Bevor wir ins Detail gehen, zuerst noch einmal zur Erinnerung: Im Datenschutz gilt das Verbot mit Erlaubnisvorbehalt.

Das bedeutet schlichtweg: Personenbezogene Daten dürfen erst einmal gar nicht gespeichert oder verarbeitet werden. Dies ist verboten. Es sei denn, es gibt eine ausdrückliche Erlaubnis bzw eine Rechtsgrundlage.

Die DSGVO bietet uns in Artikel 6 Abs. 1 einen geschlossenen Katalog an Möglichkeiten an. Sie müssen nun entscheiden, welche Rechtsgrundlage für die jeweilige Verarbeitung passt.

Book Book

Die 6 Erlaubnistatbestände (Art. 6 Abs. 1 DSGVO)

  • lit. a) Einwilligung: Der Betroffene erteilt seine Einwilligung und sagt somit explizit „Ja“ zur Verarbeitung (z. B. Newsletter-Opt-in).

  • lit. b) Vertrag: Die Daten sind notwendig, um einen Vertrag zu erfüllen (z. B. Lieferadresse beim Online-Kauf).

  • lit. c) Rechtliche Verpflichtung: Eine Speicherung der Daten ist notwendig, weil das Gesetz es verlangt (z.B. Steuerrecht).

  • lit. d) Lebenswichtige Interessen: Notfälle (Leben und Tod).

  • lit. e) Öffentliches Interesse: Speicherung der Daten für relevante Aufgaben der Behörden.

  • lit. f) Berechtigtes Interesse: Das „Auffangbecken“, wenn keine andere Rechtsgrundlage passt, aber die Interessen des Unternehmen überwiegen.

Wenn keine Rechtsgrundlage so recht passen will, neigt ein Unternehmen schnell dazu, eine Einwilligung einzuholen. So einfach ist es aber nicht. Denn die Einwilligung im Beschäftigtenverhältnis ist in der Regel unwirksam, da diese immer die Freiwilligkeit zwischen Verantwortlichem und betroffener Person voraussetzt. Diese wird sich im Beschäftigtenverhältnis in den meisten Fällen nicht finden lassen. Auch kann eine Einwilligung widerrufen werden, so dass die Daten dann nicht mehr verarbeitet werden dürfen.

In diesem Blogbeitrag schauen wir uns  aber das berechtigte Interesse näher an. Warum gerade hier aktuell so viel Bewegung ist, erfahren Sie jetzt.

Warum ist „lit. f“ so besonders (und auch gefährlich)?

Im Gegensatz zur Einwilligung, bei der der Betroffene aktiv „Ja“ sagt (und seine Einwilligung später auch wieder zurücknehmen kann), entscheiden Sie als Verantwortlicher bei lit. f erst einmal selbst, ob die Verarbeitung zulässig ist. Aber Vorsicht: Sie tragen die volle Beweislast. Sie müssen lückenlos dokumentieren, warum Ihre Interessen schwerer wiegen als der Schutz der Betroffenendaten.

Info-circled Info-circled

Der EuGH und die 3-Phasen-Prüfung im Detail

Der Europäische Gerichtshof (EuGH) und der Europäische Datenschutzausschuss (EDSA) verlangen eine strenge, dreistufige Prüfung, wenn als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten Art. 6 Abs. 1 lit. f DSGVO herangezogen wird. Besonders an der zweiten Stufe scheitern viele Unternehmen in der Praxis.

1. Phase: Es muss ein berechtigtes Interesse vorliegen (Der Zweck)

Welches Ziel verfolgen Sie? Das Interesse muss rechtmäßig, konkret benannt und zum Zeitpunkt der Verarbeitung tatsächlich vorhanden sein.

2. Phase: Die Verarbeitung personenbezogener Daten muss zur Verfolgung dieses Interesses erforderlich sein (Die Erforderlichkeit)

Hier argumentieren viele Unternehmen: „Natürlich ist das erforderlich, sonst würden wir es ja nicht machen!“ Doch der datenschutzrechtliche Begriff ist enger:

  • Gibt es ein milderes Mittel? Könnten Sie Ihr Ziel auch erreichen, ohne die Daten zu verarbeiten oder indem Sie sie anonymisieren?

  • Wenn es einen datenschutzfreundlicheren Weg gibt, der zum gleichen Ziel führt, ist Ihre aktuelle Verarbeitung nicht erforderlich – und damit rechtswidrig.

3. Phase: Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen (Die Interessenabwägung – Grundrechte & Charta)

Hier wägen Sie Ihre Interessen gegen die Grundrechte der betroffenen Person ab. Die EU-Grundrechtecharta (besonders Art. 7: Privatleben und Art. 8: Datenschutz) ist hier Ihr Maßstab.

  • Vernünftige Erwartung: Rechnet der Nutzer damit, dass Sie seine Daten verarbeiten?
  • Status der Person: Sind Kinder oder Arbeitnehmer betroffen? Hier wiegen die Schutzrechte besonders schwer.

Die Hilfe aus Hamburg: Dokumentation ist alles

Die Hamburgische Aufsichtsbehörde (HmbBfDI) hat einen Fragenkatalog als Orientierungshilfe veröffentlicht, der auch konkret vorgibt, wie Sie diese Prüfung dokumentieren können. Der Katalog soll dabei helfen, die Voraussetzungen des berechtigten Interesses systematisch zu prüfen und die wesentlichen Aspekte der Interessenabwägung nachvollziehbar zu dokumentieren

Hier der Link zum Fragenkatalog: https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/260108_Fragenkatalog_LIA.pdf

Das VVT wird „Hamburg-sicher“

Damit Sie diese komplexe Prüfung nicht in extra Dokumenten durchführen müssen, habe ich meine Vorlage des Verzeichnisses von Verarbeitungstätigkeiten mit dem Fragenkatalog des HmbBfDI erweitert und Ihnen für viele Verarbeitungen schon mögliche Antworten auf die Prüffragen eingestellt.

[Hier geht’s zum Download der aktualisierten Vorlage]

Arrows-ccw Arrows-ccw

Der Zweckwechsel (Die "Metamorphose" der Rechtsgrundlage

Wichtig: Die Rechtsgrundlage ist nicht in Stein gemeißelt! Ein Punkt, der in der Praxis oft übersehen wird, ist der Zweckwechsel. Daten können im Laufe ihres „Lebens“ im Unternehmen die Rechtsgrundlage wechseln. Ein klassisches Beispiel sind Bewerbungsdaten:

Phase 1 (Anbahnung): Während des Auswahlprozesses werden die Daten zur Erfüllung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO verarbeitet.

Phase 2 (Rechtsverteidigung): Sobald die Absage erteilt wurde, endet dieser Zweck. Möchten Sie die Daten aber für weitere 6 Monate behalten, um sich gegen potenzielle Klagen nach dem AGG abzusichern, ändert sich die Rechtsgrundlage zu Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse zur Rechtsverteidigung).

Dieser „Schwenk“ muss sauber dokumentiert sein. Meine erweiterte Vorlage hilft Ihnen dabei, genau diese Übergänge und die dafür notwendige Interessenabwägung (LIA) lückenlos abzubilden.

Machen Sie jetzt Schluss mit unsicherem Datenschutz-Wissen.

So gehen wir den nächsten Schritt gemeinsam:

Hat Ihnen dieser Impuls geholfen, oder raucht Ihnen bei dem Thema jetzt erst recht der Kopf? Keine Sorge, Sie müssen das Datenchaos nicht allein sortieren.

Option 1: Der direkte Weg: Ihr Strategie-Check Lassen Sie uns in einem 20-minütigen Gespräch prüfen, wo Ihre größte Herausforderung liegt. Unverbindlich und auf den Punkt. 👉 [Hier kostenlose Strategieberatung anfragen]

Option 2: Der kurze Weg: Vernetzt bleiben Sie möchten über aktuelle Urteile und Praxistipps auf dem Laufenden bleiben? Dann lassen Sie uns auf LinkedIn vernetzen! Dort diskutiere ich diese Themen mit der Community. 👉 [Nicole Folchert auf LinkedIn folgen]

Option 3: Der smarte Weg: Mein Newsletter Sie wollen regelmäßig Praxis-Tipps und Vorlagen wie diese erhalten? Werden Sie Teil meiner Community und machen Sie Datenschutz zu Ihrem Kompetenz-Booster.

👇 Hier zum Newsletter anmelden 
(Natürlich jederzeit wieder abbestellbar)