Fokusthemen Datenschutz

Das berechtigte Interesse in der DSGVO

Wann Sie Daten auch ohne explizite Einwilligung verarbeiten dürfen

Häufig trifft man innerhalb der DSGVO auf die Begrifflichkeit des “berechtigten Interesses” als Grundlage für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten. Mit diesem Fachletter möchten wir die Begrifflichkeit und deren Einsatzmöglichkeit etwas genauer betrachten.

Die wichtigste Aussage der DSGVO ist die Einwilligung mit Erlaubnisvorbehalt. Dadurch wird jeder natürlichen Person das Recht auf die eigene Entscheidung hinsichtlich der Verwendung Ihrer personenbezogenen Daten gewährt.

Die DSGVO schreibt in Artikel 6 (a-f) detailliert vor, nach welchen Kriterien personenbezogene Daten verarbeitet werden dürfen. U.a. heißt es dort „Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“.

Doch was ist überhaupt ein berechtigtes Interesse?

Artikel 6.1 (f) der DSGVO definiert genauer:

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Gemäß Erwägungsgrund 47 kann ein berechtigtes Interesse von Seiten des Verantwortlichen oder eines Dritten rechtmäßig sein, wenn das Interesse, die Grundrechte oder Grundfreiheiten der betroffenen Person nicht überwiegen. Vernünftige Erwartungen der betroffenen Personen sind zu berücksichtigen. Grundsätzlich gilt das “berechtigte Interesse” jedoch nicht für Behörden, da es hier eine besondere Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt.

Ein paar Beispiele

  • Ein berechtigtes Interesse kann vorliegen, wenn die betroffenen Personen und der Verantwortliche in einer maßgeblichen und angemessenen Beziehung zueinanderstehen. Als Kunde und Lieferant z.B., oder die betroffene Person steht sogar in Diensten des Verantwortlichen.
  • Ein berechtigtes Interesse des Verantwortlichen liegt auch beim Einsatz von Antivirenscannern oder geeigneten Maßnahmen zur Schadensabwehr vor. Dort werden möglicherweise personenbezogene Daten innerhalber einer E-Mail auf mögliche Schadsoftware hin gescannt. Der Verantwortliche ist jedoch verpflichtet Schaden von seinem Unternehmen abzuwenden und zu verhindern.
  • Auch beim Versuch einen Betrug zu verhindern, stellt die Verarbeitung von personenbezogenen Daten im unbedingt erforderlichen Umfang ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.
  • Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung gilt ebenfalls als eine einem berechtigten Interesse dienende Verarbeitung.

Die Interessen einer betroffenen Person könnten dem Interesse eines Verantwortlichen überwiegen, wenn die betroffene Person nicht mit einer weiteren Verarbeitung rechnen kann. Es gilt also genau abzuwägen, in welchem Fall wessen Interesse überwiegt.

Checkliste zur Prüfung eines berechtigten Interesses

Eine weitere Hilfestellung kann die nachfolgende Checkliste sein. Sofern Sie mehrere oder einen einzelnen dieser Punkte positiv beantworten können, kann das “berechtigte Interesse” Anwendung finden. In jedem Fall gilt es, diese Begründungen genaustens zu beschreiben und zu erläutern.

  • Ist das berechtigte Interesse durch geltendes Recht abgedeckt?
  • Ist das Interesse so hinreichend und eindeutig beschrieben, dass eine Abwägung mit den Interessen und Grundrechten der betroffenen Person möglich ist?
  • Kann der Betroffene erwarten, dass seine Daten verarbeitet werden, und kann er transparent nachvollziehen, welche Daten zu welchem Zweck wie verarbeitet werden? Werden im Sinne der Datenminimierung wirklich nur die erforderlichen Daten verarbeitet?
  • Steht kein anderes effektives, eventuell sogar milderes Mittel zur Verarbeitung der Daten zur Verfügung?

Datentransfer in Drittländer

Was tun, wenn der Dienstleister nicht in der EU ansässig ist?

Wir bewegen uns wirtschaftlich, als Unternehmen oder auch als Privatpersonen in einem regen weltweiten Datenaustausch. Dabei werden tagtäglich unermesslich viele unserer personenbezogenen Daten verarbeitet z.B. bei Hotelbuchungen, bei Flugreisen, Onlinebestellungen, Banking etc. Die DSGVO hat dafür eindeutige Kriterien festgelegt – sowohl für die Verarbeitung im einzelnen Unternehmen als auch für die eventuell notwendige Weiterleitung an Dienstleister (zu den Grundlagen für Auftragsverarbeitungsverträge s. unseren letzten Fachletter).
Auch die Verarbeitung bzw. Weiterleitung dieser Daten innerhalb der EU oder des EWR ist unproblematisch, da in diesem Bereich die DSGVO angewendet bzw. umgesetzt wird. Doch wie verhält es sich bei einem notwendigen Datentransfer in ein sogenanntes Drittland, d.h. in ein Land außerhalb der EU/des EWR? Gilt die DSGVO oder wie werden die Daten dort geschützt?

Sichere Drittländer

Eine Datenübermittlung in ein Drittland darf erfolgen, sofern die Kommission beschlossen hat, dass dort ein angemessenes Schutzniveau garantiert ist. D.h. hier können weitgehend die gleichen Auftragsverarbeitungsverträge Anwendung finden wie bei Dienstleistern in Deutschland und in der EU. Kriterien der Kommission für die Einordnung sind u.a. Rechtstaatlichkeit, Achtung der Menschenrechte und der Grundfreiheit sowie Existenz und Wirksamkeit von Aufsichtsbehörden im Datenschutz.
Folgende Staaten gehören zu den sogenannten sicheren Drittländern, die derzeit über ein angemessenes Datenschutzniveau verfügen, d.h. über eines, das dem der DSGVO vergleichbar ist:
• Schweiz
• Kanada (kommerzielle Organisationen)
• Argentinien
• Andorra
• Färöer
• Guernsey
• Isle Of Man
• Jersey
• Neuseeland
• Uruguay
• Südkorea
• Japan
• Das Vereinigte Königreich

Neue Standardvertragsklauseln zum 27.12.2022

Artikel 47 DSGVO regelt die Datenübermittlung in Drittländer vorbehaltlich geeigneter Garantien. Dazu zählen unter anderem die durch die Kommission erlassenen Standardvertragsklauseln. In jedem Auftragsverarbeitungsvertrag ist der Hinweis auf die Einhaltung der Standardvertragsklauseln notwendig.
Wichtig und daher unbedingt zu beachten: Es gibt neue Standardvertragsklauseln und deren Einbindung in neue bzw. bestehende Auftragsverarbeitungsverträge muss bis zum 27.12.2022 erfolgen. Lassen Sie dies ggf. dringend von Ihrem Datenschutzbeauftragten prüfen!

Artikel 49 DSGVO regelt die Ausnahme für bestimmte Fälle beim Datentransfer in Drittländer. Hier gilt die ausdrückliche Einwilligung der betroffenen Person bei der Datenübertragung in Drittländer als Zustimmung. Die Übermittlung muss dabei für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für vorvertragliche Maßnahmen auf Antrag der betroffenen Person erforderlich sein. Ebenso gilt eine Übermittlung als erforderlich für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. (Weitere Details entnehmen Sie bitte den einzelnen Artikeln der DSGVO.)

Sonderfall USA

Die USA gehören derzeit nicht zu den sicheren Drittländern. Vereinbarungen über den Datenschutz zwischen der EU und den USA aus dem sogenannten Privacy-Shield-Abkommen wurden mit dem Urteil Schrems II vom 16.07.2020 (Az.: C-322/18) durch den EuGH für ungültig erklärt.
Es gibt mittlerweile einen neuen Vorschlag der USA, um sich im Datenschutzthema mit der EU auf entsprechende Datenschutzniveaus zu einigen. Dieser Vorschlag wird derzeit diskutiert und wurde durch die EU-Kommission positiv aufgenommen. Allerdings steht das abschließende Statement der EU-Mitgliedsstaaten noch aus.

Fazit

Abschließend ist anzumerken, dass immer sorgsam abgewogen werden muss, welche Daten zu welchem Zweck verarbeitet werden sollen. Und letztendlich müssen Sie genauestens abwägen, ob eine uneingeschränkte Erlaubnis zur Verarbeitung erforderlich ist.

Auftragsverarbeitung

Wann Sie einen Auftragsverarbeitungsvertrag auf jeden Fall abschließen müssen und was dabei zu berücksichtigen ist

Wahrscheinlich können auch Sie nicht alle Aufgaben, die eine Verarbeitung personenbezogener Daten beinhalten, innerhalb Ihres Unternehmens durchführen. Zu den typischen Prozessen, die ausgelagert werden, gehören z.B.:
• Ausgliederung Ihrer IT-Infrastruktur zu einem externen Cloud-Anbieter
• fachgerechte und datenschutzkonforme Entsorgung Ihrer Datenspeicher (Festplatten oder Akten)
• gezielte Marketingaktionen durch ein externes Marketingunternehmen
Häufig muss in solchen Fällen ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Doch wann ist er wirklich nötig und wann kann man auf ihn verzichten?

Der Auftragsverarbeitungsvertrag (AVV) regelt die Zusammenarbeit zweier Parteien, wobei eine Partei (Auftragsgeber und Verantwortlicher im Sinne der DSGVO) einer anderen Partei (Auftragsverarbeiter) die Aufgabe überträgt, personenbezogene Daten in ihrem Auftrag und ihrer Weisung entsprechend zu verarbeiten. Dabei kann sich der Auftragsverarbeiter auch im europäischen Ausland (EU oder EWR) oder einem sogenannten Drittland befinden. Letzteres muss besonders genau geprüft werden, weil die DSGVO in diesen Fällen sehr strenge Regularien vorsieht .
Unterschied Auftragsverarbeitung und Funktionsübertragung

Nicht jede Datenverarbeitung durch einen Dritten bedarf einer Auftragsverarbeitungsvereinbarung. Wie immer gibt es Ausnahmen und Graubereiche. Grundsätzlich unterscheiden wir zwischen Auftragsverarbeitung und Funktionsübertragung, wobei der wesentliche Unterschied in den Rechten des Auftragnehmers liegt, die unterschiedliche vertragliche Regelungen notwendig machen:

Auftragsverarbeitung:
• Auftragnehmer verfügt über keinerlei Entscheidungsbefugnis
• Umgang nur mit den Daten, die der Auftraggeber zur Verfügung stellt
• der AVV muss in der Liste der Verarbeitungstätigkeiten aufgeführt werden

Funktionsübertragung
• Überlassung von Nutzungsrechten an den verwendeten Daten, diese können z.B. durch eigene Recherchen angereichert werden
• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister sowie der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

Oft ist eine Unterscheidung zwischen beiden nur schwer möglich. Im Zweifelsfall ist es daher ratsam einen Experten einzubeziehen.

Es gibt keinen allgemeingültigen AVV, sondern es muss jeder Einzelfall geprüft werden.

Nachstehende Auflistung kann als Anhaltspunkt für die Notwendigkeit eines AVV angesehen werden . Zwingend erforderlich ist ein AVV immer, wenn personenbezogene Daten durch externe Parteien bearbeitet werden, wie
• Externe Buchhalter oder Lohnbüros
• Marketingdienstleister
• Webhoster sowie Anbieter von Clouddiensten oder SaaS-Lösungen
• Datacenterbetreiber, die einen Userhelpdesk anbieten oder die Archivierung und Löschung von Daten verwalten
• Entsorgungsunternehmen zur Datenträgerlöschung
• Einsatz von Lösungen zu automatisierten Bewerbungsauswertungen
• Prüfung oder Wartung (z.B. Fernwartung, externer Support), sofern der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
Bei IT-Dienstleistern, die sich nur um den reibungslosen Ablauf der Hardware kümmern und keinerlei Zugriffsberechtigungen auf personenbezogene Daten haben, wird ein AVV beispielsweise nicht benötigt.

Wegen der Besonderheiten des geltenden Berufsgeheimnisses nach § 203 StGB bei der Zusammenarbeit mit u.a. Steuerberater/Steuerberatungsbüro, Anwälte, Ärzte/Betriebsärzte oder unabhängige Gutachten kein AVV nötig. Doch selbstverständlich gelten auch ohne Vertrag für entsprechende Dienstleistungsunternehmen sämtliche Rechte und Pflichten der DSGVO, die sich aus dem Umgang mit personenbezogenen Daten ergeben.

Fazit

Ein Auftragsverarbeitungsvertrag ist ein grundlegender Baustein der DSGVO und daher sollte jeder Einzelfall bei der Verarbeitung von personenbezogenen Daten durch Dritte genauestens auf die Notwendigkeit hin geprüft werden. Diese Prüfung und eine ggf. notwendige Vertragserstellung sind aufwendig, verschaffen Ihnen jedoch Klarheit in der weiteren Geschäftsbeziehung.

© 2022 by CARMAO GmbH

Impressum                    Datenschutz

Kontakt