INFORMATIONEN

DSGVO: Wie funktioniert das Verfahren zur Bewertung des berechtigten Interesses?

Die Unternehmen müssen, insbesondere wenn es sich um gesetzliche Verarbeitungsgrundlagen handelt, einige Zeit aufwenden, um die Einhaltung der Vorschriften insgesamt zu gewährleisten. In den Leitlinien für eine rechtmäßige Grundlage wurde versucht, ihre Verwendung in solchen Fällen einzuschränken, z. B. bei der Verwendung vertraglicher Verpflichtungen. Dies stellt viele Organisationen vor minimale praktische Entscheidungen, wenn es darum geht zu bestimmen, welche legitime Rechtfertigung anwendbar sein könnte.

Die Einwilligung kann eine akzeptable rechtliche Begründung sein, wenn die Verarbeitung von Daten freiwillig ist. Dennoch werden den Unternehmen erhebliche administrative Verpflichtungen auferlegt, um sicherzustellen, dass sie nachweisen können, dass die Einwilligung angemessen eingeholt wurde. Für die Unternehmen stellt sich nun die Frage, ob die zuvor getroffenen Beurteilungen des berechtigten Interesses (LIA) weiterhin fair und rational sind.

Warum ist das wichtig?

Die in der Datenschutz-Grundverordnung geforderten Compliance-Verpflichtungen sollen ein Mechanismus zum Schutz der Privatsphäre sein, der ständig überprüft und überarbeitet wird. Menschen, Institutionen und Kultur entwickeln sich weiter, und es ist sinnvoll, dass dieser Wandel durch die Überprüfung früherer Annahmen erfasst wird. Dies bezieht sich auf die Manipulation der berechtigten Interessen.

Kürzlich verhängte die niederländische Aufsichtsbehörde eine Geldstrafe in Höhe von 525.000 EUR gegen den Königlichen Niederländischen Tennisverband, weil dieser angeblich keine berechtigten Interessen als akzeptable rechtliche Begründung für die Weitergabe der personenbezogenen Daten seiner Mitglieder an Sponsoren anführte (diese Interessen werden als rein kommerziell definiert). Obwohl Interessenvertreter aus Wissenschaft und Wirtschaft diese strenge Auslegung in Frage gestellt haben, unterstreicht dies den Wert der Aufzeichnung der Auslegung einer Einrichtung in einer LIA, falls sie angefochten wird.

Es gibt zwei wichtige organisatorische Erklärungen für diese Vorgehensweise: Einige der Schlussfolgerungen, auf die man sich in der ursprünglichen LIA geeinigt hatte, müssen nun möglicherweise in gewissem Maße bestätigt werden. Eine weitere Erklärung für die Überarbeitung ist, dass sich im Laufe der Zeit die zuvor miteinander verbundenen Prioritäten auseinander entwickelt haben. Dadurch sind sie jetzt nicht mehr so eng miteinander verbunden wie bei der ersten Bewertung.

Handelte es sich bei den betroffenen Personen ursprünglich um eine kleine Gruppe von Personen, deren Interessen leicht und gut vertreten werden konnten? Oder war vielleicht eine diffuse Gemeinschaft von Personen mit schlecht spezifizierten Interessen an der Verarbeitung beteiligt, die sich in den folgenden Monaten weiter auseinanderentwickelt haben?

Wie sieht es mit den Bedürfnissen des Unternehmens oder einer mit ihm verbundenen dritten Partei aus? Kann man davon ausgehen, dass diese Interessen noch so stark sind wie früher? Eine Analyse dieser beiden Interessengruppen im Vergleich zu denen der betroffenen Personen hilft, die UVP zu überprüfen.

Die getroffenen Sicherheitsvorkehrungen müssten auch bei einer eventuellen Revalidierung überprüft werden. Nehmen Sie den/die Datenschutzhinweis(e), der/die als Reaktion auf die LIA erstellt wurde(n). Sind sie noch präzise, und werden sie bei der Verarbeitung noch berücksichtigt? Es wird erwartet, dass jede Verarbeitung legitimer Interessen in der erforderlichen Mitteilung detailliert beschrieben wird, daher ist es wichtig, diese auf dem neuesten Stand zu halten.

Sind die eingeführten technischen oder organisatorischen Kontrollen angesichts der möglichen technologischen Entwicklungen im vergangenen Jahrhundert noch angemessen? Reichen die getroffenen technischen und organisatorischen Maßnahmen noch aus, wenn sich die Datenmengen der betroffenen Personen verändert haben? Auch wenn dies das Ende der formellen LIA sein mag, ist eine gute Aufzeichnung für den Nachweis der Einhaltung der Vorschriften durch ein Unternehmen unerlässlich.

Und schließlich, was vielleicht am wichtigsten ist: Müssen die Datenschutzhinweise aktualisiert werden? Dies könnte ein interner Hinweis von Mitarbeitern oder eine Datenschutzwarnung auf der Website sein. Damit dies geschehen kann, müssen die IT-Teams einbezogen werden, wobei eine Genehmigung oder Abzeichnung erforderlich ist.

Schlussfolgerung

Kurz gesagt, es kann den Anschein haben, als ob es sich hier einfach um ein Unternehmen handelt, das „Arbeit macht“. Aber das ist nicht der Fall. Aufgrund der Vielseitigkeit und der Möglichkeit der Anwendung auf eine breite Palette von Verarbeitungszwecken bringt die gültige Rechtsgrundlage des Interesses zu Recht entsprechende Durchsetzungsverpflichtungen mit sich, um sicherzustellen, dass die Verarbeitung im Interesse der Personen, deren Daten verwendet werden, erfolgt und gleichermaßen durchgeführt wird.

Whistleblowing – wie ist die Rechtslage?

Das rechtliche Umfeld für Whistleblower ist weltweit sehr unterschiedlich. Whistleblower in der Europäischen Union werden nun unter bestimmten Umständen besser geschützt sein. Whistleblowing ist durch

mehr »

Künstliche Intelligenz und Datenschutz

Künstliche Intelligenz (KI) ist eines der Modewörter unserer Generation. Google, Microsoft, Apple und Amazon übertrumpfen sich gegenseitig mit ihren Taktiken und Erfolgen im Bereich des

mehr »

DSGVO. Der Grundsatz der Zweckbindung

Was ist das Prinzip der Speicherbegrenzung? Artikel 5 (1) (e) der Datenschutz-Grundverordnung sieht vor: Personenbezogene Daten müssen: Personenbezogene Daten dürfen so lange, wie es für

mehr »