INFORMATIONEN

DSGVO: Wie funktioniert das Verfahren zur Bewertung des berechtigten Interesses?

Die Unternehmen müssen, insbesondere wenn es sich um gesetzliche Verarbeitungsgrundlagen handelt, einige Zeit aufwenden, um die Einhaltung der Vorschriften insgesamt zu gewährleisten. In den Leitlinien für eine rechtmäßige Grundlage wurde versucht, ihre Verwendung in solchen Fällen einzuschränken, z. B. bei der Verwendung vertraglicher Verpflichtungen. Dies stellt viele Organisationen vor minimale praktische Entscheidungen, wenn es darum geht zu bestimmen, welche legitime Rechtfertigung anwendbar sein könnte.

Die Einwilligung kann eine akzeptable rechtliche Begründung sein, wenn die Verarbeitung von Daten freiwillig ist. Dennoch werden den Unternehmen erhebliche administrative Verpflichtungen auferlegt, um sicherzustellen, dass sie nachweisen können, dass die Einwilligung angemessen eingeholt wurde. Für die Unternehmen stellt sich nun die Frage, ob die zuvor getroffenen Beurteilungen des berechtigten Interesses (LIA) weiterhin fair und rational sind.

Warum ist das wichtig?

Die in der Datenschutz-Grundverordnung geforderten Compliance-Verpflichtungen sollen ein Mechanismus zum Schutz der Privatsphäre sein, der ständig überprüft und überarbeitet wird. Menschen, Institutionen und Kultur entwickeln sich weiter, und es ist sinnvoll, dass dieser Wandel durch die Überprüfung früherer Annahmen erfasst wird. Dies bezieht sich auf die Manipulation der berechtigten Interessen.

Kürzlich verhängte die niederländische Aufsichtsbehörde eine Geldstrafe in Höhe von 525.000 EUR gegen den Königlichen Niederländischen Tennisverband, weil dieser angeblich keine berechtigten Interessen als akzeptable rechtliche Begründung für die Weitergabe der personenbezogenen Daten seiner Mitglieder an Sponsoren anführte (diese Interessen werden als rein kommerziell definiert). Obwohl Interessenvertreter aus Wissenschaft und Wirtschaft diese strenge Auslegung in Frage gestellt haben, unterstreicht dies den Wert der Aufzeichnung der Auslegung einer Einrichtung in einer LIA, falls sie angefochten wird.

Es gibt zwei wichtige organisatorische Erklärungen für diese Vorgehensweise: Einige der Schlussfolgerungen, auf die man sich in der ursprünglichen LIA geeinigt hatte, müssen nun möglicherweise in gewissem Maße bestätigt werden. Eine weitere Erklärung für die Überarbeitung ist, dass sich im Laufe der Zeit die zuvor miteinander verbundenen Prioritäten auseinander entwickelt haben. Dadurch sind sie jetzt nicht mehr so eng miteinander verbunden wie bei der ersten Bewertung.

Handelte es sich bei den betroffenen Personen ursprünglich um eine kleine Gruppe von Personen, deren Interessen leicht und gut vertreten werden konnten? Oder war vielleicht eine diffuse Gemeinschaft von Personen mit schlecht spezifizierten Interessen an der Verarbeitung beteiligt, die sich in den folgenden Monaten weiter auseinanderentwickelt haben?

Wie sieht es mit den Bedürfnissen des Unternehmens oder einer mit ihm verbundenen dritten Partei aus? Kann man davon ausgehen, dass diese Interessen noch so stark sind wie früher? Eine Analyse dieser beiden Interessengruppen im Vergleich zu denen der betroffenen Personen hilft, die UVP zu überprüfen.

Die getroffenen Sicherheitsvorkehrungen müssten auch bei einer eventuellen Revalidierung überprüft werden. Nehmen Sie den/die Datenschutzhinweis(e), der/die als Reaktion auf die LIA erstellt wurde(n). Sind sie noch präzise, und werden sie bei der Verarbeitung noch berücksichtigt? Es wird erwartet, dass jede Verarbeitung legitimer Interessen in der erforderlichen Mitteilung detailliert beschrieben wird, daher ist es wichtig, diese auf dem neuesten Stand zu halten.

Sind die eingeführten technischen oder organisatorischen Kontrollen angesichts der möglichen technologischen Entwicklungen im vergangenen Jahrhundert noch angemessen? Reichen die getroffenen technischen und organisatorischen Maßnahmen noch aus, wenn sich die Datenmengen der betroffenen Personen verändert haben? Auch wenn dies das Ende der formellen LIA sein mag, ist eine gute Aufzeichnung für den Nachweis der Einhaltung der Vorschriften durch ein Unternehmen unerlässlich.

Und schließlich, was vielleicht am wichtigsten ist: Müssen die Datenschutzhinweise aktualisiert werden? Dies könnte ein interner Hinweis von Mitarbeitern oder eine Datenschutzwarnung auf der Website sein. Damit dies geschehen kann, müssen die IT-Teams einbezogen werden, wobei eine Genehmigung oder Abzeichnung erforderlich ist.

Schlussfolgerung

Kurz gesagt, es kann den Anschein haben, als ob es sich hier einfach um ein Unternehmen handelt, das „Arbeit macht“. Aber das ist nicht der Fall. Aufgrund der Vielseitigkeit und der Möglichkeit der Anwendung auf eine breite Palette von Verarbeitungszwecken bringt die gültige Rechtsgrundlage des Interesses zu Recht entsprechende Durchsetzungsverpflichtungen mit sich, um sicherzustellen, dass die Verarbeitung im Interesse der Personen, deren Daten verwendet werden, erfolgt und gleichermaßen durchgeführt wird.

Können IP-Adressen als personenbezogene Daten betrachtet werden?

29/05/2021 Keine Kommentare

Seit mehreren Jahren wird darüber diskutiert, ob dynamische IP-Adressen personenbezogene Daten im Sinne des europäischen Datenschutzrechts sind. Eine IP-Adresse ist eine logische Adresse eines Knotens

mehr »

DSGVO – Der Grundsatz der Genauigkeit

10/04/2021 Keine Kommentare

Der Grundsatz der Richtigkeit ist einer der sieben Grundprinzipien der DSGVO, zu denen auch die Grundsätze der Rechtmäßigkeit, der Fairness und Transparenz, der Datenminimierung, der

mehr »

Die Bedeutung des Rechts auf Datenübertragbarkeit

14/01/2021 Keine Kommentare

Die Datenübertragbarkeit ist ein digitales Recht, das zunehmend an Bedeutung gewinnt. Wir definieren das Recht auf Datenübertragbarkeit und zeigen, wie es in der Praxis funktioniert.

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

DSGVO: Wie funktioniert das Verfahren zur Bewertung des berechtigten Interesses?

Warum ist das wichtig?

Schlussfolgerung

Können IP-Adressen als personenbezogene Daten betrachtet werden?

DSGVO – Der Grundsatz der Genauigkeit

Die Bedeutung des Rechts auf Datenübertragbarkeit

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen