Neben verschiedenen aktuellen höchstrichterlichen Entscheidungen zu der Auslegung von Art. 6 Abs. 1 lit f der Datenschutz-Grundverordnung (DSGVO) und einigen spärlichen konkreten Aussagen zur Anwendbarkeit und Auslegung der Rechtsgrundlage durch die deutschen Aufsichtsbehörden (bspw. zur Anwendbarkeit der Rechtsgrundlage im Falle der Direktwerbung) veröffentlichte nun der Europäische Datenschutzausschuss (EDSA) am 9. Oktober 2024 seine neue Leitlinie 01/2024zu diesem Thema.
Der EDSA, das Dachgremium der EU-Datenschutzbehörden, der für die Sicherstellung der einheitlichen Anwendung der DSGVO zuständig ist, gibt damit erstmalig die Rahmenbedingung zur Verarbeitung personenbezogener Daten auf Grundlage des legitimen Interesses vor.
Die EDSA-Leitlinien sind zwar nicht rechtsverbindlich, werden jedoch in der EU weitgehend beachtet. Die Leitlinie 01/2024 unterlag einer öffentlichen Konsultation.
Die am häufigsten genutzte Rechtsgrundlage
Art. 6 Abs. 1 lit. f der DSGVO stellt eine der sechs rechtlichen Grundlagen für eine rechtmäßige Verarbeitung von personenbezogenen Daten dar und ist dabei die mit Abstand am häufigsten genutzte. Viele Datenschutzbehörden haben eigene Verfahren entwickelt, um das Interesse an der Verarbeitung abzuwägen und zu beurteilen, welche dieser Interessen als legitim gelten.
In seiner Executive Summary fasst der EDSA zusammen, dass, um eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO zu stützen, drei kumulative Bedingungen erfüllt sein müssen:
- die Verfolgung eines legitimen Interesses durch den Verantwortlichen oder einen Dritten
- die Notwendigkeit der Verarbeitung personenbezogener Daten zu Zwecken des legitimen Interesses
- die Interessen oder grundlegenden Freiheiten und Rechte der betroffenen Personen dürfen das legitime Interesse des Verantwortlichen oder eines Dritten nicht „überwiegen“
Der EDSA geht inhaltlich in seiner ausführlichen Leitlinie (37 Seiten) auf diese drei Schritte ein und erläutert im Detail, wie die Prüfung „praktisch durchgeführt werden sollte“, einschließlich in spezifischen Kontexten wie der Betrugsprävention, dem Direktmarketing und der Informationssicherheit.
Im Fokus des Papers stehen aus praktischer Sicht die „vernünftigen Erwartungen der betroffenen Personen“. Diese sollen eine zentrale Rolle bei der Beurteilung der Zulässigkeit beizumessen sein (siehe Erwägungsgrund 47 und 50 DSGVO). Die Abwägung muss sich auf die „durchschnittliche“ betroffene Person konzentrieren.
Laut Absatz 54 der Leitlinien können folgende Faktoren berücksichtigt werden:
- die „bloße Existenz einer Beziehung zur betroffenen Person“ (z. B. Kunden im Vergleich zu Nicht-Kunden)
- die „Nähe der Beziehung“ (z. B. ob die betroffene Person weniger wahrscheinlich davon ausgeht, dass Daten zwischen verschiedenen Unternehmensbereichen geteilt werden)
- der „Ort und Kontext der Datenerhebung“ (z. B. betroffene Personen könnten in einer Bank von der Installation einer Videoüberwachungsanlage ausgehen)
- die „Art und Merkmale der Dienstleistung“ (z. B. ein regelmäßiger Kunde im Vergleich zu einem potenziellen Kunden, der sich lediglich für einen Newsletter angemeldet hat)
- „Anwendbare gesetzliche Anforderungen im relevanten Kontext“ (z. B. Vertraulichkeitsanforderungen, die für die jeweilige Beziehung gelten); in diesem Zusammenhang wiederholt der EDSA in seinen Leitlinien (unter Punkt 136) seine frühere Auffassung, dass die Interessen oder grundlegenden Rechte und Freiheiten der betroffenen Person in der Regel das Interesse des Verantwortlichen an der Erfüllung einer Anfrage einer Strafverfolgungsbehörde aus einem Drittland zur Vermeidung von Sanktionen für Nichteinhaltung überwiegen würden
Zur Nutzung personenbezogener Daten für Marketingzwecke stellt der EDSA (unter Punkt 110) fest: „Die Tatsache, dass Erwägungsgrund 47 der DSGVO besagt, dass die Verarbeitung personenbezogener Daten zu Direktmarketingzwecken im Rahmen eines legitimen Interesses durchgeführt werden kann, bedeutet nicht, dass Direktmarketing immer ein legitimes Interesse darstellt und dass Art. 6 Abs. 1 lit. f der DSGVO automatisch für alle Arten von Direktmarketingmaßnahmen herangezogen werden kann.“ In einigen Fällen könnte daher eine andere rechtliche Grundlage, wie etwa die Einwilligung der betroffenen Person, die geeignete Grundlage im Rahmen der DSGVO sein. Weiter erinnert der EDSA daran, dass der Zweck der Abwägung nicht darin besteht, jegliche Auswirkungen auf die Interessen und Rechte der betroffenen Personen ganz zu vermeiden.
Obwohl die Leitlinien hilfreich sind, existiert noch immer keine EU-weite Vorgabe für die Abwägungsprüfung. Zudem könnten die neuesten Entscheidungen des Europäischen Gerichtshofs (EuGH) eine Rolle spielen, einschließlich des kürzlich ergangenen Urteils des EuGHs im Fall der niederländischen Datenschutzbehörde gegen die Koninklijke Nederlandse Tennisbond (C 621/22, wir berichteten). Der EuGH hat in diesem Fall (unter Rn. 54) bestätigt, dass die „vernünftigen Erwartungen der betroffenen Person sowie der Umfang der Verarbeitung und deren Auswirkungen auf diese Person“ berücksichtigt werden müssen.
Der EDSA stellt in seiner Leitlinie jedoch heraus, dass insbesondere die ausreichende Anwendung von technischen und organisatorischen Maßnahmen bei der Zulässigkeit einer Verarbeitung von personenbezogenen Daten auf Basis des berechtigten Interesses des Verantwortlichen berücksichtigt wird. Diese Maßnahmen können insbesondere die Verarbeitung von pseudonymisierten Daten oder strenge Trennung von operativen und analytischen Systemen in der Praxis des Unternehmens bedeuten.
Die Leitlinien des EDSA geben eine vergleichsweise detailliertere Anleitung, wie die Bewertung im Rahmen konkreter Beispiele wie der Betrugsbekämpfung, der Verarbeitung personenbezogener Daten von Kindern oder für die Zwecke des Direktmarketings durchgeführt werden kann. Außerdem werden die Rechte der betroffenen Person im Verhältnis zu Art. 6 Abs. 1 lit. f DSGVO beleuchtet und auf das bedingungslose Widerspruchsrecht gemäß Artikel 21 Abs. 2 DSGVO hingewiesen.
Fazit
Zusammengefasst lässt sich sagen, dass die Leitlinien des EDSA eine nützliche Grundlage für die Prüfung einer Verarbeitung personenbezogener Daten auf Basis des berechtigten Interesses nach Art. 6 Abs. 1 lit. f darstellen können. Inhaltlich dürfte die Leitlinie für die Praxis jedoch weniger ergiebig sein, wenn man hier einen rechtlichen Rahmen und klaren Abgrenzungen zu anderen Rechtsgrundlagen erwartet. Die Hoffnung von Unternehmen endlich eine Übersicht von einheitlichen Do’s und Dont’s für die Verarbeitungen von Daten zu erhalten, dürfte damit vorerst enttäuscht werden.