datenrecht.ACADEMY

DSGVO-Compliance auf die smarte Art.

Berechtigtes Interesse – Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO

Das nachfolgende Video ist meinem DSGVO-Praxiskurs entnommen. Hinweise auf Kommentarfunktionen oder Direktnachrichten beziehen sich auf den Kurs und sind hier nicht möglich. Es lohnt sich also, Kursteilnehmer*in zu werden.

Wenn Sie sich einen Überblick über die Rechtsgrundlagen des Artikel 6 Absatz 1 Satz 1 DSGVO verschaffen wollen, dann beachten Sie auch meinen Videokommentar zu Artikel 6 DSGVO.

In Deutschland wurde und wird die Chance, die der Erlaubnistatbestand des berechtigten Interesses bietet allerdings noch viel zu oft konterkariert, eben durch § 25 TTDSG und das UWG, die das Internet und die digitale Kommunikation immer noch als Neuland begreifen, in dem nur Gefahren drohen und die berechtigten Geschäftsmöglichkeiten der Unternehmen komplett ignorieren. Jammern hilft nichts, aber mir ist diese Anmerkung wichtig. Häufig wird die DSGVO als Bremser begriffen und es wird übersehen, dass in vielen Fällen nicht die DSGVO bremst, sondern altbackene, innovationsfeindliche deutsche Gesetze. Jetzt aber Schluss mit der Klage.

Um die Verarbeitung personenbezogener Daten auf ein berechtigtes Interesse stützen zu können, müssen demnach drei Voraussetzungen gegeben sein.

  1. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche oder ein Dritter haben ein berechtigtes Interesse an der Datenverarbeitung.

  2. Die Verarbeitung ist zur Wahrung des berechtigten Interesses erforderlich.

  3. Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht.

Wenn diese drei Voraussetzungen kumulativ vorliegen, kann eine Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f) DSGVO und damit das berechtigte Interesse gestützt werden. Betrachten wir diese Voraussetzungen genauer:

Legitimes Interesse

Der Begriff des Interesses ist dem Wortlaut nach erkennbar weit gefasst und umfasst letztlich jedes rechtliche, tatsächliche, ideelle oder wirtschaftliche Interesse. Lediglich der Zusatz »berechtigt« gibt eine Einschränkung, die aber durchaus naheliegend ist. Es sollen eben nur die Interessen von der DSGVO privilegiert werden, die ihr nicht entgegenlaufen. Damit können nur solche Interessen, die einem strafrechtlichen oder sonstigen Verbot unterliegen, nicht berechtigt i.S.d Artikel 6 Absatz 1 Buchstabe f) DSGVO sein. Kurz gesagt: Was nicht verboten ist, taugt als berechtigtes und damit legitimes Interesse.

Bei dem berechtigten Interesse i.S.d. Artikel 6 Absatz 1 Buchstabe f) DSGVO kann es sich nach dem Wortlaut des Artikels um das Interesse des Verantwortlichen oder eines Dritten handeln. Neben den berechtigten Interessen des Verantwortlichen kommen also auch berechtigte Drittinteressen als Grundlage für eine Verarbeitung in Frage.

Beispiele für »berechtigte Interessen«:

  • Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion unter Verwendung eines sog. Session-Identifiers,
  • freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen, z. B. Einbindung von Inhalten, die auf anderen Servern gehostet werden, Nutzung von Content Delivery Networks (CDN), Webfonts, Kartendiensten, Social-Plugins etc.,
  • Integrität und Sicherheit der Website; IT-Security-Maßnahmen sind bspw. das Speichern von Log-Dateien und insbesondere IP-Adressen für einen längeren Zeitraum, um Missbrauch erkennen und abwehren zu können,
  • Reichweitenmessung und statistische Analysen,
  • Optimierung des jeweiligen Webangebots und Personalisierung/ Individualisierung des Angebots abgestimmt auf die jeweiligen Nutzer,
  • Wiedererkennung und Merkmalszuordnung der Nutzer, z.B. bei werbefinanzierten Angeboten,
  • Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken) und Bot-Nutzung. Weitere Beispiele für berechtigte Interessen finden sich auch in der Erwägungsgründen (EG) zur DSGVO und zwar in den EG 47 bis 49.

Für uns ist insbesondere EG 47 interessant, denn dort heißt es:

Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

Der Verordnungsgeber hat also die Ansprache potentieller Kunden (Direktwerbung) als berechtigtes Interesse anerkannt, insoweit müssen wir uns also weiter keine Gedanken machen. Wäre dem nicht so gewesen, hätten wir aber auch leicht festgestellt, dass Werbung und Marketing sicherlich nichts ist, das unserer Rechtsordnung in einem kapitalistischen Wirtschaftssystem entgegenläuft. Vor diesem Hintergrund möchte ich zudem erwähnen, dass ganz generell die Umsatz- bzw. Gewinnerzielung ebenfalls als berechtigtes Interesse anerkannt ist. Im Direktmarketing haben wir einfach nur die Herausforderung, dass uns § 25 TTDSG (bezogen auf das Setzen von Cookies) und § 7 UWG einen Strich durch die Rechnung machen. Nach DSGVO könnten wir etliche digitale Werbemaßnahmen auf ein berechtigtes Interesse stützen; aber ich will nicht schon wieder jammern ;-)

Erforderlichkeit

Weiterhin muss die Datenverarbeitung als solche auch erforderlich sein. Die Voraussetzung der Erforderlichkeit durchzieht bis auf die Einwilligung alle Rechtsgrundlagen des Artikel 6 Absatz 1 Satz 1 DSGVO; wir hatten sie schon im Rahmen der Vertragserfüllung bzw. Vertragsanbahnung besprochen.

Erforderlich ist eine Datenverarbeitung also dann, wenn sie die einzige Möglichkeit ist, wie der Verantwortliche zur Erfüllung seines Interesses kommen kann. Es darf kein alternatives oder milderes aber gleich effektives Mittel geben. Deswegen muss die Verarbeitung auch in jedem Fall auf das notwendige Maß beschränkt werden.

Die Verarbeitung darf folglich nicht bloß nützlich oder zweckmäßig sein, sondern notwendig. In der englischen Fassung der DSGVO steht »necessery«, was eben mit »notwendig« übersetzt werden muss. Personenbezogene Daten sind also dann erforderlich, wenn sie für die aktuelle und konkrete Verarbeitung benötigt werden. Sie werden nur dann benötigt, wenn die Aufgabe oder das herausgearbeitete Interesse sonst nicht, nicht vollständig oder in nicht rechtmäßiger Weise bedient werden kann. Man spricht in diesem Zusammenhang auch davon, dass es keine gleich geeigneten milderen Mittel geben darf. Das alles ist immer eine Frage des Einzelfalles.

Ein Beispiel: Wir hatten w.o. gesehen, dass wir für die Übermittlung einer Sendungsnummer des Postdienstleisters per E-Mail an den Kunden keine Einwilligung benötigen. Der Onlinehändler hat ein berechtigtes Interesse daran, diese dem Kunden mitzuteilen, damit er nicht dauernd nachfragt, wo denn die Lieferung bleibt. Es gibt auch kein milderes, gleich geeignetes Mittel, um dem Kunden die Nachverfolgung zu ermöglichen. Die Sendungsverfolgung über die Website des Händlers ist weder milder noch gleich geeignet.

Abwägung

Die Verarbeitung personenbezogener Daten im Rahmen eines berechtigten Interesses ist nur zulässig, sofern nicht »die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person« überwiegen. Mit diesen im Gesetz so bezeichneten Interessen sind das Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung der betroffenen Person gemeint.

Es wird fälschlicherweise häufig gesagt oder geschrieben, dass das Interesse des Unternehmers (oder des Dritten) überwiegen muss; das ist nicht richtig. Das Gesetz spricht nur davon, dass das Interesse der betroffenen Person NICHT überwiegen darf; das ist ein feiner aber ggf. entscheidender Unterschied.

Ein heimliches Tracking ist beispielsweise immer ausgeschlossen, da in solchen Fällen das Interesse der betroffenen Person, nicht überwacht zu werden höher zu bewerten ist.

Gefordert ist also eine Abwägung. Auf der einen Seite das berechtigte Interesse des Unternehmers (oder Dritten) und auf der anderen Seite das Interesse der betroffenen Person.

Für den Fall des »Trackings« exerziert die DSK die Interessenabwägung einmal durch. In Frage steht ein, in einem Shop eingebundenes, Social Network Pixel, worüber Daten der Nutzer gesammelt werden, etwa wie die Nutzer auf die Website gelangt sind, wie sie die Website nutzen und welche Produkte sie in den Warenkorb legen. Mit diesen Daten können die Websitebetreiber ihre Werbekampagnen innerhalb des sozialen Netzwerks optimieren und vor allem Streuverluste verringern. Das soziale Netzwerk verwendet die Daten der Nutzer des Shops auch für eigene Werbezwecke.

Die DSK hat vor allem starke Bedenken hinsichtlich der Vorhersehbarkeit und Transparenz: »Der durchschnittliche Nutzer sozialer Netzwerke erwartet jedoch nicht, dass Websites unsichtbare Pixel einbinden, um eine Datenverarbeitung durch Dritte zu veranlassen (vernünftige Erwartung der betroffenen Personen) und sozialen Netzwerken damit Daten zugeliefert werden, die diese wiederum zur Profilbildung nutzen.« (DSK »Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien« 2019, Anhang S. II). Vor allem, dass Daten website- und geräteübergreifend über einen längeren Zeitraum von einem unsichtbaren Dritten gespeichert werden, ist ein Ausmaß, was die durchschnittlichen Nutzer nicht mehr erfassen können. Des Weiteren sieht die DSK ein massives Problem hinsichtlich der Interventionsmöglichkeit. Denn auch wenn die Nutzer einen Opt-out zu einem späteren Zeitpunkt durchführen könnten, wäre die Datenverarbeitung ja bereits vollzogen. Das sei angesichts der Eingriffsintensität nicht zu rechtfertigen. Damit kommt die DSK zu dem Ergebnis, dass Tracking mit Social Network Pixeln »wenn überhaupt nur mit der Einwilligung möglich« sei (DSK »Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien« 2019, S. 24).

Zu diesem Ergebnis gelangt man auch, sofern das Pixel iSv. § 25 Absatz 1 TTDSG als Technik angesehen werden muss, die Informationen in der Endeinrichtung des Endnutzers speichert oder Zugriff auf zuvor gespeicherte Informationen nimmt. Hier bleibt die weitere Rechtsentwicklung abzuwarten.

Dokumentation der Abwägung

Ganz wichtig ist und häufig übersehen: Diese Abwägung muss dokumentiert werden! Es reicht also nicht, dass man »in sich geht«.

"Heute in mich gegangen. Auch nichts los." Karl Valentin – Komiker, Volkssänger und Autor (1882 - 1948)

Die nachweisbare Dokumentation der Abwägung folgt nicht zuletzt aus der Rechenschaftspflicht des Artikels 5 Absatz 2 DSGVO. Große formelle Anforderungen werden aber nicht gestellt. Im Grunde genommen reicht eine formlose Gegenüberstellung der jeweiligen Interessen.

Ein Veranstalter möchte z.B. auf seinem Event fotografieren (lassen). Er hat ein Interesse daran, die Veranstaltung für zukünftige ähnliche Events werbemäßig zu nutzen oder sie gegenüber Sponsoren zu dokumentieren.

Der Besucher möchte nicht fotografiert werden. Er will nicht, dass jemand weiß, dass er (auch) auf dieser Veranstaltung ist. Er mag seinen aktuellen Haarschnitt nicht und möchte den Anblick nicht für die Nachwelt konservieren. Es ist normal, dass sich für beide Seiten Interessen finden lassen. Es geht nicht darum, wer zahlenmäßig mehr Interessen hat, sondern ob die Interessen der betroffenen Person überwiegen.

Die Interessen der betroffenen Person orientieren sich an den »vernünftigen Erwartungen« (EG 47) einer abstrakten betroffenen Person. Es geht also um die Erwartungen eines durchschnittlichen Betroffenen in dieser Situation. Nach dem BGH ist maßgebend »ein objektivierter Maßstab, das heißt, welche Erwartungen ein vernünftiger Dritter in der Person des Betroffenen hätte« (BGH, Urteil vom 12 Juli 2018, Az. III ZR 183/17). Der BGH schreibt in der genannten Entscheidung weiter: »Die Schutzbedürftigkeit ist dabei umso höher, je persönlicher die betroffenen Daten sind.«

Spielen wir es an unserem Beispielfall (Fotos auf Veranstaltung; Veröffentlichung ist NICHT geplant) einmal durch:

Welche berechtigten Interessen hat der Verantwortliche?

  • Dokumentation seiner Veranstaltung für interne Zwecke
  • Nachweise gegenüber Sponsoren

Diese Interessen sind nachvollziehbar. Aber, sind Sie auch berechtigt? Gibt es nicht so etwas wie das Recht am eigenen Bild? Das sog. »Recht am eigenen Bild« ist eine Ausformung des allgemeinen Persönlichkeitsrechts und besagt, dass jeder Mensch selbst bestimmen darf, ob überhaupt und in welchem Zusammenhang Aufnahmen wie Fotos oder Videos von ihm veröffentlicht werden. (Einfach-)gesetzliche Ausprägung erfährt es in den §§ 22 bis 24 KUG. Dort ist vor allem geregelt, wann eine »Veröffentlichung« rechtswidrig ist; eine Veröffentlichung ist aber gerade nicht geplant. Das Recht am eigenen Bild schützt nur die Verbreitung und Veröffentlichung von Bildnissen einer Person, nicht aber vor dem Fotografieren selbst. D.h. aber nicht, dass das Persönlichkeitsrecht gänzlich entfällt, wir können es aber bei der Abwägung besser gewichten und werden es daher dort behandeln.

Ist die Verarbeitung der Daten erforderlich, um dieses Interesse zu wahren?

Ja, es gibt kein anderes gleich effektives Mittel.

Interessenabwägung.

Welche Relevanz haben die Interessen des Verantwortlichen?

Dokumentation einer gelungenen Veranstaltung, in die viel Arbeit gesteckt wurde, vor allem gegenüber Sponsoren, die an der Veranstaltung nicht teilgenommen haben.

Welche Interessen, Grundrechte und Grundfreiheiten hat der Besucher der Veranstaltung?

Recht selbst zu entscheiden, ob, wann und wo jemand fotografiert wird; Recht daran als Person nicht unbekannten Dritten gegenüber zur »Schau« gestellt zu werden.

Welches Interesse überwiegt?

Hier ist vor allen Dingen zu bedenken, dass die erstellten Fotos für rein interne Zwecke Verwendung finden sollen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) erläutert in seinen Ausführungen zum berechtigten Interesse:

»Im Rahmen (…) (der Interessenabwägung) sind insbesondere die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (Erwägungsgrund 47 DS-GVO). (…) Die betroffene Person muss möglicherweise auch mit einer internen Verwendung der Fotos rechnen, jedoch gehen die vernünftigen Erwartungen nicht dahin, dass die Fotos anschließend veröffentlicht werden. Ebenso wenig muss die betroffene Person mit einer werblichen Verwendung der Fotos rechnen.«

Die rein interne Verwendung von Gruppenfotos kann daher auf Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO gestützt werden. Dabei sollte beachtet werden, dass auf den einzelnen Bildern einzelne Personen nicht deutlich erkennbar sind. Gegebenenfalls sollte die Auflösung der Fotos so eingestellt werden, dass Personen auch beim Vergrößern der Aufnahme nicht erkennbar sind.

Dokumentation der Entscheidungsfindung

Die Interessen der Besucher der Veranstaltung überwiegen nicht das berechtigte Interesse des Verantwortlichen. Ihre berücksichtigungsfähigen Interessen werden dadurch gewahrt, dass Fotos von Einzelpersonen ohne Einwilligung nicht angefertigt werden und Gruppenfotos derart ausgestaltet sind, dass einzelne Personen nicht zu identifizieren sind. Alle Besucher werden vor dem Betreten des Veranstaltungsortes auf die Anfertigung von Fotos für interne Zwecke hingewiesen.

Hinweis:

Bei einer externen Veröffentlichung, also wenn die Fotos auf die Unternehmensseite oder in Soziale Netzwerke hochgeladen werden, sollte in der Regel mit Einwilligungen gearbeitet werden.

Informationspflichten

Nach der insoweit einschlägigen Norm des Artikel 13 Absatz 1 Buchstabe d) DSGVO müssen die berechtigten Interessen, auf die die Verarbeitung gestützt wird, nämlich in einer Datenschutzerklärung aufgeführt werden. Die Abwägungsdokumentation ist aber nicht dort zu veröffentlichen. Sie muss vielmehr vorgehalten werden, falls z.B. eine Aufsichtsbehörde die Rechtmäßigkeit der Verarbeitung bemängelt.

Dennoch ein Wort zur Abwägung an dieser Stelle: Wir hatten eben gesehen, dass sich die Abwägung an den »Erwartungen« der betroffenen Person orientiert. Vor diesem Hintergrund muss festgestellt werden, dass eine Werbung (oder Kontaktaufnahme) im Hinblick auf das Unternehmen, mit dem man Vertragsbeziehungen unterhält, den Erwartungen eher entspricht, als die durch einen Dritten. Es kann daher nicht unterstellt werden, dass die Weitergabe der Daten an einen Werbepartner erwartet werden kann.

Im Rahmen dieser Informationspflichten müssen Sie auch auf das Widerspruchsrecht der betroffenen Person hinweisen. Beruht nämlich die Verarbeitung der personenbezogenen Daten auf einem berechtigten Interesse iSd. Artikel 6 Absatz 1 Satz 1 Buchstabe f) DSGVO dann hat die betroffene Person ein Widerspruchsrecht nach Artikel 21 DSGVO:

Artikel 21 Absatz 1 DSGVO

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Artikel 21 Absatz 2 DSGVO

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Teilen Sie diesen Beitrag zur DSGVO:

Kostenlose* Webinare der datenrecht.ACADEMY

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).

Zuletzt aktualisiert am 02.10.2022 um 20:52 Uhr.
Hier geht es zum DSGVO-Praxiskurs der datenrecht.ACADEMY

Hier klicken zum DSGVO-Praxiskurs