Am 09. Oktober 2024 verabschiedete der Europäische Datenschutzausschuss (EDSA) eine Leitlinien für die Verarbeitung personenbezogener Daten auf der Grundlage eines berechtigten Interesses.
In diesen Leitlinien werden die in Artikel 6 Absatz 1 Buchstabe f DSGVO festgelegten Kriterien analysiert, die für die Verarbeitung Verantwortliche erfüllen müssen, um personenbezogene Daten auf der Grundlage eines berechtigten Interesses rechtmäßig zu verarbeiten. Sie berücksichtigt auch das jüngste Urteil des EuGH in dieser Angelegenheit (C-621/22 vom 4. Oktober 2024).
Das berechtigte Interesse
Ein Leitfaden zu den EDSA-Leitlinien (09.10.2024) für die Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.
Die obligatorische Drei-Stufen-Prüfung
Um Daten rechtmäßig auf ein berechtigtes Interesse zu stützen, müssen Verantwortliche DREI kumulative Kriterien prüfen und dokumentieren.
Schritt 1: Zweckprüfung – Ist das Interesse „berechtigt“?
Das verfolgte Interesse muss legitim sein. Es muss:
- Rechtmäßig sein: Nicht gegen geltendes Recht verstoßen.
- Klar formuliert sein: Präzise und verständlich beschrieben werden.
- Real und aktuell sein: Kein hypothetisches oder zukünftiges Interesse.
Schritt 2: Erforderlichkeitsprüfung – Ist die Verarbeitung notwendig?
Die Datenverarbeitung muss für die Erreichung des Zwecks zwingend erforderlich sein. Die zentrale Frage lautet:
Gibt es ein milderes, gleich wirksames Mittel, das weniger stark in die Rechte der betroffenen Person eingreift? Wenn ja, ist die Verarbeitung nicht erforderlich.
Schritt 3: Abwägungsprüfung – Wessen Interessen überwiegen?
Dies ist der Kern der Prüfung. Es ist eine sorgfältige Abwägung zwischen den Interessen des Unternehmens und den Rechten und Freiheiten der betroffenen Person.
Interessen des Verantwortlichen
(z.B. Betrugsprävention, IT-Sicherheit, Direktwerbung, interne Verwaltung)
Rechte & Freiheiten der Person
(z.B. Recht auf Privatsphäre, Datenschutz, Schutz vor Überwachung)
Entscheidend ist die „vernünftige Erwartungshaltung“ der betroffenen Person im jeweiligen Kontext.
Klarstellung durch den EuGH (C-621/22)
Die EDSA-Leitlinien berücksichtigen das Urteil vom 04.10.2024, das Folgendes klarstellt:
Ein rein kommerzielles Interesse (z.B. Verkauf von Daten für Werbung) kann grundsätzlich ein „berechtigtes Interesse“ sein und darf nicht pauschal ausgeschlossen werden.
ABER: Solche Interessen scheitern oft in der Abwägungsprüfung (Schritt 3), insbesondere wenn die betroffenen Personen nicht damit rechnen können und die Verarbeitung für sie nachteilig ist.
Was bedeutet das für die Praxis?
Umfassende Dokumentationspflicht
Für jeden einzelnen Verarbeitungszweck muss die gesamte Drei-Stufen-Prüfung nachvollziehbar dokumentiert werden (sog. „Legitimate Interest Assessment“ – LIA). Diese Dokumentation ist bei einer Prüfung durch die Aufsichtsbehörde vorzulegen.
