Berechtigtes Interesse im Sinne der DSGVO erkennen

Wie in Dennis' Kick-off- Post zu unserer Blog-Reihe zur Datenschutz-Grundverordnung (DSGVO) erwähnt, müssen in der EU niedergelassene oder tätige Organisationen über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Die DSGVO sieht sechs Rechtsgrundlagen für eine solche Verarbeitung vor: Einwilligung, berechtigtes Interesse, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen und öffentliche Aufgaben. Die meisten Organisationen, die neue Kunden oder Nutzer gewinnen möchten, werden die Einwilligung oder das berechtigte Interesse als zulässige Grundlage für die Verarbeitung suchen. Letzte Woche haben wir von Elizabeth, unserer Datenschutzexpertin, über die Einwilligung gehört . Diese Woche werden wir uns mit dem „berechtigten Interesse“ befassen. Es gab einige Verwirrung um das legitime Interesse, daher werden wir versuchen, dies zu klären und Ihnen mitzuteilen, wie wir darüber denken!

Die Sprache
Werfen wir zunächst einen Blick auf die relevante Sprache von Artikel 6 (1) (f) der DSGVO zum berechtigten Interesse:

Die Verarbeitung ist nur rechtmäßig, wenn und soweit mindestens eine der folgenden Bedingungen zutrifft:

(f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen das erstgenannte Interesse, insbesondere wenn die betroffene Person ein Kind ist.

Es ist verlockend zu glauben, dass berechtigte Interessen verwendet werden können, um ein breites Spektrum von Umständen abzudecken, ohne dass eine Einwilligung erforderlich ist. Von weiten Auslegungen dieses Abschnitts wurde jedoch offen abgeraten: „offene Ausnahmen im Sinne von Artikel 6 DSGVO, insbesondere Art. 6(f) DSGVO (berechtigtes Interesse) sollte vermieden werden.“ Siehe Artikel-29-Datenschutzgruppe, Stellungnahme 01/2017 zur vorgeschlagenen Verordnung für die ePrivacy-Verordnung (2002/58/EG), angenommen am 4. April 2017.

Wo also ziehen Organisationen die Grenze?

Berechtigtes Interesse am Spiel
Lassen Sie uns zunächst überlegen , was ein berechtigtes Interesse besteht. Die DSGVO enthält einige Beispiele wie die Verarbeitung personenbezogener Daten zur Betrugsprävention, für interne Verwaltungszwecke in Bezug auf Mitarbeiter und Kunden, zur Gewährleistung der Netz- und Informationssicherheit und zur Meldung möglicher krimineller Handlungen oder Bedrohungen der öffentlichen Sicherheit an eine zuständige Behörde. Als berechtigtes Interesse wird zudem die Datenverarbeitung angesehen, die zur Erfüllung der internen oder externen Corporate Governance oder damit verbundener gesetzlicher Compliance-Anforderungen erforderlich ist.

Ein vielleicht weniger offensichtliches Beispiel, Erwägungsgrund 47 der DSGVO verweist auf die „Verarbeitung personenbezogener Daten zu Direktmarketingzwecken“ als berechtigtes Interesse. Ein häufiges Missverständnis, auf das wir hier gestoßen sind, ist, dass diese Sprache jegliches Marketing und sogar Soft-Opt-Ins rechtfertigt. Um besser zu verstehen, warum dies nicht der Fall ist, ist es hilfreich, zuerst zu überlegen, was dieser Wortlaut nicht sagt: Dies bedeutet nicht, dass jegliches E-Mail-Marketing oder jegliches Versenden von Direktmarketing-Material erlaubt ist.

Zweitens ist es wichtig, sich daran zu erinnern, dass die DSGVO nicht in einem Vakuum funktioniert. Für Zwecke des Direktmarketings müssen Organisationen und Vermarkter beachten, wie die DSGVO mit der Datenschutzrichtlinie und der Richtlinie über die elektronische Kommunikation (ePrivacy-Richtlinie) zusammenarbeitet, die zusätzliche Einwilligungsregeln für das Marketing vorsieht, das über Telefon, Fax, E-Mail, SMS und andere elektronische Kommunikationskanäle gesendet wird , und wird derzeit aktualisiert. Gemäß der aktuellen ePrivacy-Richtlinie ist eine Opt-in-Zustimmung für E-Mail- und SMS-Marketing erforderlich, es sei denn, (i) erfolgte die Abholung am Verkaufspunkt und (ii) wurde zu diesem Zeitpunkt eine Opt-out-Option angeboten. Während also einige First-Level-Vermarkter eine rechtmäßige Grundlage für Direktmarketing basierend auf Verkauf und Opt-out (vorerst) haben, müssen Vermarkter in allen anderen Fällen die Opt-in-Zustimmungsanforderungen einhalten, unabhängig davon, ob sie ein berechtigtes Interesse gemäß der DSGVO.

Was ein berechtigtes Interesse ist, wird im Laufe der Zeit mit mehr Anleitungen und Entscheidungen der zuständigen Stellen und mit der Veröffentlichung der bevorstehenden geänderten ePrivacy-Richtlinie klarer. In der Zwischenzeit verwenden wir diese Beispiele und die nachfolgend erläuterten Parameter der DSGVO als Rahmen für die Einhaltung der Grundsätze der Verarbeitung auf Grundlage des berechtigten Interesses.

Vermeidung von Fallstricken bei berechtigten Interessen
Um sicher festzustellen, dass ein berechtigtes Interesse tatsächlich besteht, sollten Organisationen sowohl die Notwendigkeit der jeweiligen Verarbeitung als auch deren Abschluss nach Abwägung des Interesses der Verarbeitung mit den Rechten der betroffenen Personen analysieren und dokumentieren . Dies wird von einigen als Legitimate Interest Assessment („LIA“) bezeichnet. Was die Notwendigkeit der Verarbeitung angeht, schlagen wir vor, sich anzugewöhnen zu fragen: Kann das gleiche Ziel ohne die Verarbeitung personenbezogener Daten erreicht werden? Wenn die Antwort „Ja“ lautet, besteht die beste Vorgehensweise darin, sich vom berechtigten Interesse als Grundlage für die Verarbeitung zu entfernen und eine Einwilligung einzuholen.

Wenn die Antwort „nein“ lautet, das Ziel sonst nicht erreicht werden kann, ist ein guter nächster Schritt die Frage: Überwiegen die Interessen oder Rechte der betroffenen Personen die Notwendigkeit der Verarbeitung? Bei der Beantwortung dieser Frage ist zu beachten, dass betroffene Personen ein Recht auf Widerspruch gegen berechtigte Interessen als Grundlage für die Verarbeitung haben, der nur mit „zwingenden“ Gründen der Verarbeitungsorganisation überwunden werden kann.

Angesichts dieser Einschränkungen empfehlen wir, wenn wir uns auf ein berechtigtes Interesse als Grundlage für die Verarbeitung berufen, ein Verfahren einzurichten, das die Notwendigkeit schriftlich festhält und die Schlussfolgerungen abwägt. Dies ist besonders wichtig, wenn die betroffene Person ein Kind ist. Und als allgemeine Praxis trägt sie dazu bei, Fallstricke bei berechtigten Interessen zu vermeiden und nachzuweisen, dass die Notwendigkeit der Verarbeitung sowie die Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, angemessen berücksichtigt wurden.

Ein Hinweis zur Kündigung
Wenn sich eine Organisation auf ein berechtigtes Interesse als Grundlage für die Verarbeitung der DSGVO stützt, ist es erforderlich, dass die Organisation den Personen, deren Daten erhoben werden, die berechtigten Interessen mitteilt und ihnen ein Widerspruchsrecht zusteht. Dies kann zum Zeitpunkt der Datenerhebung oder im Falle der Widerspruchshinweise im Abschnitt einer Datenschutzerklärung, der sich mit den Rechten des Einzelnen befasst, erfolgen. Wie bei allen Angelegenheiten im Zusammenhang mit der DSGVO und dem Datenschutz ist dies der beste Weg, Ihre Verarbeitungsaktivitäten im Voraus und transparent zu behandeln.