Das berechtigte Interesse ist die flexibelste Rechtsgrundlage und in der Praxis besonders häufig. Es erfordert jedoch eine dokumentierte Interessenabwägung.
Dreistufige Prüfung
Stufe 1 - Berechtigtes Interesse identifizieren Der Verantwortliche oder ein Dritter muss ein berechtigtes Interesse verfolgen. Dieses kann wirtschaftlicher, rechtlicher oder ideeller Natur sein. Anerkannte Beispiele (EG 47-49 DSGVO):
- Direktwerbung an Bestandskunden
- Betrugs- und Missbrauchsprävention
- IT- und Netzwerksicherheit (CERT/CSIRT)
- Konzerninterne Datenübermittlung für Verwaltungszwecke ("Konzernprivileg", EG 48)
Stufe 2 - Erforderlichkeit prüfen Die Verarbeitung muss für die Erreichung des Zwecks erforderlich sein. Es darf kein milderes, gleich geeignetes Mittel geben.
Stufe 3 - Interessenabwägung durchführen Die Interessen des Verantwortlichen dürfen nicht von den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person überwiegen. Maßgeblich sind die "vernünftigen Erwartungen" der betroffenen Person (EG 47): Kann sie angesichts der Beziehung zum Verantwortlichen mit der Verarbeitung rechnen?
Wichtige Einschränkungen
- Behörden dürfen sich NICHT auf Art. 6 Abs. 1 lit. f berufen (Art. 6 Abs. 1 Unterabs. 2 DSGVO).
- Bei Kindern ist besondere Vorsicht geboten (Art. 6 Abs. 1 lit. f letzter Halbsatz).
- Die Abwägung muss dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
- Betroffene haben ein Widerspruchsrecht aus Gründen der besonderen Situation (Art. 21 Abs. 1 DSGVO). Bei Direktwerbung ist der Widerspruch jederzeit und ohne Begründung möglich (Art. 21 Abs. 2 DSGVO).