EDPB: One-Stop-Shop Case Digest zum „berechtigten Interesse“

Die EDPB wertet OSS-Entscheidungen zum „berechtigten Interesse“ aus.

Der Europäische Datenschutzausschuss (EDPB) hat Ende 2025 ein umfangreiches „One-Stop-Shop Case Digest“ zum berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO erstellt. Dieser Bericht wertet erstmals systematisch die Entscheidungspraxis der Aufsichtsbehörden in grenzüberschreitenden Verfahren seit Geltung der DSGVO aus. Das Ergebnis offenbart keine neue Dogmatik, allerdings eine klare Konsolidierung der praktischen Anforderungen an die Berufung auf das berechtigte Interesse.

Systematische Auswertung der OSS-Entscheidungen

Im Fokus stehen 62 One‑Stop‑Shop‑Entscheidungen (OSS-Entscheidungen) nationaler Aufsichtsbehörden sowie fünf verbindliche EDPB‑Entscheidungen aus den Jahren 2018 bis 2025. Diese Entscheidungen betreffen Fälle, in denen das „berechtigte Interesse“ als Rechtsgrundlage geprüft wurde.

Der EDPB stellt dabei fest, dass Datenschutzbehörden seit Geltung der DSGVO in einer wachsenden Zahl von Fällen gemeinsam über diese Rechtsgrundlage entschieden haben. Die Analyse verfolgt vor diesem Hintergrund vordringlich das Ziel, gemeinsame Linien und Unterschiede in der Anwendung sichtbar zu machen.

Prüfungsschritte beim berechtigten Interesse

Alle ausgewerteten Entscheidungen folgen strikt einem dreistufigen Prüfungsverfahren:

  1. Vorliegen eines berechtigten Interesses: Die Behörden prüfen zunächst, ob ein legitimes Interesse des Verantwortlichen oder eines Dritten vorliegt. Dieses Interesse muss rechtmäßig und hinreichend klar formuliert sein sowie tatsächlich verfolgt werden.
  2. Erforderlichkeit der Datenverarbeitung: Im nächsten Schritt wird untersucht, ob die konkrete Datenverarbeitung zur Erreichung dieses Interesses erforderlich ist. Dabei wird bewertet, ob weniger eingriffsintensive Mittel zur Verfügung stehen.
  3. Interessenabwägung: Abschließend erfolgt die Abwägung zwischen den Interessen des Verantwortlichen und den Grundrechten und Freiheiten der betroffenen Personen. Hierbei berücksichtigen die Behörden insbesondere, ob die vernünftigen Erwartungen der betroffenen Personen, die Art der Daten, den Kontext der Verarbeitung sowie mögliche Auswirkungen auf die Betroffenen.

Entscheidend ist für den Ausgang der Prüfung ist die „ex ante“-Perspektive. Eine erst im Beschwerdeverfahren „nachgeschobene“ Interessenabwägung genügt regelmäßig nicht. Gerade das Fehlen einer dokumentierten Legitimate‑Interest‑Assessment (LIA) führte in vielen Fällen unmittelbar zur Unzulässigkeit der Verarbeitung. Das war selbst dann der Fall, wenn das geltend gemachte Interesse an sich anerkannt wurde.

Was ist ein „berechtigtes Interesse“?

Der EDPB bestätigt die für Verantwortliche wichtige Klarstellung, dass auch rein wirtschaftliche oder kommerzielle Interessen ein berechtigte Interessen abbilden können. Aus der EuGH‑Entscheidung KNLTB (C‑621/22) gehe hervor, dass ein „berechtigtes Interesse“ gerade nicht auf einer positiven rechtlichen Grundlage aufsetzen müsse, um als gesetzlich vorgesehen zu gelten.

In den OSS‑Entscheidungen wurden insbesondere folgende Interessen grundsätzlich akzeptiert:

  • Betrugsprävention
  • Bonitätsprüfungen und Forderungsdurchsetzung
  • Direktmarketing
  • IT‑ und Netzwerksicherheit
  • Produktverbesserung und Missbrauchsprävention
  • Durchsetzung rechtlicher Ansprüche

Allerdings zeigten sich in der Praxis auch klare Grenzen: Unbestimmte oder generische Interessen, die sich durch Formulierungen wie „Verbesserung der Nutzererfahrung“, „Marktforschung“ oder „Content‑Optimierung“ auszeichnen, reichen nicht aus. Hier fehlt es regelmäßig den Erfordernissen Klarheit, Präzision und Nachvollziehbarkeit.

Private Unternehmen können sich zudem grundsätzlich nicht auf öffentliche oder gesellschaftliche Interessen berufen. Diese fallen unter Art. 6 Abs. 1 lit. c oder e DSGVO, nicht aber unter lit. f.

Rechtswidrige Interessen, bei denen das zugrunde liegende Verhalten gegen Unions‑ oder nationales Recht verstößt (z. B. gegen die ePrivacy‑Richtlinie oder den Digital Services Act), berechtigen den Verantwortlichen ebenfalls nicht zur Datenverarbeitung.

Die Erforderlichkeit als entscheidende Hürde

Aus dem Bericht geht ferner hervor, dass die meisten Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO nicht an der Anerkennung des verfolgten Interesse selbst, sondern an der Erforderlichkeit der Verarbeitung zu diesem Zweck scheitern. Insbesondere, wenn dem Verantwortlichen gleich wirksame, weniger Eingriffsintensive Maßnahmen zur Verfügung stehen oder er die Möglichkeit hat, sein Ziel mit weniger Daten, kürzen Speicherfristen oder anderer Technik zu erreichen, fehlt es aus Sicht der Behörden regelmäßig an diesem Kriterium.

Als „typische Negativbeispiele“ nennt die Behörde dabei Verhaltensbasierte Online‑Werbung trotz vorhandener kontextbezogener Alternativen, die Veröffentlichung von Schuldnerdaten anstelle der Nutzung gerichtlicher Mittel, die Speicherung sensibler Daten „auf Vorrat“ für rein hypothetische Szenarien oder die verpflichtende Angabe von Telefonnummern, obwohl die Angabe von E‑Mail-Adressen ausreichen würde.

Interessenabwägung: Erwartungen, Transparenz und Folgen zählen

Scheitert die Verarbeitung aus Sicht der Behörde an einer fehlerhaft durchgeführten Interessenabwägung, ist dafür meist ausschlaggebend, dass die Datenverarbeitung für Betroffene nicht erwartbar war oder verdeckt erfolgte. In zahlreichen OSS‑Entscheidungen wirkte sich mangelnde oder verspätete Transparenz unmittelbar zu Lasten der Verantwortlichen aus.

Besonders kritisch bewerteten die Aufsichtsbehörden Verarbeitungen mit spürbaren Nachteilen für Betroffene, so etwa das „Shadow Banning“, die Veröffentlichung von Schuldnerdaten oder dauerhaft identifizierende Systeme wie biometrische Erkennungsverfahren. Hieraus wird deutlich, wo Verarbeitungen faktisch zu Kontrollverlust, Ausschluss oder Stigmatisierung führen, reicht ein abstraktes Geschäfts‑ oder Sicherheitsinteresse regelmäßig nicht aus.

Kein „Rettungsanker“ für andere Rechtsgrundlagen

Die EDPD arbeitet schließlich heraus, dass das „berechtigte Interesse“ nicht als Auffangtatbestand oder „letzte Lösung“ fungieren kann. Die überwiegende Linie der Aufsichtsbehörden lautete daher, dass ein nachträglicher Wechsel der Rechtsgrundlage auf Art. 6 Abs. 1 lit. f DSGVO unzulässig ist, weil damit Informations‑, Widerspruchs‑ und Beteiligungsrechte der Betroffenen unterlaufen würden.

Die EDPD bemerkt in diesem Zusammenhang jedoch auch, dass die Aufsichtsbehörden von dieser Linie immer wieder abgewichen sind, wenn streng einzelfallbezogene und keinesfalls zu verallgemeinernde Umstände vorlagen, anhand derer sich begründen ließ, dass trotz der Wahl einer unzutreffenden Rechtsgrundlage sowie hierdurch bedingte unzureichende Transparenz, dem Betroffene kein materieller Nachteil entstanden ist.

Unterschiede in der Prüfungspraxis der Aufsichtsbehörden

Aus der Auswertung wird ersichtlich, dass sich trotz des einheitlichen Prüfungsverfahrens keine vollständig einheitliche Prüfungspraxis herausgebildet hat. Insbesondere die Berücksichtigung nationaler Rechts- und Wertungskontexte führt dazu, dass identische oder vergleichbare Verarbeitungen je nach Mitgliedstaat unterschiedlich bewertet werden, etwa bei Schuldnerveröffentlichungen oder der Forderungsdurchsetzung. Unterschiede bestehen zudem in der Tiefe der Erforderlichkeitsprüfung bei technisch komplexen oder eingriffsintensiven Verarbeitungen sowie im Umgang mit Transparenzmängeln im Rahmen der Interessenabwägung. Auch bei der Frage, ob ein rückwirkender Wechsel auf Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann, zeigt sich keine durchgängige Linie. Schließlich variiert, wie stark angrenzende Rechtsregime wie die ePrivacy‑Vorgaben in die Bewertung einbezogen werden. Insgesamt macht der Bericht deutlich, dass das OSS‑Verfahren zwar Koordinierung ermöglicht, die Anwendung des berechtigten Interesses aber weiterhin auch von nationalen Prüfungsansätzen geprägt ist.

Fazit

Aus dem Bericht lassen sich keine neuen Maßstäbe oder Ansätze entnehmen, er macht jedoch deutlich, wie streng und konsistent die Aufsichtsbehörden das „berechtigte Interesse“ prüfen. In der Praxis scheitern viele Verarbeitungen nicht an dem verfolgten Interesse selbst, sondern an fehlender Erforderlichkeit, mangelhafter Abwägung oder unzureichender Dokumentation.

Für Verantwortliche verdeutlicht der Bericht die maßgeblichen Linien der behördlichen Praxis sowie deren Grenzen und Ausnahmen. Er bietet damit eine klare Orientierung, an der zukünftige Prüfungen zum berechtigten Interesse ausgerichtet werden sollten.

Der „KI-Beauftragte“ -

Ihre Lösung für rechtssichere KI-Compliance

Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt. 

Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Meist gelesen

Mieterselbstauskunft: Diese Fragen sind nach DSGVO tabu
Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026
Datenschutzkonforme KI-Modelle: Kernaussagen des BfDI-Konsultationsberichts 2026
Gerichte urteilen, die Einbindung von Meta Business Tools ohne wirksame Einwilligung ist ein DSGVO-Verstoß und rechtfertigt bis zu 1.500 EUR Schadensersatz.
DSGVO-Verstoß durch Meta Business Tools
KI-Training: Urheberrechtsklage gegen Perplexity AI und was Unternehmen jetzt wissen müssen
KI-Training: Urheberrechtsklage gegen Perplexity AI