INFORMATIONEN

Berechtigtes Interesse: Wie kann diese Rechtsgrundlage zur Rechtfertigung der Verarbeitung herangezogen werden?

Das berechtigte Interesse ist eine der in der DSGVO vorgesehenen Rechtsgrundlagen, auf die sich die Verarbeitung personenbezogener Daten stützen kann. Der Rückgriff auf diese Rechtsgrundlage setzt voraus, dass die von der Einrichtung, die die Daten verarbeitet, verfolgten Interessen (kommerzielle Interessen, Sicherheit des Eigentums usw.) nicht zu einem Ungleichgewicht zum Nachteil der Rechte und Interessen der Personen führen, deren Daten verarbeitet werden.

Um die Verarbeitung auf seine berechtigten Interessen zu stützen, muss der Datenverarbeiter bestimmte Anforderungen erfüllen. Er muss sein Interesse mit den „Interessen oder Grundrechten und Grundfreiheiten natürlicher Personen“ abwägen und auch die „berechtigten Erwartungen“ dieser Personen berücksichtigen. Diese „Abwägung“ der betreffenden Rechte und Interessen muss bei jeder Verarbeitung, die sich auf ein berechtigtes Interesse stützt, unter Berücksichtigung der konkreten Bedingungen für ihre Durchführung vorgenommen werden.

Das berechtigte Interesse kann daher nicht „automatisch“ als Rechtsgrundlage angesehen werden: Es erfordert vielmehr eine sorgfältige Prüfung durch die Stelle und die Überwachung einer strengen Methodik.

Wer kann von der Rechtsgrundlage „berechtigtes Interesse“ betroffen sein?

Das berechtigte Interesse ist eine der 6 in der DSGVO vorgesehenen Rechtsgrundlagen, die eine Verarbeitung personenbezogener Daten zulassen. Es kann die Grundlage für eine Verarbeitung sein, die zur Wahrung der Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist, sofern bestimmte Bedingungen erfüllt sind.

Diese Rechtsgrundlage betrifft die Verarbeitung durch private Stellen, die die Rechte und Interessen der betroffenen Personen nicht ernsthaft verletzt.

Darüber hinaus sieht die Datenschutz-Grundverordnung vor, dass ein berechtigtes Interesse nicht die Rechtsgrundlage für die Verarbeitung durch eine Behörde zur Erfüllung ihrer Aufgaben sein kann. Die Behörden müssen sich daher – außer in besonderen Fällen – in erster Linie auf andere Rechtsgrundlagen stützen.

Unter welchen Bedingungen kann ein berechtigtes Interesse die Rechtsgrundlage für die Verarbeitung bilden?

Diese Rechtsgrundlage kann beispielsweise für die Datenverarbeitung herangezogen werden:

  • mit dem Ziel, die Netz- und Informationssicherheit zu gewährleisten;
  • zum Zwecke der Betrugsbekämpfung eingeführt;
  • für die Geschäftsanbahnung mit den Kunden eines Unternehmens erforderlich;
  • in Bezug auf Kunden oder Mitarbeiter innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke.
  • Über diese Beispiele hinaus kann der „legitime“ Charakter des von einer Organisation verfolgten Interesses vermutet werden, wenn die folgenden 3 Bedingungen erfüllt sind:

    Das Interesse ist nach dem Gesetz eindeutig legitim;

  • Sie ist hinreichend klar und genau festgelegt;
  • Sie ist für den betreffenden Organismus real und gegenwärtig und nicht fiktiv.
  • Die Bedingung der Erforderlichkeit gilt nicht nur für diese Rechtsgrundlage. Die Organisation muss sich vergewissern, dass die von ihr vorgesehene Datenverarbeitung tatsächlich dem angestrebten Ziel dient und nicht etwa anderen Zielen. Sie muss sich auch vergewissern, dass es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, dieses Ziel zu erreichen, als die vorgesehene Verarbeitung (z. B. ein Gerät, das keine personenbezogenen Daten verarbeitet, oder eine andere Verarbeitung, die die Privatsphäre besser schützt).

    Der für die Verarbeitung Verantwortliche muss in der Lage sein, die Gültigkeit der Verwendung dieser Rechtsgrundlage nachzuweisen. Jede wesentliche Änderung der Bedingungen für die Durchführung der Verarbeitung (Zweck, Daten, Aufbewahrungsfristen usw.) kann sich auf die Gültigkeit der beibehaltenen Rechtsgrundlage auswirken: Der Ansatz zur Bewertung dieser Gültigkeit muss daher in diesem Fall wiederholt werden.

    Der Umgang mit dieser Bedingung ist komplexer. Nach der DSGVO kann die Verarbeitung nicht durchgeführt werden, wenn „die Interessen oder Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern“, die Interessen der Organisation überwiegen.

    Die Einrichtung muss also eine Abwägung zwischen den betreffenden Rechten und Interessen vornehmen und in diesem Rahmen überprüfen, dass die von ihr verfolgten Interessen (Handel, Sicherheit der Güter, Betrugsbekämpfung usw.) nicht zu einem Ungleichgewicht zum Nachteil der Rechte und Interessen der Personen führen, deren Daten verarbeitet werden.

    Konkret muss die Organisation zuallererst die Auswirkungen aller Arten von Verarbeitungen auf die betroffenen Personen ermitteln: auf ihr Privatleben, aber auch im weiteren Sinne auf alle Rechte und Interessen, die unter den Datenschutz fallen.

    Ziel ist es, den Grad des Eingriffs der geplanten Verarbeitung in die individuelle Sphäre zu bewerten, indem die Auswirkungen auf das Privatleben der Personen (Verarbeitung sensibler Daten, Verarbeitung schutzbedürftiger Personen, Profiling usw.) und auf ihre anderen Grundrechte (Meinungsfreiheit, Informationsfreiheit, Gewissensfreiheit usw.) von Fall zu Fall gemessen werden, das Ausmaß des behandlungsbedingten Eingriffs in das Leben der Menschen.

    Die Organisation muss dann bei der Abwägung zwischen ihren berechtigten Interessen und den Rechten und Interessen der Personen deren „berechtigte Erwartungen“ berücksichtigen. Diese Abwägung ist von wesentlicher Bedeutung, wenn es um Verarbeitungen geht, die ohne die vorherige Zustimmung der Personen durchgeführt werden können: In Ermangelung einer positiven und ausdrücklichen Handlung ihrerseits erfordert das berechtigte Interesse, dass die Personen nicht überrascht werden. in den Methoden der Umsetzung wie in den Folgen der Behandlung.

    Ein guter Test, wenn eine Organisation plant, ihre Verarbeitung auf ein berechtigtes Interesse zu stützen, besteht daher darin, zu überprüfen, ob die Verarbeitung in den Rahmen dieser Erwartungen fällt: Der Nachweis eines berechtigten Interesses wird einfacher sein für ein Mittel, das in einem bestimmten Kontext vernünftigerweise erwartet werden kann (z. B. die Durchführung von Treueaktionen von Personen, die bereits Kunden des Unternehmens sind), als für eine Behandlung, die von den Erwartungen der Menschen abweicht (z. B. die Nutzung eines sozialen Netzwerks beinhaltet die Verbindung von Personen, aber die Erstellung von Profilen ihrer Handlungen für gezielte Werbung kann ihre vernünftigen Erwartungen übersteigen).

    Schlussfolgerung

    Schließlich kann die Stelle Ausgleichs- oder Zusatzmaßnahmen vorsehen, um die Auswirkungen der Verarbeitung auf die betroffenen Personen zu begrenzen und so ein Gleichgewicht zwischen den fraglichen Rechten und Interessen herzustellen. So kann beispielsweise für die zielgerichtete Verarbeitung des Online-Einkaufsverhaltens von Personen, die viele Vorlieben und Gewohnheiten offenbaren kann, die ihre Privatsphäre beeinträchtigen, ein bedingungsloses Widerspruchsrecht der Personen vorgesehen werden, um ihnen die Möglichkeit zu geben, das in sie eingreifende Profiling zu stoppen.