Wenn nichts mehr hilft, dann hilft vielleicht das „berechtigte Interesse“. So klingt es manchmal in der Datenschutzberatung, wenn man nach Rechtsgrundlagen für eine Datenverarbeitung sucht.
Denn, dies sei vorausgeschickt, egal, was Unternehmen und Behörden mit personenbezogenen Daten anstellen wollen, sie benötigen immer eine Rechtsgrundlage. Da kann es kreativ zugehen, wie einige Fälle zeigen.
Notnagel „berechtigtes Interesse“?
Wenn keine Rechtsgrundlage so recht passen will, kommt man schnell auf die Frage, ob man dann die Einwilligung einholen sollte. Diese Form der Rechtsgrundlage bietet allerdings einige Stolperfallen. Die bekannteste ist wohl, dass die Einwilligung im Beschäftigtenverhältnis in der Regel unwirksam ist und daher nur eine Scheinlösung sein kann. Die Einwilligung setzt immer die Freiwilligkeit zwischen Verantwortlichem und betroffener Person voraus. Diese wird sich im Beschäftigtenverhältnis in den meisten Fällen nicht finden lassen.
Daher empfehlen auch Aufsichtsbehörden: Bevor die Einwilligung eingeholt wird, sollte möglichst eine gesetzlich normierte Grundlage gesucht werden. Die Einwilligung sollte nur die Ausnahme sein.
Wenn es aber keine eindeutigen Rechtsgrundlagen gibt, bleibt der Art. 6 Abs. 1 lit. f DSGVO: die Verarbeitung auf Basis des berechtigten Interesses des Verantwortlichen.
Voraussetzungen für „berechtigtes Interesse“ im Überblick
Doch auch hier gilt es einiges zu beachten. So hat der EuGH mehrfach festgestellt, zuletzt im EuGH-Urteil vom 04.07.2023 (Az.: C-252/21, siehe auch hier), dass drei Voraussetzungen vorliegen müssen:
- berechtigtes Interesse des Verantwortlichen oder eines Dritten
- die Datenverarbeitung muss erforderlich sein
- die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, dürfen gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen
In der Praxis kommt es immer wieder vor, dass nur der erste Punkt beachtet wird. Dies verkürzt die Prüfung unzulässig und kann dazu führen, dass tatsächlich Daten ohne Rechtsgrundlage verarbeitet werden, da die beiden weiteren Punkte nicht erfüllt sind.
Fragenkatalog des HmbBfDI als Praxishilfe
Aber wie sind nun diese Punkte zu prüfen? Dazu gibt es zunächst vom Europäischen Datenschutzausschuss (EDSA) aus Oktober 2024 eine Hilfestellung (ausführlich und zusammengefasst jeweils in englischer Sprache). Grundlage für diese Hilfestellung ist das bereits genannte EuGH-Urteil.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ergänzt diese Hilfestellungen nun mit einem Fragenkatalog zur Interessenabwägung.
Der aktuelle LIA-Fragenkatalog des HmbBfDI – LIA steht für Legitimate Interests Assessment – soll Verantwortliche dabei unterstützen, zu prüfen, ob die Rechtsgrundlage für die konkrete Datenverarbeitung tatsächlich in Frage kommt und gleichzeitig die Prüfung zu dokumentieren.
Erinnern wir uns: Der Verantwortliche muss u. a. die rechtmäßige Datenverarbeitung nachweisen können (Art. 5 Abs. 2 DSGVO).
Ein Blick in den Fragenkatalog offenbart, wie umfangreich eine solche Prüfung sein kann. Zunächst orientiert sich der HmbBfDI an dem Dreiklang des EuGH und teilt den Fragebogen in die oben genannten drei Punkte ein. So ergibt sich eine „Drei-Stufen-Prüfung“ mit anschließender Dokumentation.
Beim berechtigten Interesse gibt der Katalog neben sechs Fragen, die beantwortet werden müssen, auch Beispiele dafür, was unter diesem Begriff zu verstehen ist.
Sodann geht es um die Frage der Erforderlichkeit. Dabei entwirft der Katalog abstrakte Szenarien, in denen die Erforderlichkeit nicht gegeben ist. Sieben Fragen umfasst dieser Punkt der Prüfung.
Das Herzstück – und der Teil, der am meisten Arbeit macht – ist die Interessenabwägung. Je abstrakter die Beschreibung im Gesetzestext dazu ist, desto genauer versucht der Fragenkatalog, die einzelnen Schritte der Abwägung nachzuvollziehen. Dies sind dann insgesamt 22 Fragen und eine Zusammenfassung der vorangegangenen Punkte zu einem Gesamtergebnis.
Abschließend ist in Punkt 4 das Ergebnis der Interessenabwägung zu dokumentieren und zwei letzte Fragen zur Bewertung und zum Prozess müssen noch beantwortet werden.
Hier wird auch deutlich, dass es ohne einen Juristen kaum möglich sein wird, eine Abwägung durchzuführen. So unterscheidet der Katalog juristisch korrekt zwischen Grundrechten und Grundfreiheiten. Ob allerdings jeder ohne Jurastudium einordnen kann, ob das einzusetzende Tool nun die Warenverkehrsfreiheit, die Dienstleistungsfreiheit oder die Kapital- und Zahlungsverkehrsfreiheit berührt und was der AEUV für ein Gesetz ist und welchen Bezug er zur DSGVO hat, darf bezweifelt werden. Es ist nicht unwahrscheinlich, dass spätestens hier viele aussteigen werden.
Die weiteren Fragen zur Art der personenbezogenen Daten oder Fragen, wo, wann und wie die Daten erhoben werden, sind dann wieder leichter zu beantworten. Sodann driftet der Fragenkatalog allerdings in Kaffeesatzleserei ab, wenn nach den wahrscheinlichen Auswirkungen der Verarbeitung gefragt wird. Während die Anzahl der betroffenen Personen vielleicht noch geschätzt werden kann, wird es bei der Einschätzung von negativen oder positiven Auswirkungen schon schwieriger. Prognosen sind halt schwierig, vor allem wenn sie sich auf die Zukunft beziehen.
Viele Punkte in der Interessenabwägung zielen dabei auch auf die allgemeinen Prozesse des Datenschutzes ab, etwa die Frage nach Prozessen zur Auskunftserteilung, Bearbeitung von Widersprüchen oder Löschersuchen.
Fazit
Es ist dem HmbBfDI zugutezuhalten, dass er versucht, den Prozess einer Prüfung des berechtigten Interesses handhabbarer zu machen. Ob dies mit 38 Fragen gelungen ist, muss jeder selbst entscheiden. Klar wird aber, dass ohne eine gewisse juristische Kompetenz und eine Kenntnis aller übergreifenden Prozesse im Unternehmen die erfolgreiche Beantwortung des Katalogs kaum möglich sein wird.
Nicht von ungefähr werden daher in Art. 37 Abs. 5 DSGVO berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis vom Datenschutzbeauftragten gefordert. Dies wird in der Literatur gerne auch in rechtliche, technische und (betriebs-)organisatorische Kenntnisse übersetzt. Für die Compliance ist die komplexe Materie des berechtigten Interesses einmal mehr der Beweis, dass es durchaus sinnvoll ist, jemanden zu haben, der sich im Datenschutzrecht und allen weiteren relevanten Rechtsbereichen auskennt, wie z. B. einen qualifizierten Datenschutzbeauftragten.
2. Februar 2026 @ 10:40
Erst schafft ein Verordnungsgeber ein völlig unklares Gesetz, dann hauen Behörden neben zig anderen Publikationen auch einen 38-Fragen Katalog für die Anwender raus und am Ende hat der Anwender trotzdem verloren: wenn die Behörde es eben doch anders sieht. Das Ganze Spiel kennt nur einen Sieger: die Rechtsberatungsindustrie. Wir brauchen unbedingt mehr direkte Demokratie. Das ist die einzige Chance, wieder Qualität in die Gesetzgebung zu bekommen. Insbesondere die EU neigt leider dazu, gutgemeintes aber schlecht gemachtes Recht über ihre Bürger auszuschütten. Das schadet mehr als es Nutzen stiftet. Der Datenschutz wird so auch zum unnötigen Opfer und sogar Witzobjekt gemacht.