Interessenabwägung in der DS-GVO: Hammer oder Skalpell?

Wären die einzelnen Erlaubnistatbestände in dem ersten Absatz des Art. 6 DS-GVO Werkzeuge in einem recht großen Werkzeugkasten, wüsste der Hobby-Handwerker beim ersten Reinschauen womöglich nicht sofort, wie man dieses Werkzeug, welches sich hinter dem Buchstaben f) verbirgt, sinnvoll einsetzen kann.

Ist es ein Hammer, mit dem der geneigte Hobby-Datenschützer auf jegliche Datenverarbeitung eindrischt, was so aussieht, als müsste es legitimiert werden oder ist es am Ende vielleicht doch das Skalpell oder zumindest das Feinmachanikerwerkzeug eines Datenschutz-Experten, mit dem es gelingen kann auch schwierige Datenverarbeitung-Operationen erfolgreich zu meistern?

Die Verarbeitung soll nach Art. 6 Abs.1 lit. f) DS-GVO nur „rechtmäßig sein, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.„

Was sind berechtigte Interessen und wie lassen sich diese gegen Interessen oder Grundrechte von betroffenen Personen abwägen?

Die Freiheit, an dieser Stelle gekonnt argumentieren zu können, ist den meisten Datenschutz-Interessierten nicht unbekannt, da auch die Prüfung der oft anzutreffenden „Erforderlichkeit“ bei der Suche nach einem „milderen Mittel“ in der Regel viel Raum für Argumentation lässt. Bei der durchzuführenden „Interessenabwägung“ des Art. 6 Abs. 1 lit. f) DS-GVO dürften die Juristen ggf. ein wenig im Vorteil sein, da ihnen der Umgang mit dem Begriff und auch das Hantieren mit unbestimmen Begriffen vertraut sein dürfte.

1. Erwägungsgrund 47 der DS-GVO
Der erste Gedanke bei einer nicht sofort aus sich heraus verständlichen Norm der DS-GVO (davon gibt es ja Gott sei Dank nur sehr wenige!) ist ein Blick in die Erwägungsründe (falls kein DS-GVO Kommentar zur Hand ist).
Sowohl die weiteren Erläuterungen als auch die im ErwG 47 genannten Beispiele bringen keine besondere Klarheit, wenn dem Lesenden das Lesen der Norm nicht bereits eine Idee vermittelt hat, wie er/sie vorzugehen hat. Einen Versuch war es aber wert!

2. Europäische Kommision / Europäischer Datenschutzausschus (EDSA)
Vielleicht gibt es weitere Unterstützung auf der Seite der Institutionen, die uns diese sperrige Norm ja teilweise eingebrockt haben?
Die Europäische Kommision verweist auf den Norm selbst und die Erwägungsgründe – nicht so hilfreich also.
Der EDSA hat zwar bereits einige Papiere, die zur „Auslegung der DS-GVO“ dienlich sind und welche, die sich tatsächlich sogar mit der Verwendung der Erlaubnistatbestände des Art. 6 Abs.1 DS-GVO beschäftigen (bspw. Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 und auch eine Leit­li­ni­e zur Inter­pre­ta­ti­on des Art. 6 Abs. 1 b DS-GVO), aber leider noch keine, die sich mit der Interessenabwägung nach Art. 6 Abs. 1 lit.f ) DS-GVO beschäftigt.

3. Artikel-29-Datenschutzgruppe
Old, but gold, möchte man meinen!
Zur Einschätzung, wann eine Datenverarbeitung “für die Erfüllung eines Vertrages erforderlich” ist, verweist der EDSA zunächst auf die Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäss Artikel 7 der Richtlinie 95/46/EG und bestätigt die dortige enge Auslegung des Begriffs der Erforderlichkeit. Zudem liefert der EDSA die folgenden konkreten “Testfragen” zur besseren Orientierung:

• What is the nature of the service being provided to the data subject
• What are its distinguishing characteristics?
• What is the exact rationale fo the contract (i.e. its substance and fundamental object)?
• What are the essential elements of the contract?
• What are the mutual perspectives and expectations of the parties to the contract?
• How is the service promoted or advertised to the data subject?
• Would an ordinary user of the service reasonably expect that, considering the nature of the service, the envisaged processing will take place in order to perform the contract to which they are a party?

4. Weitere Hinweise der Datenschutz-Aufsichtsbehörden
In der Regel versorgen auch die Aufsichtsbehörden den interessierten Leser mit extrem viel guten Inhalten. Es ist jedoch festzustellen, dass auch die deutschen Aufsichtsbehörden die Interessenabwägung bislang eher stiefmütterlich behandeln – nicht so die kleine, aber feine „Datenschutzstelle – Fürstentum Liechstenstein„. Diese bietet auf ihrer Webseizte nicht nur eine brauchbare Erklärung zu diesem speziellen Erlaubnistatbestand, sondern garniert diese auch mit einigen Beispielen und rundet das Ganze sogar mit einem „Prüfschema für Verantwortliche ab“. Das Prüfschema dürfte dem geneigten Leser bekannt vorkommen, da es sich an den Ausführungen des o.g. WP 217 der Artikel-29-Datenschutzgruppe orientiert (hier in deutscher Sprache).

5. International Association of Privacy Professionals (iapp)
Auch die iapp hat ein hilfreiches Dokument (Guidance on the use of Legitimate Interests under the EU General Data Protection Regulation) zum Thema veröffentlicht (naturgemäß in englischer Sprache). Dem Leser wird das Weser der Interessenabwägung genauso vermittelt, wie die typischen Anwendungsbereiche aufgezeigt werden. Das Papier enthält aber auch eine Anleitung, wie eine Prüfung der Interessenabwägung erfolgen kann.

(Foto: lassedesignen – stock.adobe.com)