EDSA: Leitlinien zum berechtigten Interesse
In seiner letzten Sitzung am 08.10.2024 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zum berechtigten Interesse verabschiedet. Konkret geht es darum, wann dieses Interesse eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO) darstellen kann. Hierbei berücksichtigt der EDSA auch die jüngste Entscheidung des EuGH vom 04.10.2024.
Berechtigtes Interesse nach der DSGVO
Die DSGVO schreibt vor, dass für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage vorliegen muss. Nach Art. 6 Abs. 1 lit. f DSGVO kann sich eine Rechtsgrundlage etwa aus einem berechtigten Interesse ergeben. Hiernach ist eine Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Wann genau jedoch ein berechtigtes Interesse vorliegt, definiert die DSGVO nicht. Der große Interpretationsspielraum hierbei gibt regelmäßig Anlass für Meinungsverschiedenheiten und Rechtsstreitigkeiten.
Drei Kriterien des berechtigten Interesses
In seinen Leitlinien setzt sich der EDSA mit den Kriterien auseinander, die vorliegen müssen, damit Verantwortliche die personenbezogenen Daten auf der Grundlage eines berechtigten Interesses datenschutzkonform verarbeiten dürfen. Konkret müssen drei Voraussetzungen gegeben sein, die auch kürzlich der EuGH in einer Entscheidung genauer ausgearbeitet hat.
Berechtigtes Interesse des Verantwortlichen oder eines Dritten
Zunächst muss laut der Pressemitteilung des EDSA der Verantwortliche oder ein Dritter ein berechtigtes Interesse verfolgen. Das sei der Fall, wenn sie „als legitim angesehen werden“, rechtmäßig sind, klar und präzise formuliert wurden und zudem real und gegenwärtig sind. Exemplarisch führt der EDSA hier etwa den Fall auf, dass eine Kundenbeziehung besteht oder ein Dienstverhältnis vorliegt.
Notwendigkeit der Datenverarbeitung
Des Weiteren sei erforderlich, dass die Verarbeitung der jeweiligen personenbezogenen Daten auch „zum Zwecke der Verfolgung des berechtigten Interesses“ erfolgt. Das bedeute, dass das gewünschte Ziel nur mittels der Datenverarbeitung erreichbar sein darf. Gibt es hingegen „vernünftige, ebenso wirksame, aber weniger einschneidende Alternativen zur Erreichung der verfolgten Interessen […], kann die Verarbeitung nicht als notwendig angesehen werden“. In diesem Zusammenhang müsse auch der Datenminimierungsgrundsatz Beachtung finden.
Abwägung der Interessen
Zuletzt müsse im Rahmen einer „Ausgleichsübung“ die Interessen, Rechte und Grundfreiheiten natürlicher Personen mit denen des Verantwortlichen oder Dritter abgewogen werden. In die Überlegung müssten Individualinteressen und -erwartungen, die Folgen der Datenverarbeitung und etwaige „Garantien, die die Auswirkungen auf den Einzelnen begrenzen könnten“ einbezogen werden. Diese Abwägung müsse zum Ergebnis kommen, dass die Belange natürlicher Personen nicht das berechtigte Interesse überwiegen.
Praxis-Tipps
Die Leitlinien geben auch verschiedene Hinweise darüber, wie die Beurteilung, ob tatsächlich ein berechtigtes Interesse vorliegt, in der Praxis vorgenommen werden kann. Dabei geht sie auch spezifisch auf die Betrugsprävention, Direktmarketing, die Verarbeitung von Daten von Minderjährigen und Informationssicherheit ein.
BfDI zeigt sich erfreut
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Louis-Specht-Riemenschneider, begrüßt die neuen EDSA-Leitlinien in einer Pressemitteilung. Insbesondere im Rahmen der Beziehung zwischen Individuen und der Wirtschaft sei diese Rechtsgrundlage von Relevanz. Die BfDI erhofft sich durch die Leitlinien „mehr Rechtssicherheit“ sowohl für Unternehmen als auch für Bürger.
Weiteres Verfahren
Nachdem der EDSA die Leitlinien zum berechtigten Interesse in seiner letzten Plenartagung verabschiedet hat, stehen sie nun bis zum 20.11.2024 zur öffentlichen Konsultation zur Verfügung.
Fazit
Die Leitlinien des EDSA zum berechtigten Interesse geben eine wertvolle Unterstützung bei der Kontrolle, ob eine solche Rechtsgrundlage für die Datenverarbeitung vorliegt. Insbesondere in Fällen, in denen die Einholung einer Einwilligung schwierig ist, kann dies eine flexible Grundlage für Verantwortliche darstellen. Die jüngsten Entwicklungen auch in Bezug auf die EuGH-Entscheidung zeigen, dass das berechtigte Interesse insbesondere im Marketingbereich die Verarbeitung von personenbezogenen Daten erheblich erleichtern könnte. Trotzdem ist zwingend erforderlich, dass Verantwortliche genau prüfen, ob ein solches berechtigtes Interesse auch tatsächlich vorliegt. Bei der Kontrolle entsprechender Rechtsgrundlagen helfen wir Ihnen als Externe Datenschutzbeauftragte gerne weiter.