
Rechtsgrundlage „Berechtigtes Interesse“
Das „Berechtigte Interesse“ ist eine Rechtsgrundlage, die „im Kommen“ ist. Sie deckt viele Bereiche ab und kann sehr nützlich eingesetzt werden. Inzwischen kristallisiert sich heraus, wie die Aufsichtsbehörden eine Dokumentation des „Berechtigten Interesses“ gerne hätten. Sollten Sie sich für das berechtigte Interesse als Rechtsgrundlage entscheiden, ist eine dokumentierte Interessensabwägung sehr wichtig. In unserem #Datenschutzsnippet geben wir Ihnen hilfreiche Tipps an die Hand, in welchen Schritten und nach welchen Kriterien Sie eine solche Interessensabwägung durchführen können.
#Datenschutzsnippet: Berechtigtes Interesse
Definition „Berechtigtes Interesse“: Das „Berechtigte Interesse“ ist eine von mehreren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten nach Art. 6 Abs 1 DSGVO. Das Unternehmen muss begründen weshalb die Erhebung, Verwendung oder Verarbeitung der Daten wichtig ist, worin die Bedeutung der Interessenswahrung besteht und welche Interessen das konkret sind.
Wie Sie die Interessensabwägung und das berechtigte Interesse vernünftig dokumentieren. Die „3 und 8 Regel“.
3 Schritte, mit welchen Sie „Berechtigtes Interesse“ vernünftig dokumentieren
1. Schritt: Das „Berechtigtes Interesse“ beschreiben
Ihr „Berechtigtes Interesse“, das Sie als Unternehmen haben, muss deutlich transparent beschrieben werden. Warum wollen Sie die Verarbeitungstätigkeit durchführen?
2. Schritt: Die Erforderlichkeit belegen
Legen Sie dar, warum die Art und Weise, wie Sie die Verarbeitung durchführen wollen, das mildeste Mittel aus Datenschutzsicht ist.
Beispiel Zutrittsüberprüfung: Ein Schlüsselausgabeliste ist, um zu dokumentieren wer in welchem Zeitraum Zutritt zu einem bestimmten Bereich im Unternehmen hat, im Vergleich zu einer 24-Stunden aufgezeichneten Video-Überwachung, bei der alle Zutritte videomäßig erfasst werden, ein vergleichbar mildes Mittel.
Beschreiben Sie die Erforderlichkeit dieser Verarbeitungstätigkeit und warum es die aus Ihrer Sicht mildeste Variante einer Verarbeitungstätigkeit ist.
3. Schritt: Die Interessensabwägung darlegen
Wichtig ist, dass Sie die Interessensabwägung im Rahmen des „Berechtigten Interesses“ durchführen und sauber dokumentieren. Die Aufsichtsbehörden haben hier inzwischen einen Leitfaden herausgegeben, an welchen Kriterien man sich orientieren sollte und wie man eine solche Interessensabwägung durchführt.
Was sind die Kriterien zur Interessensabwägung?
1. Kreis der Betroffenen
Wie viele Betroffene sind in dieser Verarbeitung beinhaltet; ist es ein großer Kreis oder ein kleiner Kreis? Je weniger Betroffene es sind, desto eher schlägt das Pendel natürlich auf Ihre Seite, dass Ihr Interesse ganz klar die möglichen Risiken für die Betroffenen überwiegt.
2. Dauer der Bearbeitung
Betrachten Sie die Dauer der Beobachtung oder Dauer der Erfassung von personenbezogenen Daten. Wenn dies nur stichpunktartig erfolgt ist es natürlich besser, als wenn es sich um eine dauerhafte Erfassung von personenbezogenen Daten handelt.
3. Umfang der Verarbeitung
Handelt es sich um eine besonders umfangreiche Verarbeitung mit sehr vielen Datensätzen oder geht es nur um eine ausgewählte kleine Gruppe von Datensätzen? Hier kann das Pendel wieder in die eine oder andere Richtung schlagen.
4. Verkettung der Daten
Nutze ich die Daten, die ich hier erhebe, um sie relativ umgehend mit anderen Daten zu verketten? Stichwort: Profiling. Je weniger ich das tue, desto eher schlägt das Pendel auf meine Seite, was die Interessensabwägung angeht.
5. Beteiligte Akteure
Wer sind die beteiligten Akteure bei der Verarbeitung? Handelt es sich primär um einen eng gefassten Kreis interner Mitarbeiter in Ihrem Unternehmen ist das sicherlich positiv für das Pendel, verteilen Sie die Daten an ganz viele externe Dienstleister wird es mit der Interessensabwägung schwieriger werden.
6. Interventionsmöglichkeit
Kann der Betroffene selber gegebenenfalls intervenieren und die Verarbeitung sparsamer machen von seiner eigenen Seite aus? Wenn das möglich ist, wird das Pendel in die Richtung Ihres Unternehmens ausschlagen.
7. Verarbeitete Datenkategorien
Wenn Sie einfache Stammdaten verarbeiten, ist das für die Risikoposition des Betroffenen natürlich nicht besonders wichtig. Wenn Sie Gesundheitsdaten oder andere besondere personenbezogene Daten verarbeiten, wird es mit einer vernünftigen Interessensabwägung zu Ihren Gunsten schon schwieriger.
8. Vernünftige Erwartungen des Betroffenen
Kann der Betroffene davon ausgehen, dass die Verarbeitung so abläuft, wie sie bei Ihnen abläuft oder sind besondere Aspekte in Ihrer Verarbeitung zu beachten? Beispielsweise die Weitergabe von Daten an externe Dritte oder die Verarbeitung im Rahmen eines Profiling, wovon er in einer üblichen Erwartung nicht ausgehen muss. Wenn der Interessent eine Email-Adresse abgegeben hat, um einen Email-Newsletter zu erhalten, dann kann er erwarten, dass er einen Newsletter zugeschickt bekommt und nicht, dass die Daten noch anderweitig verarbeitet werden oder analysiert werden.
FAZIT: Klingt vielleicht nach viel, aber wenn Sie die 3- und 8-Regel berücksichtigen, dann können Sie mit der Rechtsgrundlage „Berechtigtes Interesse“ sehr gut umgehen und auch den Anforderungen der Aufsichtsbehörden gut entsprechen. Bei Fragen helfen wir Ihnen gerne.
Haben Sie Fragen zum Berechtigten Interesse, der Interessensabwägung oder anderen Themen? Wir helfen gerne!
Kontaktformular
ituso GmbH
Fraunhoferstraße 9
85221 Dachau
Tel: +49 8142 42050 20
E-Mail: info@ituso.de