Berechtigtes Interesse nach Art. 6 DSGVO — Voraussetzungen & Abwägung

Was ist ein berechtigtes Interesse nach DSGVO?

Das berechtigte Interesse ist eine von sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 DSGVO. Es ermöglicht Unternehmen, personenbezogene Daten ohne ausdrückliche Einwilligung der betroffenen Person zu verarbeiten — vorausgesetzt, bestimmte Bedingungen sind erfüllt.

Art. 6 Abs. 1 lit. f DSGVO erlaubt die Datenverarbeitung, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

In der Praxis ist das berechtigte Interesse eine der am häufigsten genutzten Rechtsgrundlagen — und gleichzeitig eine der am häufigsten falsch angewendeten. Viele Unternehmen berufen sich pauschal auf ein berechtigtes Interesse, ohne die erforderliche Interessenabwägung durchzuführen. Dies kann zu empfindlichen Bußgeldern führen.

Der Dreistufentest — Voraussetzungen für das berechtigte Interesse

Die Berufung auf ein berechtigtes Interesse erfordert eine dreistufige Prüfung, die sorgfältig dokumentiert werden muss. Dieser sogenannte Dreistufentest ist das zentrale Instrument zur Feststellung, ob die Verarbeitung auf Grundlage des berechtigten Interesses zulässig ist.

Stufe 1: Vorliegen eines berechtigten Interesses

Zunächst muss ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegen. Der Begriff „berechtigt“ ist weit zu verstehen und umfasst jedes rechtliche, wirtschaftliche oder ideelle Interesse, sofern es nicht gegen die Rechtsordnung verstößt.

Anerkannte berechtigte Interessen sind unter anderem:

• Wirtschaftliche Interessen: Direktwerbung (ausdrücklich in EG 47 erwähnt), Kundenbindung, Marktforschung
• Sicherheitsinteressen: IT-Sicherheit, Betrugsbekämpfung, Zugangskontrollen
• Rechtliche Interessen: Geltendmachung und Verteidigung rechtlicher Ansprüche
• Organisatorische Interessen: Konzernweite Datenübermittlung, interne Verwaltung
• Gesellschaftliche Interessen: Forschung, Statistik, Transparenz

Nicht als berechtigt gelten Interessen, die gegen geltendes Recht verstoßen oder rein spekulativer Natur sind.

Stufe 2: Erforderlichkeit der Datenverarbeitung

Die Verarbeitung muss zur Wahrung des berechtigten Interesses erforderlich sein. Das bedeutet, dass es kein milderes, gleich wirksames Mittel geben darf, das den Zweck mit geringerem Eingriff in die Rechte der betroffenen Person erreicht.

Prüfungsfragen in dieser Stufe:

• Kann der Zweck auch ohne oder mit weniger personenbezogenen Daten erreicht werden?
• Gibt es alternative Methoden, die weniger in die Privatsphäre eingreifen?
• Werden nur die Daten verarbeitet, die für den konkreten Zweck notwendig sind?
• Ist die Datenverarbeitung verhältnismäßig zum verfolgten Zweck?

Stufe 3: Interessenabwägung

Die wichtige dritte Stufe ist die eigentliche Interessenabwägung. Hier werden die berechtigten Interessen des Verantwortlichen gegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person abgewogen.

Faktoren, die in die Abwägung einfließen:

• Art der Daten: Handelt es sich um besonders sensible Daten (Gesundheit, Religion, politische Meinung)?
• Betroffene Personen: Handelt es sich um besonders schutzbedürftige Personen (Kinder, Arbeitnehmer)?
• Vernünftige Erwartungen: Kann die betroffene Person die Verarbeitung vernünftigerweise erwarten?
• Stellung des Verantwortlichen: Besteht ein Machtgefälle (z. B. Arbeitgeber-Arbeitnehmer)?
• Auswirkungen: Welche konkreten Auswirkungen hat die Verarbeitung für die betroffene Person?
• Schutzmaßnahmen: Welche Maßnahmen hat der Verantwortliche zum Schutz der Betroffenen ergriffen?

Erwägungsgrund 47 — Orientierungshilfe des Gesetzgebers

Erwägungsgrund 47 der DSGVO bietet wichtige Orientierung für die Auslegung des berechtigten Interesses. Er nennt mehrere Fallgruppen, in denen ein berechtigtes Interesse typischerweise vorliegen kann:

Direktwerbung: EG 47 Satz 7 stellt ausdrücklich klar, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann“. Dies bedeutet jedoch nicht, dass Direktwerbung automatisch zulässig ist — die Interessenabwägung muss trotzdem durchgeführt werden.

Kundenbeziehung: Besteht eine relevante und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen (z. B. als Kunde oder Mitarbeiter), spricht dies für ein berechtigtes Interesse.

Vernünftige Erwartung: Wenn die betroffene Person zum Zeitpunkt der Datenerhebung vernünftigerweise erwarten konnte, dass die Verarbeitung zu einem bestimmten Zweck stattfindet, stärkt dies die Position des Verantwortlichen.

Betrugsbekämpfung: Die Verarbeitung zum Zweck der Betrugsprävention stellt ein berechtigtes Interesse dar.

Konzernweite Übermittlung: Die Übermittlung innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke kann ein berechtigtes Interesse begründen.

Praxisbeispiele für berechtigtes Interesse

Direktwerbung an Bestandskunden

Ein Unternehmen möchte seinen bestehenden Kunden per E-Mail über neue Produkte informieren, die den bereits gekauften ähnlich sind. Die Interessenabwägung fällt hier regelmäßig zugunsten des Unternehmens aus, da:

• EG 47 Direktwerbung ausdrücklich als berechtigtes Interesse anerkennt
• Der Kunde die Werbung aufgrund der bestehenden Geschäftsbeziehung erwarten kann
• Ein einfacher Widerspruch (Opt-out) möglich ist
• § 7 Abs. 3 UWG ähnliche Anforderungen für E-Mail-Werbung an Bestandskunden stellt

Wichtig: Bei Neukunden oder besonders aufdringlicher Werbung kann die Abwägung anders ausfallen.

Videoüberwachung

Ein Einzelhandelsgeschäft installiert Kameras zur Diebstahlprävention. Das berechtigte Interesse liegt in der Verhinderung von Eigentumsdelikten und dem Schutz von Mitarbeitern. Die Abwägung erfordert jedoch:

• Beschränkung auf den Verkaufsraum (keine Überwachung von Umkleidekabinen oder Pausenräumen)
• Deutliche Hinweisschilder gemäß Art. 13 DSGVO
• Begrenzte Speicherdauer (typischerweise 48-72 Stunden)
• Zugriffsbeschränkung auf autorisierte Personen
• Keine dauerhafte Überwachung von Mitarbeitern

IT-Sicherheit und Protokollierung

Die Protokollierung von Zugriffen auf IT-Systeme (Server-Logs, Login-Versuche, Firewall-Logs) dient der IT-Sicherheit und der Erkennung von Cyberangriffen. Dieses berechtigte Interesse wird von Aufsichtsbehörden regelmäßig anerkannt, da:

• Die Sicherheit der Verarbeitung selbst eine DSGVO-Anforderung ist (Art. 32)
• Die Protokollierung dem Schutz aller Beteiligten dient
• Die Daten in der Regel nach kurzer Zeit gelöscht werden
• Die Verarbeitung für die Betroffenen erwartbar ist

Betrugsbekämpfung

Online-Händler verarbeiten personenbezogene Daten (IP-Adresse, Bestellhistorie, Zahlungsverhalten) zur Erkennung und Verhinderung von Betrug. Die Interessenabwägung fällt hier typischerweise zugunsten des Unternehmens aus, wenn:

• Die Maßnahmen verhältnismäßig sind
• Keine übermäßigen negativen Auswirkungen für ehrliche Kunden entstehen
• Transparenz über die Verarbeitung besteht
• Die Datenspeicherung auf das Notwendige begrenzt ist

Konzernweite Datenübermittlung

Ein Konzern übermittelt Mitarbeiterdaten an die Muttergesellschaft für zentrale Personalverwaltung, einheitliches Reporting oder IT-Support. EG 48 erkennt ausdrücklich an, dass die Übermittlung innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke ein berechtigtes Interesse darstellen kann.

Bonitätsprüfung

Vor Vertragsschluss prüft ein Unternehmen die Bonität eines potenziellen Geschäftspartners. Das berechtigte Interesse liegt im Schutz vor finanziellen Verlusten. Die Verhältnismäßigkeit muss gewahrt bleiben — die Prüfung muss dem Wert und Risiko des Geschäfts angemessen sein.

Dokumentationspflicht bei berechtigtem Interesse

Die Berufung auf ein berechtigtes Interesse erfordert eine vollständige Dokumentation. Diese Dokumentationspflicht ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.

Was muss dokumentiert werden?

• Das berechtigte Interesse selbst: Welches konkrete Interesse verfolgt der Verantwortliche?
• Die Erforderlichkeit: Warum ist die Verarbeitung zur Wahrung dieses Interesses erforderlich? Gibt es keine milderen Mittel?
• Die Interessenabwägung: Welche Interessen der betroffenen Personen stehen dem entgegen? Warum überwiegt das Interesse des Verantwortlichen?
• Schutzmaßnahmen: Welche Maßnahmen wurden zum Schutz der Betroffenen ergriffen?
• Ergebnis: Zu welchem Ergebnis kommt die Abwägung und warum?

Ein regelmäßiger Datenschutz-Audit hilft dabei, die Dokumentation aktuell zu halten und die Interessenabwägung regelmäßig zu überprüfen.

Vorlage für die Interessenabwägung

Eine strukturierte Interessenabwägung sollte folgende Elemente enthalten:

1. Beschreibung der Verarbeitung: Welche Daten werden zu welchem Zweck verarbeitet?
2. Benennung des Interesses: Welches konkrete, legitime Interesse wird verfolgt?
3. Erforderlichkeitsprüfung: Ist die Verarbeitung zur Erreichung des Zwecks erforderlich?
4. Interessen der Betroffenen: Welche Auswirkungen hat die Verarbeitung?
5. Abwägungsergebnis: Überwiegen die Interessen des Verantwortlichen oder der Betroffenen?
6. Schutzmaßnahmen: Welche zusätzlichen Maßnahmen werden zum Schutz ergriffen?
7. Datum und Verantwortlicher: Wer hat die Abwägung wann durchgeführt?

Abgrenzung zu anderen Rechtsgrundlagen

Berechtigtes Interesse vs. Einwilligung

Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und das berechtigte Interesse sind die beiden flexibelsten Rechtsgrundlagen. Ihre Wahl hat jedoch erhebliche praktische Konsequenzen:

Kriterium	Einwilligung	Berechtigtes Interesse
Widerrufbarkeit	Jederzeit widerrufbar	Widerspruchsrecht nach Art. 21
Dokumentation	Nachweis der Einwilligung	Dokumentation der Abwägung
Aufwand	Hoch (Einholung + Verwaltung)	Mittel (einmalige Abwägung)
Risiko	Massenhafte Widerrufe möglich	Aufsichtsbehörde kann Abwägung beanstanden
Freiwilligkeit	Muss freiwillig sein	Keine Freiwilligkeit erforderlich

Wichtig: Die Rechtsgrundlagen sind nicht beliebig austauschbar. Wer zunächst eine Einwilligung einholt und nach deren Widerruf auf das berechtigte Interesse wechselt, handelt treuwidrig und datenschutzrechtswidrig.

Berechtigtes Interesse vs. Vertragsdurchführung

Die Verarbeitung zur Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) ist gegenüber dem berechtigten Interesse vorrangig, wenn die Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist. Das berechtigte Interesse kommt typischerweise dann zum Einsatz, wenn die Verarbeitung über die reine Vertragsdurchführung hinausgeht.

Besondere Fallkonstellationen

Berechtigtes Interesse bei sensiblen Daten

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten, religiöse Überzeugungen, biometrische Daten etc.) dürfen grundsätzlich nicht auf Basis des berechtigten Interesses verarbeitet werden. Art. 9 DSGVO enthält einen abschließenden Katalog von Ausnahmen, in dem das berechtigte Interesse nicht vorkommt.

Berechtigtes Interesse bei Kindern

EG 38 betont, dass Kinder besonderen Schutz verdienen. Wenn Daten von Kindern verarbeitet werden, ist bei der Interessenabwägung ein deutlich strengerer Maßstab anzulegen. Direktwerbung gegenüber Kindern wird auf Basis des berechtigten Interesses regelmäßig unzulässig sein.

Berechtigtes Interesse im Beschäftigungsverhältnis

Im Beschäftigtendatenschutz ist das berechtigte Interesse mit besonderer Vorsicht anzuwenden. Das strukturelle Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer führt dazu, dass die Interessen der Beschäftigten höher zu gewichten sind. In Deutschland geht § 26 BDSG als speziellere Regelung vor.

Berechtigtes Interesse bei Behörden

Art. 6 Abs. 1 Unterabsatz 2 stellt klar, dass Behörden sich bei der Erfüllung ihrer Aufgaben grundsätzlich nicht auf das berechtigte Interesse berufen können. Für behördliche Datenverarbeitungen stehen die Rechtsgrundlagen in Art. 6 Abs. 1 lit. c und e zur Verfügung.

Das Widerspruchsrecht nach Art. 21 DSGVO

Stützt der Verantwortliche die Datenverarbeitung auf ein berechtigtes Interesse, hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen (Art. 21 Abs. 1 DSGVO).

Nach einem Widerspruch darf der Verantwortliche die Daten nur noch verarbeiten, wenn er zwingende schutzwürdige Gründe nachweisen kann, die die Interessen der betroffenen Person überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Bei Widerspruch gegen Direktwerbung ist die Verarbeitung ohne weitere Prüfung sofort einzustellen (Art. 21 Abs. 2 und 3 DSGVO). Auf das Widerspruchsrecht muss bei der ersten Kommunikation mit der betroffenen Person ausdrücklich hingewiesen werden.

Aktuelle Rechtsprechung und Behördenentscheidungen

Die Auslegung des berechtigten Interesses wird kontinuierlich durch Gerichtsentscheidungen und Stellungnahmen der Aufsichtsbehörden konkretisiert.

EuGH-Rechtsprechung

Der Europäische Gerichtshof hat in mehreren Entscheidungen wichtige Leitlinien zum berechtigten Interesse formuliert. Besonders relevant sind Urteile zur Reichweite der Interessenabwägung, zur Notwendigkeit einer Einzelfallprüfung und zur Bedeutung der vernünftigen Erwartung der Betroffenen.

Deutsche Aufsichtsbehörden

Die deutschen Datenschutzaufsichtsbehörden haben in Orientierungshilfen und Beschlüssen der Datenschutzkonferenz (DSK) ihre Erwartungen an die Interessenabwägung konkretisiert. Sie betonen insbesondere die Notwendigkeit einer nachvollziehbaren Dokumentation und einer individuellen Prüfung jedes Einzelfalls.

Häufige Fehler bei der Anwendung des berechtigten Interesses

In der Praxis werden bei der Berufung auf das berechtigte Interesse häufig folgende Fehler gemacht:

• Pauschale Berufung ohne Abwägung: Das berechtigte Interesse wird als Rechtsgrundlage benannt, ohne dass eine dokumentierte Interessenabwägung durchgeführt wurde.
• Fehlende Dokumentation: Die Abwägung wird zwar gedanklich durchgeführt, aber nicht schriftlich festgehalten.
• Einseitige Abwägung: Nur die Interessen des Verantwortlichen werden berücksichtigt, nicht die der Betroffenen.
• Wechsel der Rechtsgrundlage: Nach Widerruf einer Einwilligung wird auf das berechtigte Interesse gewechselt.
• Verarbeitung sensibler Daten: Besondere Kategorien personenbezogener Daten werden auf Basis des berechtigten Interesses verarbeitet.
• Fehlender Hinweis auf Widerspruchsrecht: Betroffene werden nicht über ihr Widerspruchsrecht nach Art. 21 DSGVO informiert.
• Keine regelmäßige Überprüfung: Die Interessenabwägung wird einmal erstellt und nie aktualisiert.

Empfehlung: Professionelle Unterstützung nutzen

Die korrekte Anwendung des berechtigten Interesses erfordert fundierte Kenntnisse des Datenschutzrechts und Erfahrung in der praktischen Umsetzung. Ein externer Datenschutzbeauftragter kann Sie bei der Durchführung und Dokumentation von Interessenabwägungen unterstützen.

Die DATUREX GmbH berät Unternehmen in Dresden und ganz Sachsen zu allen Fragen rund um das berechtigte Interesse und andere Rechtsgrundlagen der DSGVO. Wir unterstützen Sie bei der Erstellung rechtssicherer Interessenabwägungen und der Datenschutz-Folgenabschätzung.

Häufig gestellte Fragen (FAQ)

Was fällt unter berechtigtes Interesse?

Unter berechtigtes Interesse fallen alle rechtlichen, wirtschaftlichen oder ideellen Interessen, die nicht gegen die Rechtsordnung verstoßen. Typische Beispiele sind Direktwerbung, IT-Sicherheit, Betrugsbekämpfung, Videoüberwachung zum Eigentumsschutz und konzernweite Datenübermittlung zu Verwaltungszwecken.

Wann überwiegt das berechtigte Interesse?

Das berechtigte Interesse überwiegt, wenn die Verarbeitung für den Verantwortlichen erforderlich ist, die betroffene Person die Verarbeitung vernünftigerweise erwarten konnte und keine schwerwiegenden negativen Auswirkungen für die betroffene Person zu befürchten sind. Zusätzliche Schutzmaßnahmen wie Pseudonymisierung oder Zugriffsbeschränkungen stärken die Position des Verantwortlichen.

Muss ich das berechtigte Interesse dokumentieren?

Ja, die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass der Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen kann. Die Interessenabwägung muss daher schriftlich dokumentiert und regelmäßig überprüft werden.

Kann ich nach Widerruf der Einwilligung auf berechtigtes Interesse wechseln?

Nein, ein Wechsel der Rechtsgrundlage nach Widerruf einer Einwilligung ist grundsätzlich unzulässig. Dies gilt als treuwidrig und verstößt gegen den Grundsatz von Treu und Glauben nach Art. 5 Abs. 1 lit. a DSGVO.

Gilt das berechtigte Interesse auch für sensible Daten?

Nein, besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO dürfen nicht auf Basis des berechtigten Interesses verarbeitet werden. Art. 9 enthält einen abschließenden Katalog zulässiger Ausnahmen, in dem das berechtigte Interesse nicht aufgeführt ist.

Was passiert, wenn jemand Widerspruch einlegt?

Bei einem Widerspruch nach Art. 21 DSGVO muss der Verantwortliche die Verarbeitung einstellen, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen. Bei Widerspruch gegen Direktwerbung ist die Verarbeitung ohne weitere Prüfung sofort einzustellen.