Unternehmen sammeln mit dem Zauberwort „berechtigtes Interesse“ personenbezogene Daten
Wer kennt es: Man öffnet einen Link zu einer Internetseite und wird damit konfrontiert, dass dutzende, wenn nicht gar hunderte von Firmen, deren Geschäftsmodell in der Regel nicht bekannt ist und die häufig ihren Sitz nicht in Deutschland haben, zu eigenen (Geschäfts-)Zwecken personenbezogene Daten sammeln wollen. Das wird deklariert als „berechtigtes Interesse“. Seine Grundlage findet der Begriff in Art. 6 Abs 1 f) DSGVO: Danach ist die Verarbeitung personenbezogener Daten u. a. dann rechtmäßig, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (ist) , sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“
Nach dem Wortlaut der DSGVO sind bei der Deklaration berechtigten Interesses“ drei Voraussetzungen zu beachten:
- Was ist das „berechtigte Interesse“ des Verantwortlichen oder eines Dritten?
- Ist dafür die Verarbeitung personenbezogener Daten erforderlich?
- Was überwiegt: Die Interessen bzw. die Grundrechte und Grundfreiheiten der Person, deren Daten verarbeitet werden sollen oder das (Geschäfts-)Interesse an der Verarbeitung dieser Daten?
In der Praxis (siehe die Beispiele oben) wird es in vielen Fällen so sein, dass nur der erste Punkt beachtet wird.
Um Wildwuchs bei dieser Problematik einzudämmen hat der Hamburger Landesdatenschutzbeauftragte einen Fragenkatalog als Praxishilfe für Unternehmen veröffentlicht. Diese Übersicht ist auch für interessierte Verbraucher*innen eine nützliche Lektüre. Denn ein Blick in den Fragenkatalog offenbart, wie umfangreich eine solche Prüfung sein muss. Der Fragebogen orientiert sich an den drei o. g. Voraussetzungen, der Definition des jeweiligen berechtigten Interesses, der Frage nach der Erforderlichkeit der Verarbeitung personenbezogener Daten und der Interessenabwägung.