Die DSGVO normiert ein Verbotsprinzip mit Erlaubnisvorbehalt und ist hinsichtlich der Frage “Was darf man eigentlich noch machen?” keine Neuerung. Das bedeutet, dass jede Datenverarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, das Datenschutzrecht erlaubt die Verarbeitung. Diese Regelung ist bereits spätestens seit dem Jahr 2000 nahezu unverändert in Österreich gültig. Die Zulässigkeitsvoraussetzungen (=Rechtmäßigkeit) sind nun in Art 6 DSGVO taxativ aufgezählt. Demnach ist eine Datenverarbeitung immer dann zulässig, wenn
- eine Einwilligung des Betroffenen vorliegt ODER
- die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist ODER
- die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist ODER
- die Datenverarbeitung erforderlich ist, um lebenswichtige Interessesn des Betroffenen oder einer anderen natürlichen Person zu schützen ODER
- die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt ODER
- die Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.
Es stimmt also nicht, dass für jede Datenverarbeitung eine Zustimmung des Betroffenen erforderlich ist. Jene Verantwortlichen, die noch im Mai 2018 tonnenweise E-Mails verschickt haben, um Zustimmungserklärungen zu sammeln, da ansonsten “keine Newsletter mehr empfangen werden können”, “keine Aufträge mehr angenommen werden können” oder gar “die Geschäftsbeziehung beendet werden müsse”, haben sich entweder nicht mit den Bestimmungen der DSGVO vertraut gemacht oder wurden schlecht bzw. falsch beraten.
Die oft fälschlicherweise als einzige Möglichkeit gedachte Einwilligung ist ganz im Gegenteil die schwächste Rechtsgrundlage, denn sie kann jederzeit widerrufen werden. Zur Einwilligung werde ich demnächst aber einen eigenen Beitrag verfassen, da es diesbezüglich einige Mythen zu widerlegen gibt und die Voraussetzungen für eine gültige Einwilligung in vielen Fällen (aufgrund “gefährlichen Halbwissens”) oft nicht eingehalten werden.
Vielmehr geht es in diesem Artikel um die Bedeutung des berechtigten Interesses. Eine Datenverarbeitung kann nämlich iSd Art 6 Abs 1 lit f DSGVO auch dann zulässig sein, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Das heißt, dass auch unabhängig von einer Einwilligung ein berechtigtes Interesse vorliegen kann und man deswegen zB. Newsletter versenden oder Marketingmaßnahmen setzen kann, sofern die Vorausetzungen vorliegen und die Bedingungen erfüllt sind.
Ganz so einfach macht es einem die DSGVO freilich nicht. Vor allem, da der Begriff “berechtigtes Interesse” leider nicht legal definiert ist. Es ist also der Begriff auszulegen und im ersten Schritt in den Erwägungsgründen nachzuschlagen. Maßgeblich ist ErwGr 47, der eine Datenverarbeitung rechtmäßig erscheinen lässt, wenn beispielsweise die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen und die vernünftigen Erwartungen der Betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, berücksichtigt werden.
ErwGr 47 (berechtigte Interessen) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
Auch dieser Erwägungsgrund liefert keine Regel aufgrund derer ein berechtigtes Interesse mit einem klaren “Ja” oder “Nein” begründet werden kann. Vielmehr ist jede Datenverarbeitung individuell zu beurteilen und nach einem Prüfschema zu bewerten.
Die Artikel-29-Datenschutzgruppe hat bereits im Jahr 2014 eine Stellungnahme zum Begriff des berechtigten Interesses abgegeben, die auch unter Geltung der DSGVO noch anwendbar ist. Auf Basis dieser Stellungnahme WP 217 habe ich in einem kurzen Praxisleitfaden die wichtigsten Prüfschritte zusammengefasst. Will man sich bei einer Datenverarbeitung auf den Rechtsgrund “berechtigtes Interesse” iSd Art 6 Abs 1 lit f DSGVO stützen, sind folgende Prüfschritte jedenfalls zu berücksichtigen:
1.) Liegt ein berechtigtes Interesse vor?
Ein Interesse kann ein rechtliches, tatsächliches, wirtschaftliches oder ideeles Interesse des Verantwortlichen oder eines Dritten sein. Bloße Allgemeininteressen sind demgegenüber nicht ausreichend. Beispiele: Verhinderung von Betrung im unbedingt erfoderlichen Umfang, Direktwerbung, Übermittlung personenbezogener Daten in einer Unternehmensgruppe, Wahrung der Sicherheit wie zB. Netz- und Informationssicherheit, etc.
Das Interesse muss jedenfalls rechtmäßig, hinreichend klar formuliert und gegenwärtig und tatsächlich vorhanden sein.
2.) Erforderlichkeit
Die Datenverarbeitung muss “erforderlich” sein, um das Ziel bzw. den Zweck der Verarbeitung zu erreichen. Erforderlich ist die Verarbeitung immer dann, wenn die jeweilige Aufgabe ohne der konkreten Verarbeitung nicht oder nicht vollständig erfüllt werden kann.
3.) Interessenabwägung
Liegt ein berechtigtes Interesse vor, so ist im nächsten Schritt zu prüfen, ob die Grundrechte und Grundfreiheiten des Betroffenen überwiegen. Bei dieser Interessenabwägung sind eine Vielzahl an Faktoren miteinzubeziehen wie zB. die vernünftigten Erwartungen des Betroffenen, ob es sich dabei um Kinder handelt, welche Folgen für die Betroffenen zu erwarten sind, welche Art von Daten und in welcher Art und Weise die Daten verarbeitet werden. Es ist somit jede Datenverarbeitung individuell zu beurteilen und einer individuellen Interessenabwägung zu unterziehen. Sofern nicht die Interessen des Betroffenen überwiegen, kann eine Datenverarbeitung zulässig sein.
4.) Schutzmaßnahmen
Fällt die Interessenabwägung zugunsten des Verantwortlichen aus, müssen noch weitere Voraussetzungen geprüft werden, damit eine Rechtmäßigkeit iSd Art 6 Abs 1 lit f DSGVO vorliegt. Weiters ist noch zu prüfen, ob entsprechende Schutzmaßnahmen gesetzt wurden, vor allem, ob technische und organisatorische Maßnahmen vorliegen, die dem Risiko einer Datenschutzverletzung entgegenwirken. Ebenso sind Maßnahmen zur Umsetzung der Grundsätze “Privacy by Design” und “Privacy by Default” darzustellen.
5.) Transparenz
Ein wesentlicher Kernbestandteil bei jeder Datenverarbeitung ist der Grundsatz der Transparenz. Der Betroffene musss jederzeit in der Lage sein, zu wissen, welche Datenverarbeitungen in welcher Art und Weise mit welchen personenbezogenen Daten durchgeführt werden. Die Erfüllung dieser Informationspflichten nach Art 13 und 14 DSGVO ist jedenfalls Voraussetzung für das Vorliegen eines berechtigten Interesses, damit die Betroffenen in der Lage sind von den Datenverarbeitungen in Kenntnis gesetzt zu werden und ggf. einen Widerspruch einlegen zu können.
6.) Kein Widerspruch
Art 21 DSGVO normiert das sog. Widerspruchsrecht, welches iSe Betroffenenrechts jederzeit geltend gemacht werden kann. Es wird zwischen einem Widerspruch für alle Datenverarbeitungen (Abs 1) und einem Widerspruch gegen Verarbeitungen zu bestimmten Zwecken (Abs 2 und 6) unterschieden.
Es gibt leider keine klare Aussage, ob ein Newsletter versendet werden darf, bzw. ob man jenen Kunden, die bereits Produkt X gekauft haben, auch Dienstleistung Y anbieten darf. Vielmehr ist immer im Einzefall zu entscheiden und nach obigen Prüfschema eine etwaige Rechtmäßigkeit zu prüfen und zu dokumentieren.
Es gibt derzeit leider kein allgemein gültiges und verbindliches Konzept für das Vorliegen eines berechtigten Interesses. Es liegt immer in der Verantwortung des Veranwortlichen (bzw. des Auftragsverarbeiters) die entsprechenden Faktoren zu bewerten und entsprechend zu dokumentieren.
Anhaltspunkte finden Sie jedenfalls in der Stellungnahme der Art-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Veranwortlichen gem Art 7 der Richtlinie 95/46/EG (WP 217) und in meinem Praxisleitfaden Das “berechtigte Interesse” iSd Art 6 Abs 1 lit f DSGVO.