Tracking

Das steckt hinter dem “berechtigten Interesse” der DSGVO

Immer wieder fallen die Begriffe “berechtigtes Interesse” oder “legitimes Interesse”, wenn von Tracking, Datenschutz und der DSGVO gesprochen wird. Aber was genau verbirgt sich dahinter und wie können Online-Marketer ihre Datenverarbeitung auf das berechtigte Interesse stützen?

Kevin Lenk
Head of Social Media & Content Creation
veröffentlicht am 22.03.2021

Immer wieder fallen die Begriffe “berechtigtes Interesse” oder “legitimes Interesse”, wenn von Tracking, Datenschutz und der DSGVO gesprochen wird. Aber was genau verbirgt sich dahinter und wie können Online-Marketer ihre Datenverarbeitung auf das berechtigte Interesse stützen?

Wenn wir durch das Internet surfen, dann hinterlassen wir überall Daten. Damit die Privatsphäre von Nutzern geschützt wird und sie selbst entscheiden können, welche Daten sie teilen möchten, gibt es auf jeder Webseite die bekannten Consent-Banner. Was aber darf nun ohne die Zustimmung der Nutzer erhoben werden und wofür benötige ich auf jeden Fall die Zustimmung der Nutzer? 

Dieser Teil des Daten- und Userschutzes ist in Deutschland größtenteils über die DSGVO geregelt. Art. 6 Abs. 1 DSGVO nennt uns sechs Rechtsgrundlagen, auf welchen die Verarbeitung von personenbezogenen Daten gestützt werden kann. Die wohl bekannteste davon ist das sogenannte “berechtigte Interesse” oder auch “legitimes Interesse” (Art. 6 Abs. 1 lit. f DSGVO), auf die sich viele Online- und Affiliate-Marketer berufen.

Begriffsbestimmung des berechtigten Interesses

Damit ein berechtigtes Interesse vorliegt, müssen zuallererst drei Grundvoraussetzungen gegeben sein: 

  • Der für die Verarbeitung der personenbezogenen Daten Verantwortliche oder ein Dritter haben ein berechtigtes Interesse an der Datenverarbeitung.
  • Die Verarbeitung der Daten ist zur Wahrung des berechtigten Interesses erforderlich.
  • Grundrechte, Interessen oder Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht.

Wenn diese drei Voraussetzungen vorliegen, dann kann eine Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DSGVO auf das berechtigte Interesse gestützt werden. Aber wie genau ist das berechtigte Interesse definiert?

Beim “berechtigten Interesse” handelt es sich um einen nicht näher bestimmten Rechtsbegriff. Das bedeutet, dass seine genaue Bedeutung (der Gehalt des Begriffes) nur durch eine Auslegung von Fall zu Fall zu ermitteln und festzulegen ist. Was genau also das “berechtigte Interesse” ist, ist nicht genau definiert.

Auch der Vorgänger der Datenschutz-Grundverordnung, die Datenschutzrichtlinie, sprach schon von einem berechtigten Interesse. Der Begriff ist also älter als die DSGVO, die 2016 in Kraft getreten ist. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) definierte das berechtigte Interesse in einer Stellungnahme 2014 so: 

„das Bestreben im weiteren Sinne, das ein für die Verarbeitung Verantwortlicher an dieser Verarbeitung haben kann, oder der Nutzen, den der für die Verarbeitung Verantwortliche aus der Verarbeitung zieht – oder den die Gesellschaft daraus ziehen könnte.“

Dieser Rechtsformulierung können wir entnehmen, dass das berechtigte Interesse sehr weit gefasst ist und sich nicht auf einzelne Punkte reduziert. Nur der Zusatz “berechtigte” schränkt das Interesse in diesem Fall ein. Ein berechtigtes Interesse kann aber erstmal jedes wirtschaftliche, ideelle, tatsächliche oder auch rechtliche Interesse sein. Der Sinn dahinter ist nicht, die Sache komplizierter zu machen, als sie sein muss. Man verfolgt mit dieser Formulierung und der Einschränkung des berechtigten Interesses, dass nur Interessen, die einem strafrechtlichen oder einem sonstigen Verbot unterliegen, laut Art. 6 Abs. 1 der DSGVO nicht als berechtigt gelten. Eine weitere Einschränkung gibt es in Art. 6 (oder an anderer Stelle der DSGVO) nicht.

Laut Art. 6. Abs. 1 DSGVO kann es sich beim berechtigten Interesse um das Interesse eines Dritten oder des Verantwortlichen handeln. Neben den Interessen des Verantwortlichen sind also auch berechtigte Interessen von Dritten (Drittinteressen) als Grundlage für eine Verarbeitung unter gewissen Umständen zulässig. Der Verantwortliche ist in der Art. 4 DSGVO als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ definiert.

Das berechtigte Interesse wird auch in den Erwägungsgründen 47 bis 49 DSGVO erwähnt. Erwägungsgründe (EG) sind (vereinfacht dargestellt) Erläuterungen von bestimmten Tatsachen und Entscheidungen, die aufzeigen sollen, was genau zum Erlass eines Gesetzes geführt hat. Ein EG ist also eine Begründung für ein Gesetz in der Form, in der es niedergeschrieben wurde. In Erwägungsgrund 47 wir der Fall genannt, dass: „eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ 

In Erwägungsgrund 48 wird von der Übermittlung von Daten zwischen Teilen von Unternehmensgruppen oder Gruppen von Einrichtungen für interne Verwaltungszwecke gesprochen. Das schließt auch die Verarbeitung personenbezogener Daten von Beschäftigten und Kunden ein. Diese Erlaubnis wird oft auch als “kleines Konzernprivileg” betitelt. Erwägungsgrund 49 hingegen spricht davon, dass ein berechtigtes Interesse auch dann vorliegen kann, wenn die Informations- und Netzsicherheit gewährleistet werden soll. 

Nicht jede Datenverarbeitung ist zulässig

Nur, weil ein Verantwortlicher oder Dritter ein solches berechtigtes Interesse an der Datenverarbeitung geltend machen kann, heißt das nicht automatisch, dass jede Datenverarbeitung durch das berechtigte Interesse direkt zulässig ist. Die Stützung auf das berechtigte Interesse hängt ebenfalls davon ab, ob die Verarbeitung der erhobenen Daten für die Wahrung der berechtigten Interessen absolut erforderlich ist. Sollte die Datenschutzbehörde das anders sehen, wird sie im Zweifel die Verarbeitung untersagen. Ein Bußgeld ist ebenfalls möglich, in erster Linie und beim ersten Verstoß aber nicht zu befürchten. 

Anforderungen an das berechtigte Interesse

Die Anforderungen an das berechtigte Interesse in der DSGVO sind nicht sonderlich hoch. Es reicht schon, wenn es sich um ein legitimes Ziel handelt, welches im Einklang mit den aktuellen Gesetzen steht. Ein Verkauf von illegalen Substanzen über eine Internetseite im Dark-Net wäre da schon problematischer – aber nicht nur aus datenschutzrechtlichen Gründen... 

Da die Hürden für die Stützung einer Datenverarbeitung auf das berechtigte Interesse nicht so hoch sind, lässt sich schon mit wenig Aufwand klären, ob eine Datenverarbeitung zulässig ist. Da wäre zuerst die Frage nach dem “Warum werden die Daten verarbeitet?”

Das berechtigte Interesse von Shop- und Webseitenbetreibern könnte z.B. sein:

  • Sicherheit 
  • Reichweitenanalyse
  • Benutzerfreundlichkeit
  • Produktverbesserungen
  • Finanzierung durch Werbung
  • Vergütung von Affiliates und Partnern anhand von generierten Umsätzen

Nachdem die Frage nach dem “warum” geklärt ist, gilt es zu prüfen, ob das alles auch erforderlich ist. “Erforderlich” im Sinne der Datenschutz-Grundverordnung heißt, dass es für die gewählten Tools (z.B. für das Tracking), keine Alternative gibt, die bei gleicher Funktion weniger Daten verarbeiten würde. Beispielsweise müssen Sie für die Nutzung von GoogleAnalytics die Bestätigung der Webseitenbesucher einholen, da es Tools gibt, die “datenschutzfreundlicher” sind und denselben Zweck erfüllen, weil GoogleAnalytics viele Daten erhebt, die nur für die Erhebung der Besucherstatistik nicht erforderlich wären. Unsere easy.MARKETING-Tools können Sie hingegen ohne die aktive Zustimmung des Users über das berechtigte Interesse jederzeit nutzen Wir fokussieren uns nur auf die wesentlichen Bestandteil und sind so jederzeit datenschutzkonform und rechtssicher.

Wenn nun das “Warum?” und die Erforderlichkeit geklärt sind, ist der dritte Schritt die Einzelfallabwägung auf den bestimmten Fall der Datenverarbeitung. Hier lässt sich entscheiden, ob sich eine Datenverarbeitung auf das berechtigte Interesse aus Art. 6 Abs. 1 DSGVO stützen lässt. Um so eine Bewertung objektiv durchzuführen, haben die Behörden einen mit Kriterien gefüllten Katalog entwickelt, an dem man sich orientieren kann. Hier ist als Beispiel der Katalog aus Bayern verlinkt oder hier das Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), das als erste Orientierung für den nicht-öffentlichen Bereich dienen kann. Den dementsprechenden Katalog finden Sie auch bei Ihrem Landesdatenschutzbeauftragten.

Das neue TTDSG und das berechtigte Interesse

Zum September 2021 plant die Bundesregierung mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), Änderungen am deutschen Datenschutz vorzunehmen, der auch das berechtigte Interesse aus der DSGVO überschreiben würde. Mit dem neuen Gesetz wäre fast immer die Einwilligung zur Datenverarbeitung notwendig. Alle Details zum Telekommunikation-Telemedien-Datenschutzgesetz finden Sie in unserer mehrteiligen Artikelserie.