Euro­päi­schen Daten­schutz­aus­schuss (EDSA) in sei­nen Leit­li­ni­en 01/2024 konkretisiert.

Schritt 1: Vor­lie­gen eines recht­mä­ßi­gen Inter­es­ses des Ver­ant­wort­li­chen oder eines Dritten

Berech­tigt kön­nen alle mög­li­chen Inter­es­sen sein, wel­che mit den Tätig­kei­ten der ver­ant­wort­li­chen Stel­le zusam­men­hän­gen und recht­mä­ßig sind. Vor­aus­set­zung für die Recht­mä­ßig­keit ist nicht, dass das Inter­es­se expli­zit gesetz­lich gere­gelt ist, son­dern dass es nicht gegen EU-Recht oder das Recht des Mit­glied­staa­tes ver­stößt. Zudem muss das Inter­es­se im Zeit­punkt der Daten­ver­ar­bei­tung tat­säch­lich vor­lie­gen. Die Inter­es­sen dür­fen also nicht rein hypo­the­tisch oder nur in Zukunft mög­lich sein. Schließ­lich ist für ein legi­ti­mes Inter­es­se erfor­der­lich, dass des­sen Umfang ein­deu­tig fest­ge­legt sowie klar und prä­zi­se for­mu­liert ist.

Bei­spie­le für ein berech­tig­tes Inter­es­se kön­nen etwa sein: Schutz des Eigen­tums, Schutz der Gesund­heit und des Lebens

der Mit­ei­gen­tü­mer eines Gebäu­des, die Pro­dukt­ver­bes­se­rung und die Gewähr­leis­tung des Online-Zugangs zu Infor­ma­tio­nen von all­ge­mei­nem Interesse.

Schritt 2: Erfor­der­lich­keit der Verarbeitung

Sofern im ers­te Prü­fungs­schritt ein legi­ti­mes Inter­es­se fest­ge­stellt wur­de, wird anschlie­ßend die Erfor­der­lich­keit der Daten­ver­ar­bei­tung geprüft. Hier­bei geht es dar­um, fest­zu­stel­len, ob die kon­kre­te Ver­ar­bei­tung für die Errei­chung des berech­tig­ten Inter­es­ses tat­säch­lich not­wen­dig ist. Die ver­ant­wort­li­che Stel­le muss sich fra­gen, ob das fest­ge­stell­te legi­ti­me Inter­es­se eben­so wirk­sam mit Mit­teln erreicht wer­den kann, wel­che die Grund­rech­te und –frei­hei­ten der betrof­fe­nen Per­son weni­ger stark ein­schrän­ken. Kann dies mit „Ja“ beant­wor­tet wer­den, gilt die Ver­ar­bei­tung als nicht erfor­der­lich für die „Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen oder eines Drit­ten“. In die­sem Zusam­men­hang ist auch dar­auf zu ach­ten, dass nur die Daten ver­ar­bei­tet wer­den, wel­che für die Errei­chung der Zwe­cke, für die sie erho­ben wur­den, tat­säch­lich not­wen­dig sind.

Schritt 3: Interessenabwägung 

Ist die Daten­ver­ar­bei­tung zur Errei­chung des berech­tig­ten Inter­es­ses erfor­der­lich, gilt es im letz­ten Schritt eine Inter­es­sen­ab­wä­gung vor­zu­neh­men. Dabei wer­den die Inter­es­sen der ver­ar­bei­ten­den Stel­le den Inter­es­sen, Grund­rech­ten und –frei­hei­ten der betrof­fe­nen Per­son gegen­über­ge­stellt und gegen­ein­an­der abge­wo­gen. Die Ver­ar­bei­tung ist nur dann zuläs­sig, soweit die Posi­ti­on des Betrof­fe­nen nach den kon­kre­ten Umstän­den nicht über­wiegt. Der EDSA emp­fiehlt, die Durch­füh­rung der Inter­es­sen­ab­wä­gung in meh­re­re Stu­fen zu unterteilen:

1. Iden­ti­fi­zie­rung der Inter­es­sen, Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Person

Zu den Grund­rech­ten und –frei­hei­ten der betrof­fe­nen Per­son gehö­ren bspw. das Recht auf Pri­vat­sphä­re, das Recht auf Frei­heit und Sicher­heit, die Ver­samm­lungs­frei­heit und das Dis­kri­mi­nie­rungs­ver­bot. Mög­li­che Inter­es­sen der betrof­fe­nen Per­son kön­nen finan­zi­el­ler, sozia­ler oder per­sön­li­cher Art sein. Alle denk­ba­ren Grund­rech­te und –frei­hei­ten sowie Inter­es­sen der Betrof­fe­nen müs­sen bei der Inter­es­sen­ab­wä­gung berück­sich­tigt wer­den, da die­se durch die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beein­träch­tigt wer­den könnten.

2. Bewer­tung der Aus­wir­kun­gen der Daten­ver­ar­bei­tung für die betrof­fe­ne Person

Wur­de Stu­fe 1 erfolg­reich durch­ge­führt, geht es auf der nächs­ten Stu­fe dar­um fest­zu­stel­len, wel­che Aus­wir­kun­gen die Daten­ver­ar­bei­tung für die betrof­fe­ne Per­son haben kann. Dabei sind sowohl nega­ti­ve als auch posi­ti­ve sowie tat­säch­li­che und poten­zi­el­le Aus­wir­kun­gen zu berück­sich­ti­gen. Zur Bewer­tung der Aus­wir­kun­gen sind die Art der per­so­nen­be­zo­ge­nen Daten, der Kon­text, in dem die Daten­ver­ar­bei­tung erfolgt sowie wei­te­re mög­li­che Fol­gen der Ver­ar­bei­tung einzubeziehen.

3. Berück­sich­ti­gung der ver­nünf­ti­gen Erwar­tun­gen der betrof­fe­nen Person

Erwä­gungs­grund 47 der DSGVO sieht vor, dass auch die ver­nünf­ti­gen Erwar­tun­gen der betrof­fe­nen Per­son bei der Inter­es­sen­ab­wä­gung berück­sich­tigt wer­den müs­sen. Die ver­ant­wort­li­che Stel­le muss sich fra­gen, ob die betrof­fe­nen Per­son ver­nünf­ti­ger Wei­se mit der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten rech­nen kann. Dabei sind bspw. die Bezie­hung zwi­schen dem Ver­ant­wort­li­chen und der betrof­fe­nen Per­son, der Kon­text, in dem die Daten­er­he­bung statt­fin­det und die Merk­ma­le der „durch­schnitt­li­chen“ betrof­fe­nen Per­son (bspw. Alter und beruf­li­che Stel­lung) rele­van­te Faktoren.

4. Gewich­tung der Inter­es­sen der Beteiligten

Auf der letz­ten Stu­fe ist schließ­lich zu beur­tei­len, wes­sen Inter­es­sen über­wie­gen. Über­wie­gen die ange­streb­ten Inter­es­sen der ver­ant­wort­li­chen Stel­le kann die geplan­te Daten­ver­ar­bei­tung durch­ge­führt wer­den. Wie­gen die Inter­es­sen, Frei­hei­ten und Rech­te der betrof­fe­nen Per­son schwe­rer, kann die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten nicht wie geplant erfol­gen. Die Posi­ti­on des Ver­ant­wort­li­chen kann in die­sem Fall gestärkt wer­den, indem Maß­nah­men ergrif­fen wer­den, wel­che die Aus­wir­kun­gen der Daten­ver­ar­bei­tung auf die betrof­fe­ne Per­son mil­dern. Die­se mil­dern­den Maß­nah­men müs­sen über die ein­zu­hal­ten­den Pflich­ten der DSGVO hin­aus­ge­hen. Wer­den mil­dern­de Maß­nah­men vor­ge­nom­men, soll­te Schritt drei erneut durch­ge­führt wer­den, um zu beur­tei­len, wes­sen Inter­es­sen überwiegen.

Wur­den alle drei Schrit­te zur Durch­füh­rung der Inter­es­sen­ab­wä­gung ein­ge­hal­ten und ergibt sich dar­aus ein über­wie­gen­des berech­tig­tes Inter­es­se der ver­ant­wort­li­chen Stel­le, kann die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf die Grund­la­ge des berech­tig­ten Inter­es­ses gestützt werden.

Fazit

Soll­te eine Daten­ver­ar­bei­tung auf Grund­la­ge des berech­tig­ten Inter­es­ses gemäß Art. 6 Abs. 1 lit. f) DSGVO geplant sein, bedarf es einer umfas­sen­den Inter­es­sen­ab­wä­gung. Bei der Inter­es­sen­ab­wä­gung soll­te immer mach den erläu­ter­ten drei Schrit­te vor­ge­gan­gen wer­den. Dabei sind stets die kon­kre­ten Umstän­de des Ein­zel­falls zu berück­sich­ti­gen. Die durch­ge­führ­te Inter­es­sen­ab­wä­gung ist sorg­fäl­tig zu doku­men­tie­ren, um sie auf Anfra­ge der Auf­sichts­be­hör­de bzw. der betrof­fe­nen Per­son vor­zu­le­gen. Außer­dem dient die Doku­men­ta­ti­on als Nach­weis zur Erfül­lung der daten­schutz­recht­li­chen Rechen­schafts­pflich­ten. Der Erlaub­nis­tat­be­stand des berech­tig­ten Inter­es­ses kann also kei­nes­wegs als unkom­pli­zier­te Hin­ter­tür für die Recht­mä­ßig­keit einer Daten­ver­ar­bei­tung ver­stan­den wer­den, son­dern erfor­dert immer eine sorg­fäl­ti­ge und doku­men­tier­te Abwä­gung der Inter­es­sen der betei­lig­ten Personen.