Ivana Kardum
Datenschutzbeauftragte
Eine Verarbeitung personenbezogener Daten unter der Berufung des berechtigten Interesses darf nur dann erfolgen kann, wenn folgenden Punkte zutreffen:
1. Der Verantwortliche oder der Verarbeiter haben ein berechtigtes Interesse, die personenbezogenen Daten zu verarbeiten
2. Diese Verarbeitung personenbezogener Daten ist für die Wahrung des berechtigten Interesses Voraussetzung
3. Die Verarbeitung der personenbezogenen Daten überwiegt evtl. Interessen der betroffenen Person und deren Grundrechte bzw. Grundfreiheiten.
Eine detailliertere Ausführung findet sich im Erwägungsgrund 47, wo darauf zwar hingewiesen wird, dass eine Verarbeitung unter der Anwendung des berechtigten Interesses nur zu den oben genannten Voraussetzungen stattfinden kann, führt aber hierzu noch Erläuterungen (und Ausnahmen) auf. Z. B. kann eine „maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ schon ein berechtigtes Interesse darstellen.
Um eine Verarbeitung personenbezogener Daten mit der Wahrung des berechtigten Interesses zu begründen, ist es zudem unerlässlich vorher das Bestehen des berechtigten Interesses gründlich zu prüfen. Besonderes Augenmerk hierbei ist auch darauf zu legen, dass die betroffene Person vernünftigerweise zumindest mit einer Verarbeitung ihrer Daten zum Zwecke der Wahrung des berechtigten Interesses rechnen können muss. Wenn das nicht der Fall ist, so ist zumindest damit zu rechnen, dass Rechte, Freiheiten und Interesse der betroffenen Person überwiegen und eine Verarbeitung unter der Begründung des berechtigten Interesses ist höchstwahrscheinlich nicht gegeben (Erwägungsgrund 47 (4)).
Ausnahme hierfür sind Behörden, die dem Gesetzgeber unterliegen oder die der Gesetzgeber zu einer Verarbeitung personenbezogener Daten berechtigt hat. Eine weitere Ausnahme bildet die Verhütung von Betrug.
In diesem Fall gilt es als gegeben, dass die Wahrung des berechtigten Interesses etwaige Persönlichkeitsrechte überwiegt, jedoch darf die Verarbeitung nur in einem zur Verhinderung des Betrugs erforderlichen Umfang stattfinden.
Hier ist auch die wohl bekannteste Begründung für berechtigtes Interesse, die Direktwerbung. Berühmtester Vertreter dieser Direktwerbung ist der Newsletter, in dem der Kunde, über evtl. Neuerungen, Angebote oder Änderungen informiert werden kann. Diese Art von Werbung allein kann schon als Begründung für berechtigtes Interesse aufgeführt werden.
Weitere Tipps aus der Praxis wie Sie eine Interessensabwegung korrekt durchführen und dokumentieren finden Sie hier >>>.
Da der Begriff des berechtigten Interesses sehr frei interpretierbar ist, empfiehlt es sich, den Prozess der Begründung detailliert und am besten schriftlich zu dokumentieren. Dies soll als Beweis dafür dienen, dass man sich mit der Thematik auseinandergesetzt hat, das Für und Wider abgewogen hat und sich die Begründung nicht auf bequeme Weise zurechtgelegt hat.
Dazu kommt auch, dass die von der Verarbeitung betroffene Person ausdrücklich auf ihr Widerspruchsrecht aufmerksam gemacht werden muss. Dies kann z. B. über eine Datenschutzerklärung stattfinden oder einen gesonderten Hinweis zur Information.
Die Verarbeitung personenbezogener Daten unter der Begründung des berechtigten Interesses hat, wie viele andere Verarbeitungsgründe, Vor- und Nachteile.
Zum einen erleichtert es in vielen Fällen die Verarbeitung der Daten, da in diesen Fällen keine gesonderte Einwilligungserklärungen (die ja ihren eigenen Mehraufwand mit allen Risiken und Voraussetzungen bedeuten) eingeholt werden müssen. Dies gilt besonders dann, wenn die betroffene Person mit einer Verarbeitung ihrer Daten zu dem Zweck der Wahrung des berechtigten Interesses rechnen kann (dazu reicht meist ein aufklärender Hinweis in der DSE z.B.).
Auf der anderen Seite bedeutet die Verarbeitung unter der Begründung des berechtigten Interesses einen erheblichen Aufwand, da zu jedem Verarbeitungszweck die Interessensabwägung gesondert geführt, erfasst, dokumentiert, auf Nachfrage vorzeigbar und immer zu Gunsten des Verarbeiters ausgefallen sein muss.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!