INFORMATIONEN

Wie man eine Bewertung der berechtigten Interessen (LIA) durchführt – praktische Schritte

Das Konzept der Bewertung berechtigter Interessen (LIA)

Organisationen können personenbezogene Daten nur dann verarbeiten, wenn eine eindeutige Rechtsgrundlage für eine solche Verarbeitung vorliegt. In der Datenschutz-Grundverordnung sind nur die Gründe aufgeführt, aus denen die Verarbeitung personenbezogener Daten möglich ist. Jeder von ihnen ist ein berechtigtes Interesse.

Da die Einwilligung als „Königsweg“ in der „DSGVO-Ära“ viel von ihrem Nimbus verloren hat, sind die Unternehmen zunehmend daran interessiert, das berechtigte Interesse als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu nutzen.

Das bloße Vorliegen eines berechtigten Interesses kann die Erhebung personenbezogener Daten jedoch nicht entschuldigen. Dazu darf das berechtigte Interesse nicht durch die Interessen oder Grundrechte und -freiheiten der betroffenen Personen überstiegen werden (Artikel 6 Absatz 1 Buchstabe f der DSGVO).

Die Unternehmen müssen außerdem zwischen ihrem berechtigten Interesse an der Verarbeitung einerseits und dem Recht der betroffenen Person auf Privatsphäre andererseits abwägen. Die Verarbeitung kann nur dann erfolgen, wenn sie dem Unternehmen einen echten Nutzen bringt. Mit anderen Worten, die Organisationen müssen eine Bewertung des berechtigten Interesses vornehmen (LIA).

Wann ist es sinnvoll, die LIA durchzuführen und aufzuzeichnen?

Gemäß Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung können Organisationen sicherstellen, dass die Interessen oder Grundrechte und -freiheiten der betroffenen Personen nicht durch ihre berechtigten Interessen überwogen werden. Daher müsste in allen Fällen eine Überprüfung nach dem LIA-Typ (im Sinne einer Abwägung des berechtigten Interesses mit den Rechten der betroffenen Personen) durchgeführt werden.

Es stellt sich jedoch die Frage, ob jede LIA in irgendeiner Weise aufgezeichnet oder formalisiert werden muss? Das Office of the United Kingdom Information Commissioner (ICO) ist der Ansicht, dass das Konzept der Transparenz im Rahmen der Datenschutz-Grundverordnung die Berichterstattung über die LIA in allen Situationen einschließt.

Wie ist eine LIA aufgebaut?

Die LIA besteht in der Regel aus drei Abschnitten:

  • Beschreibung des berechtigten Interesses;
  • Der Zweck der Notwendigkeit;
  • Der Zweck der Verhältnismäßigkeit.
  • Beschreibung des berechtigten Interesses

    Das berechtigte Interesse muss immer rechtmäßig sein; wenn der Zweck der Verarbeitung gegen das Gesetz oder die guten Sitten verstößt, spricht man nicht von einem berechtigten Interesse (z. B. die Überwachung eines Mitarbeiters, um ihn später zu erpressen).

    Darüber hinaus muss das berechtigte Interesse präzise (charakterisiert) sein; es ist kein hinreichend berechtigtes Interesse, die Erhebung von Daten zu dem (allgemeinen) Zweck zu definieren, sie zu verarbeiten, um das Wohlergehen der Organisation zu gewährleisten.

    Der Zweck der Notwendigkeit

    In Bezug auf den Begriff der Notwendigkeit ist Folgendes zu beachten:

    Um das Ziel zu erreichen, muss die Verarbeitung nicht völlig unbezahlbar sein, aber sie darf auch nicht nur nützlich oder bequem sein.

    Wenn das angestrebte Ziel mit weniger invasiven Mitteln erreicht werden kann, werden solche Mittel in der Regel eingesetzt. In Ausnahmefällen, wenn das Unternehmen weniger invasive Mittel gefunden hat, werden diese nicht eingesetzt, wenn sie einen übermäßigen organisatorischen Aufwand erfordern.

    Der Zweck der Verhältnismäßigkeit

    Dies ist der komplexeste und heikelste Aspekt einer LIA. Das Segment muss das Gleichgewicht zwischen dem berechtigten Interesse der Organisation und den Rechten der betroffenen Personen nachweisen.

    Bei der Ermittlung dieses Gleichgewichts werden verschiedene Parameter berücksichtigt, wie z. B.:

    Art und Umfang der verarbeiteten Informationen

    Organisationen müssten sich fragen: Verarbeiten wir sensible/aufdringliche Daten, z. B. relevante Daten im Rahmen von Artikel 9 der Datenschutz-Grundverordnung, Finanz-/Steuerdaten, Identifikatoren usw.?) Wie sieht es mit großen Datenmengen aus? Kombinieren wir Datensätze?

    Wenn diese Fragen bejaht werden, sind höchstwahrscheinlich Maßnahmen zur Sicherung/Verbesserung des Schutzes der Privatsphäre der betroffenen Personen erforderlich.

    Annahmen der betroffenen Personen über die Verarbeitung

    Die Organisationen könnten unter anderem die Art der verarbeiteten Daten, die Beziehung der Organisation zu den betroffenen Personen, das Ausmaß des Kontakts zwischen der Organisation und den betroffenen Personen, die Qualität der Dienstleistung/Verarbeitung usw. berücksichtigen. Sie müssen auch entscheiden, ob die betroffenen Personen beabsichtigen, ihre Daten in der beabsichtigten Weise zu verarbeiten.

    Mögliche Auswirkungen auf die betroffenen Personen

    Bei der Bewertung der potenziellen Auswirkungen der Verarbeitung auf die betroffenen Personen können unter anderem die Qualität der verarbeiteten Daten (erhöhtes Risiko bei sensiblen Daten), die Art der durchgeführten Verarbeitung (erhöhtes Risiko bei komplexer oder atypischer Verarbeitung, der oben genannten Art des Profilings oder der Kombination großer Datensätze) und die Art der betroffenen Person (erhöhtes Risiko bei komplexer oder atypischer Verarbeitung) berücksichtigt werden.

    Mögliche Auswirkungen auf die Organisation

    Die Unternehmen müssten sich überlegen: Was wären die Folgen bzw. potenziellen Auswirkungen (Schäden, große Risiken usw.), wenn die Verarbeitung nicht stattfinden würde? In dieser Hinsicht sind die Branchen, in denen die Organisationen ihre Tätigkeiten ausüben, von Bedeutung.

    Organisationen können personenbezogene Daten nur dann verarbeiten, wenn eine eindeutige Rechtsgrundlage für eine solche Verarbeitung vorliegt. In der Datenschutz-Grundverordnung sind nur die Gründe aufgeführt, aus denen die Verarbeitung personenbezogener Daten möglich ist. Jeder von ihnen ist ein berechtigtes Interesse.

    Da die Einwilligung als „Königsweg“ in der „DSGVO-Ära“ viel von ihrem Nimbus verloren hat, sind die Unternehmen zunehmend daran interessiert, das berechtigte Interesse als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu nutzen.

    Das bloße Vorliegen eines berechtigten Interesses kann die Erhebung personenbezogener Daten jedoch nicht entschuldigen. Dazu darf das berechtigte Interesse nicht durch die Interessen oder Grundrechte und -freiheiten der betroffenen Personen überlagert werden (Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung).

    Schlussfolgerung

    Die Unternehmen müssen außerdem zwischen ihrem berechtigten Interesse an der Verarbeitung einerseits und dem Recht der betroffenen Person auf Privatsphäre andererseits abwägen. Die Verarbeitung kann nur dann erfolgen, wenn sie dem Unternehmen einen echten Nutzen bringt. Mit anderen Worten, die Organisationen müssen eine Bewertung des berechtigten Interesses vornehmen (LIA).

    E-Mail-Marketing im Kontext der DSGVO

    In der Anpassungsphase der DSGVO zwischen 2016 und 2018 waren viele Unternehmen besorgt, dass die neue EU-Datenschutzverordnung ihre Marketingbemühungen untergraben würde, insbesondere im Bereich des

    mehr »

    Digitalisierung und Datenschutz

    Sind Digitalisierung und Datensicherheit untrennbar miteinander verbunden? Gerade der Datenschutz plädiert für einen sparsamen und minimalistischen Umgang mit personenbezogenen Daten, da digitale Prozesse eine Flut

    mehr »