Berechtigtes Interesse in der DSGVO: Was Unternehmen wissen müssen und welche Maßnahmen erforderlich sind
Die Verarbeitung personenbezogener Daten auf Grundlage des legitimen Interesses gemäß Artikel 6(1)(f) DSGVO ist eine wichtige, aber komplexe Rechtsgrundlage. In den EDPB-Leitlinien 1/2024 wird erläutert, unter welchen Bedingungen diese Rechtsgrundlage verwendet werden kann und welche Maßnahmen Unternehmen ergreifen müssen, um rechtlich auf der sicheren Seite zu sein.
Kernpunkte der EDPB-Leitlinien
Um personenbezogene Daten auf Basis des legitimen Interesses zu verarbeiten, müssen drei Bedingungen erfüllt sein:
- Vorhandensein eines legitimen Interesses: Das Interesse des Unternehmens oder eines Dritten muss rechtlich zulässig, klar definiert und aktuell sein.
- Notwendigkeit der Verarbeitung: Die Datenverarbeitung muss notwendig sein, um das legitime Interesse zu verfolgen. Alternativen mit geringerer Eingriffsintensität müssen geprüft werden.
- Abwägung der Interessen: Das Interesse des Unternehmens darf nicht die Rechte und Freiheiten der betroffenen Personen überwiegen.
Beispiele aus der Praxis
- Betrugsprävention: Ein legitimes Interesse liegt vor, wenn Unternehmen Daten verarbeiten, um Betrug zu verhindern. Wichtig ist, dass dies notwendig ist und weniger eingreifende Alternativen fehlen.
- Direktmarketing: Unternehmen dürfen Daten für Marketingzwecke verwenden. Jedoch muss den Betroffenen immer ein einfach zugängliches Widerspruchsrecht eingeräumt werden.
- Netz- und Informationssicherheit: Datenverarbeitung zur Gewährleistung der Sicherheit von Netzwerken und Informationssystemen gilt ebenfalls als legitimes Interesse, solange die Maßnahmen verhältnismäßig sind.
Relevante Gerichtsurteile
- Urteil C-252/21 (Meta vs. Bundeskartellamt): Der Europäische Gerichtshof (EuGH) entschied, dass personalisierte Werbung auf der Grundlage des legitimen Interesses nicht zulässig ist, wenn die Nutzer dies nicht erwarten oder nicht ausreichend darüber informiert wurden.
- Asociaţia de Proprietari bloc M5A-ScaraA: Der EuGH urteilte, dass die Interessen des Datenverantwortlichen klar und gegenwärtig sein müssen, um als legitim anerkannt zu werden.
Maßnahmen für Unternehmen
1. Dokumentierte Interessenabwägung
- Unternehmen müssen eine klare und umfassende Abwägung der Interessen durchführen. Diese sollte schriftlich dokumentiert werden, um nachzuweisen, dass die Verarbeitung auf einem legitimen Interesse basiert.
- Prüfen Sie regelmäßig, ob die Abwägung noch gültig ist, besonders wenn sich Geschäftsprozesse ändern.
2. Transparenz und Information
- Betroffene müssen klar informiert werden, dass ihre Daten auf Grundlage des legitimen Interesses verarbeitet werden. Die entsprechenden Informationen sollten in der Datenschutzerklärung und bei der Datenerhebung leicht zugänglich sein.
- Vermeiden Sie rechtliche Fachbegriffe in Ihrer Kommunikation und sorgen Sie dafür, dass die Informationen verständlich sind.
3. Einfache Widerspruchsmöglichkeit
- Stellen Sie sicher, dass Betroffene jederzeit der Datenverarbeitung widersprechen können. Diese Möglichkeit sollte leicht zugänglich und einfach zu nutzen sein.
- Implementieren Sie Prozesse, um Widersprüche schnell und effizient zu bearbeiten.
4. Datenminimierung und Sicherheitsmaßnahmen
- Verarbeiten Sie nur die Daten, die absolut notwendig sind, um das legitime Interesse zu verfolgen. Weniger Daten bedeutet weniger Risiko.
- Setzen Sie technische und organisatorische Maßnahmen ein, um den Zugriff auf Daten zu beschränken und die Sicherheit der Daten zu gewährleisten (z.B. Verschlüsselung, Pseudonymisierung).
5. Regelmäßige Überprüfung
- Überprüfen Sie regelmäßig, ob das legitime Interesse noch besteht und ob die Verarbeitung weiterhin notwendig und verhältnismäßig ist. Stellen Sie sicher, dass die Rechte der Betroffenen nicht beeinträchtigt werden.
Fazit:
Die Verarbeitung von Daten auf Grundlage des legitimen Interesses bietet Unternehmen Flexibilität, erfordert aber auch eine sorgfältige Planung und Dokumentation. Unternehmen müssen sicherstellen, dass sie transparent sind, die Rechte der Betroffenen respektieren und angemessene Sicherheitsmaßnahmen umsetzen. Es lohnt sich, regelmäßig interne Prozesse zu prüfen, um sicherzustellen, dass sie weiterhin den Anforderungen der DSGVO entsprechen.
Weiterführende Lektüre
- EDPB-Leitlinien 1/2024
- Zusammenfassung und Leitfaden
- Urteil des EuGH in der Rechtssache C-252/21 (Meta vs. Bundeskartellamt)
Mit diesen Maßnahmen können Unternehmen das legitime Interesse rechtssicher umsetzen und gleichzeitig das Vertrauen ihrer Kunden stärken.
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks
Sie möchten über neue Beiträge automatisch informiert werden? Dann jetzt anmelden!
Abonnieren