Die DSK (Datenschutzkonferenz) veröffentlichte Ende März 2019 eine Ergänzung zur Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018. Das Ergänzungspapier dient gleichzeitig als Orientierungshilfe für die Umsetzung der datenschutzrechtlichen Anforderungen an die Datenverarbeitung durch Telemediendienste.
Insbesondere die im Positionspapier aufgestellten Kriterien zur Anwendung des Art.6 Abs.1 lit.f) DSGVO – Interessenabwägung – sind interessant zu beleuchten.
Die Vorschrift im Art. 6 Abs. 1 lit. f) DSGVO hat einen weiten und unspezifischen Anwendungsbereich, einerseits ist dies flexibel und auf eine Vielzahl von Sachverhalten anwendbar, anderseits führt die Anwendung häufig zu Rechtsunsicherheiten im konkreten Einzelfall.
Eine dreistufige Prüfung wird durchgeführt, um zu ermitteln, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind:
- Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
- Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
- Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall
–> Der Prüfungsaufbau orientiert sich an der Rechtsprechung des EuGH sowie an der Auffassung der europäischen Aufsichtsbehörden
1. Stufe: Vorliegen eines berechtigten Interesses der Verantwortlichen oder eines Dritten
Das berechtigte Interesse kann wirtschaftlicher, ideeller oder rechtlicher Natur sein und wird als das wesentliche Motiv für die Datenverarbeitung verstanden, z.B. kann die Erbringung eines Dienstes in einer nutzerfreundlichen Form, die Verhinderung von Betrug sowie die Direktwerbung als mögliches berechtigtes Interesse gelten.
Weitere Interessen, die für die Datenverarbeitung genannt werden könnten:
- Bereitstellung besonderer Funktionalitäten, z. B. die Warenkorb-Funktion
- Freie Gestaltung der Website auch unter Effizienz- und Kosteneinsparungserwägungen
- Integrität und Sicherheit der Website: IT-Security-Maßnahmen wie bspw. das Speichern von IP-Adressen, um Missbrauch erkennen und abwehren zu können
- Reichweitenmessung und statistische Analysen
- Personalisierung/Individualisierung des Angebots für den jeweiligen Nutzer
- Wiedererkennung und Merkmalszuordnung der Nutzer, z. B. bei werbefinanzierten Angeboten
- Betrugsprävention, Abwehr von den Dienst überlastenden Anfragen (Denial of Service-Attacken)
2. Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen
Das Vorliegen eines berechtigten Interesses allein legitimiert jedoch nicht die Datenverarbeitung. Die Datenverarbeitung muss zwingend erforderlich zur Wahrung dieses Interesses sein. Dabei darf kein milderes, gleich effektives Mittel zur Verfügung stehen und die Verarbeitung auf das notwendige Maß beschränkt sein.
3. Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall (Kern der Interessenabwägung)
Dem berechtigen Interesse des Verantwortlichen stehen die Interessen sowie Grundrechte und Grundfreiheiten der Nutzer gegenüber.
Darunter fällt das Recht auf Schutz personenbezogener Daten, das Recht auf Vertraulichkeit der Kommunikation, die Freiheit der Meinungsäußerung, das Interesse an einer freien Informationsgewinnung, sowie das Interesse keine wirtschaftlichen Nachteile zu erleiden (z.B. bei personalisierter Preisbildung).
Die gegenüberstehenden Interessen sind zu gewichten; da es keine allgemeingültige Regel gibt, können die Verantwortliche sich an folgenden Grundsätzen orientieren:
- Ein verfassungsrechtlich anerkanntes Interesse, z.B. Recht auf Schutz personenbezogener Daten gem. Art. 8 GRCh, hat ein höheres Gewicht, als ein Interesse, dass nur einfachgesetzlich in der Rechtsordnung anerkannt ist
- Ein Interesse ist gewichtiger, wenn es nicht nur dem Verantwortlichen dient, sondern gleichzeitig auch der Allgemeinheit, z.B. bei Forschungstätigkeiten
Die Erwägungsgründe der DSGVO können unterstützend herangezogen werden, um Art. 6 Abs. 1 lit. f) DSGVO anzuwenden. Folgende Kriterien ergeben sich aus den Erwägungsgründen, die Einzelheiten zu den jeweiligen Kriterien sind dem DSK Positionspapier zu entnehmen:
- Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit / Transparenz
- Interventionsmöglichkeiten der betroffenen Personen
- Verkettung von Daten
- Beteiligte Akteure
- Dauer der Beobachtung
- Kreis der Betroffenen (bspw. besonders schutzbedürftige Personen)
- Datenkategorien
- Umfang der Datenverarbeitung
Fazit
Zusammenfassend kann gesagt werden, dass die Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO eine essentielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Betroffenen von Verantwortlichen verlangt. Dabei ist der Einzelfallbezug entscheidend, pauschale Feststellungen erfüllen nichtdie gesetzlichen Anforderungen. Für Onlinemarketing wird die Verwendung der „berechtigten Interessen des Unternehmen“ als gesetzliche Grundlage nach Art. 6 Abs. 1 lit. f) für Zwecke der Onlinewerbung zwar nicht generell verworfen, es werden aber einige Beispiele genannt, bei denen die berechtigten Interessen des Unternehmens nicht als gesetzliche Grundlage gelten können.
In jedem Fall der Verwendung der berechtigten Interessen als gesetzliche Grundlage sollte ein sogenanntes LIA („Legitimate Interest Assessment“), d.h. eine Bewertung des Vergleichs der berechtigten Interessen des Unternehmens mit den Interessen der betroffenen Personen erstellt werden. Dazu gibt es auch einfache Versionen, ePrivacy hilft Ihnen gern dabei, sprechen Sie uns an.