Wo besteht wirklich ein berechtigtes Interesse an der Datenverarbeitung? Wo werden Einwilligungen eingeholt, die juristisch gar nicht nötig sind? Um nach der DSGVO zu handeln und die Begrifflichkeit des berechtigten Interesses klar zu definieren, ist ein kleiner Ausflug in die Rechtswissenschaft nötig.
Wann Interessen berechtigt und unberechtigt sind
Die Bezeichnung des berechtigten Interesses zur Datenverarbeitung besteht nicht erst seit der Verschärfung der Datenschutzgrundverordnung. Auch vorher war die Begrifflichkeit üblich und sagte genauso wenig aus wie heute. Es ist ein unbestimmter Begriff im Juristendeutsch. Deshalb bestehen ein großer Auslegungsspielraum und reichweitenstarke Interpretationsfreiheit, oder? – Das könnte man meinen, doch die Realität sieht anders aus. Um ein berechtigtes Interesse nachzuweisen, müssen primär drei Voraussetzungen erfüllt werden.
- Die Berechtigung muss beim Datenverarbeiter tatsächlich vorliegen und nachweisbar sein.
- Die Datenverarbeitung ist in Bezug auf das berechtigte Interesse eine zwingende Notwendigkeit.
- Die von der Datenverarbeitung betroffene Person wird in ihren Grundrechten und der Grundfreiheit nicht beeinträchtigt.
Das berechtigte Interesse liegt immer von Seiten des Verantwortlichen vor, der die Daten erhebt und Auskunft zur Weiterverarbeitung gibt. Unberechtigt sind Personen, die diese sensiblen Daten nicht benötigen und sie zu unlauteren, zum Beispiel werblichen, Zwecken verwenden.
Das berechtigte Interesse und die Zulässigkeit
Wenn ein berechtigtes Interesse besteht, geht dieser Umstand nicht automatisch mit der Zulässigkeit der Datenverarbeitung einher. Denn hier ist eine Abwägung nötig, welche maßgeblich über die Relevanz des Interesses in Verbindung mit der Zulässigkeit entscheidet. Anhand eines Beispiels lässt sich die Übereinstimmung des berechtigten Interesses und der Zulässigkeit am besten erläutern:
Ein Kunde beantragt einen Kredit bei der Bank. Die Bank hat ein berechtigtes Interesse daran, sich Informationen über den Antragsteller einzuholen und eine Überprüfung der Angaben im Rahmen der Datenverarbeitung durchzuführen.
Hier ist das Interesse nicht nur berechtigt, sondern die Datenverarbeitung zum Zweck der Kreditentscheidung auch zulässig. Wird der Antragsteller abgelehnt, erlischt automatisch die Berechtigung zur weiteren Nutzung der Daten. Wird der Kredit vergeben, kann die Bank in regelmäßigen Abständen Prüfungen über die Bonität und sonstigen Grundlagen der Kreditvergabe einholen. Dem stimmt der Antragsteller zu, wodurch eine erneute Anforderung der Einwilligung zur Datenverarbeitung unnötig ist.
Nicht zulässig ist die Verarbeitung von Daten außerhalb der Vereinbarung mit dem Kunden. Alle Informationen über den Umfang der Datenverarbeitung müssen dem Vertragspartner aufgezeigt und zur Einwilligung bereitgestellt werden. Wird keine Einwilligung erteilt, dürfen die Daten trotz berechtigtem Interesse nicht verarbeitet werden.
Berechtigtes Interesse im digitalen Zeitalter
Das Internet ist kein rechtsfreier Raum. Und obwohl Menschen online weniger sorgsam mit ihren sensiblen Daten umgehen, so ist die Weiterverarbeitung derer nicht ohne Weiteres zulässig. Nach Einführung der DSGVO sind Webseitenbetreiber dazu verpflichtet, Auskunft über die Datenverarbeitung zu erteilen und selbst beim Setzen von Cookies eine Einwilligung einzuholen. Berechtigtes Interesse im Sinne der unternehmerischen Sicherheit besteht in der Aufforderung zur Akzeptanz der AGB. Wenn ein Kunde in diesem Feld kein Häkchen setzt, kann der Unternehmer den Vertragsabschluss ablehnen.
Dem gegenüber steht die Akzeptanz von Cookies. Der Besucher einer Website hat das Recht, die Verarbeitung seiner für Cookies nötigen Informationen abzulehnen. Das darf nicht zur Folge haben, dass er die Website verlassen muss und kein Angebot mehr sieht. Auch die Differenzierung, welche Cookies erlaubt und untersagt sind, wird bei immer mehr Websites über ein direkt beim Betreten angezeigtes Popup gefordert.
Grundsätzlich besteht nie ein berechtigtes Interesse, wenn die Datenverarbeitung zu kriminellen, strafrechtlich verfolgbaren oder werblichen Zwecken eingesetzt werden soll.
Zuwiderhandlungen im Datenschutz sind strafbar
Wer trotz fehlender Einwilligung mit Kundendaten arbeitet, verletzt die Privatsphäre der jeweiligen Person und kann strafrechtlich belangt werden. Umso wichtiger ist es, auf die Datenverarbeitung ausführlich und in allen Bereichen aufmerksam zu machen. Eine alleinige Anmerkung, dass die Daten gespeichert werden, ist nicht ausreichend.
Vielmehr ist es notwendig, sein berechtigtes Interesse mit der Angabe zum Grund der Datenverarbeitung UND zu den gespeicherten Daten zu begründen. Berechtigt sind nur Interessen, die einen wirtschaftlichen oder ideellen Zweck verfolgen und im aufgezeigten Rahmen erfolgen. Verstöße gegen die DSGVO sind kein Kavaliersdelikt und ziehen daher empfindliche Strafen wie beispielsweise Geldbußen und Rechtsprechungen nach sich.
Hier haben wir weitere Tipps, wie Sie Fehler, die zum Datenschutzverstoß führen, vermeiden.