Legitimes Interesse und Abwägungstest
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Legitimes Interesse und Abwägungstest

Checkliste

DO

DON'T

Iñigo de Miguel Beriain (UPV/EHU)

Danksagung: Der Autor dankt Bud Brügger und Harald Zwingelberg für ihre Ratschläge, Anregungen und Rückmeldungen zu Entwürfen.

Dieser Teil des Leitfadens wurde von Marko Sijan, Senior Advisor Specialist, (HR DPA) überprüft und bestätigt.

Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 der DSGVO (siehe Unterabschnitt „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ in den „Grundsätzen“ in Teil II dieser Leitlinien). Diese Rechtsgrundlage erfordert, dass die berechtigten Interessen des Verantwortlichen oder Dritter, an die die Daten weitergegeben werden, Vorrang vor den Interessen, Grundrechten und Freiheiten der betroffenen Personen haben (Artikel 6 Absatz 1 Buchstabe f). Um zu überprüfen, ob dies tatsächlich der Fall ist, können die Verantwortlichen ein Instrument nutzen, das als Abwägungsprüfung bezeichnet wird und beispielsweise von der Artikel-29-Datenschutzgruppe empfohlen wurde[1]. Mit diesem Instrument soll sichergestellt werden, dass die berechtigten Interessen des Verantwortlichen oder Dritter, an die die Daten weitergegeben werden, Vorrang vor den Interessen und Grundrechten und -freiheiten der betroffenen Personen haben.

Wann haben die Grundrechte und -freiheiten der vom Datenschutz betroffenen Person keinen Vorrang?

Bei der Abwägungsprüfung müssen mehrere Schlüsselfaktoren berücksichtigt werden, die entscheidend dafür sind, welche Interessen, Freiheiten oder Rechte überwiegen, und zwar:[2]

  • Charakter und Quelle des berechtigten Interesses: Ist die Datenverarbeitung für die Ausübung eines Grundrechts erforderlich, liegt sie anderweitig im öffentlichen Interesse oder genießt sie in der betreffenden Gemeinschaft Anerkennung. Eine Bewertung des möglichen Schadens, der dem Verantwortlichen, Dritten oder der Allgemeinheit entsteht, wenn die Datenverarbeitung nicht stattfindet, ist obligatorisch.
  • Die Macht und Stellung der beiden Parteien (Verantwortlicher oder Dritter und betroffene Person). So ist beispielsweise ein Arbeitgeber, der die Daten eines Arbeitnehmers verarbeiten will, in einer stärkeren Position als der Arbeitnehmer. Wenn die betroffene Person minderjährig ist, sollten ihre Interessen, Rechte und Freiheiten überwiegen.
  • Die Art der Daten. Während die Verarbeitung jeglicher personenbezogenen Daten angemessen abgewogen werden sollte, sollte die Verarbeitung besonderer Kategorien personenbezogener Daten, wie z. B. ethnische Herkunft, religiöse Überzeugungen, allgemeine Daten oder Daten über Gesundheit, stärker gewichtet werden.
  • Die Auswirkungen der Verarbeitung auf die betroffenen Personen. Zu diesem Zweck sollten die Verantwortlichen prüfen, ob die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen könnte. Wenn dies der Fall ist, müssen sie eine Datenschutz-Folgenabschätzung durchführen.
  • Die begründeten Erwartungen der betroffenen Personen, was mit ihren Daten geschehen wird. Die Verantwortlichen sollten nachweisen können, dass eine betroffene Person die Verarbeitung unter den gegebenen Umständen erwarten würde. Wenn der Zweck und die Methode der Verarbeitung nicht sofort ersichtlich sind und die Möglichkeit besteht, dass es eine Reihe von vernünftigen Meinungen darüber gibt, ob die Menschen dies erwarten würden, solllten die Verantwortlichen vielleicht eine Art Konsultation, Fokusgruppe oder Marktforschung mit Einzelpersonen durchführen, um die Erwartungen zu belegen und ihre Position zu unterstützen. Wenn es bereits Studien über angemessene Erwartungen in einem bestimmten Kontext gibt, können sich die Verantwortlichen möglicherweise auf diese stützen, um festzustellen, was Einzelpersonen erwarten können oder nicht.[3]
  • die Art und Weise der Datenverarbeitung (großer Umfang, Data Mining, Profilerstellung, Offenlegung an eine große Zahl von Personen oder Veröffentlichung);
  • Die zusätzlichen Garantien, die unzumutbare Auswirkungen auf die betroffene Person begrenzen könnten, wie Datenminimierung (z. B. strenge Beschränkung der Datenerhebung oder sofortige Löschung der Daten nach ihrer Verwendung) – technische und organisatorische Maßnahmen, die sicherstellen, dass die Daten nicht für Entscheidungen oder andere Maßnahmen in Bezug auf Einzelpersonen verwendet werden können („funktionale Trennung“) – umfassende Verwendung von Anonymisierungstechniken, Datenaggregation, Technologien zum Schutz der Privatsphäre, „Datenschutz durch Technikgestaltung“, Datenschutz-Folgenabschätzungen – erhöhte Transparenz, allgemeines und bedingungsloses Widerspruchsrecht (opt-out), Datenübertragbarkeit und damit verbundene Maßnahmen zur Stärkung der Rechte der Betroffenen usw.

Die Frage der zusätzlichen Garantien

Die Artikel-29-Datenschutzgruppe ist der Ansicht, dass Abhilfemaßnahmen und Garantien, wie organisatorische oder technische Maßnahmen, die der Verantwortliche zum Schutz der Daten betroffener Personen ergreift, in die Abwägungsprüfung einbezogen werden sollten. Es gibt jedoch einen alternativen Ansatz, demzufolge Artikel 6 Absatz 1 Buchstabe f eine Abwägung zwischen zwei Werten verlangt, nämlich den berechtigten Interessen des Verantwortlichen (oder eines Dritten) und den Interessen, Rechten und Freiheiten der betroffenen Person. Abmilderungsmaßnahmen und Garantien sind mit keinem dieser Werte vereinbar. Sie sollten daher nicht in Betracht gezogen werden. Andernfalls würde die Seite der Verantwortlichen überwiegen, da sie die Bedeutung des möglichen Schadens für die Interessen, Rechte und Freiheiten der betroffenen Person untergraben würden. Kamara und De Hert haben einige überzeugende Erklärungen zu diesem konkreten Thema abgegeben, indem sie feststellten, dass[4]

Die Einbeziehung von Abhilfemaßnahmen in die Abwägung würde dazu führen, dass die tatsächlich zu erwartenden Auswirkungen der Verarbeitung auf die Rechte der betroffenen Personen dargestellt werden und dass die berechtigten Interessen immer noch überwiegen. Dieser Ansatz „bestraft“ nicht den Verantwortlichen, der Abhilfemaßnahmen und Garantien ergreift, indem er sie nicht in die Abwägungsprüfung einbezieht. Im Gegenteil, er ermutigt den Verantwortlichen, dies zu tun. Andererseits ist zu bedenken, dass das Gewicht künftiger Schutz- und Abhilfemaßnahmen immer von ihrer Umsetzung und Wirksamkeit abhängt. Solche Maßnahmen sollten daher in Betracht gezogen werden, aber keine wesentliche Rolle bei der Entscheidung spielen, auf welche Seite sich die Waage neigt.

Weitere Lektüre

 

Quellenangaben

1A29WP, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG. April 2014, S. 24. Unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Abgerufen am 05. Januar 2020

2A29WP, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG. April 2014, S. 24. Unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Abgerufen am 05. Januar 2020.

3ICO, How do we apply legitimate interests in practice? Unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ Abgerufen am: 15. Januar 2020

4Kamara, Irene und De Hert, Paul, Understanding the balancing act behind the legitimate interest of the Verantwortlichen ground: a pragmatic approach, Brussels Privacy Hub, Working paper, Band 4, Nr. 12, 2018, S. 17. Unter: https://brusselsprivacyhub.eu/BPH-Working-Paper-VOL4-N12.pdf Zugriff am: 17. Januar 2020

Skip to content