Im Blickpunkt: Die Interessenabwägung nach der Datenschutz-Grundverordnung
Von Christoph Jacobs, LL.M., und Frederike Kollmar
Wann sind die „berechtigten Interessen“ eines Unternehmens eine hinreichende Rechtfertigung für die Datenerhebung und -verarbeitung? Durch den jüngsten Schlussantrag des Generalanwalts vor dem EuGH und die neuen Vorgaben der Datenschutz-Grundverordnung wird die Frage an Brisanz gewinnen.
Der datenschutzrechtliche Erlaubnistatbestand der Interessenabwägung ist wieder ins Zentrum der datenschutzrechtlichen Diskussion gerückt. Grund hierfür sind die Schlussanträge des Generalanwalts Manuel Campos Sánchez-Bordona in der Sache „Breyer gegen die Bundesrepublik Deutschland“ [RS C-582/14 („Patrick Breyer vs. Bundesrepublik Deutschland“) – CELEX-Nummer: 62014CN0582]. „Massive Rechtsunsicherheit“ – so wird beklagt – brächte es mit sich, wenn der EuGH der Rechtsauffassung des Generalanwalts folgte (anstelle vieler: Bergt, Generalanwalt plädiert für ein Ende jeder Rechtssicherheit im Datenschutzrecht, CR-online Blogbeitrag vom 12.05.2016, zuletzt aufgerufen am 31.08.2016). In dem Vorlageverfahren geht es neben der Frage des Personenbezugs dynamischer IP-Adressen auch darum, wie sich das weitgehende Verbot der Speicherung von Nutzungsdaten nach § 15 Abs. 1 TMG zum Erlaubnistatbestand der Interessenabwägung nach Art. 7 lit. f der Datenschutzrichtlinie (95/46/EG) verhält.
So massiv die Sprengkraft des zu erwartenden Urteils auf den ersten Blick auch erscheinen mag, so zeigt ein Blick auf die Regelungen der am 25.05.2016 in Kraft getretenen und zum 25.05.2018 wirksam werdenden EU-Datenschutz-Grundverordnung (DSGVO) doch, dass eine deutliche Ausweitung der Datenverarbeitung, gestützt auf eine Interessenabwägung, ohnedies zu erwarten steht (so auch Schwartmann, Datenspeicherung nach Interessenabwägung zulässig, LTO Beitrag vom 13.05.2016, zuletzt aufgerufen am 31.08.2016). Zurückhaltender diesbezüglich ist Keppeler, CR 2016, 360 (366 f.). Zum einen entfallen zahlreiche spezielle Erlaubnistatbestände für bestimmte Verarbeitungsprozesse, etwa die Datenerhebung zu Markt- und Meinungsforschungszwecken in § 30a BDSG oder die Datenübermittlung an Auskunfteien nach § 28a BDSG mit Wirksamwerden der DSGVO, die jedenfalls im Grundsatz auf Vollharmonisierung abzielt. Zum anderen werden die Anforderungen an die Einwilligung zwar formal abgeschwächt, inhaltlich jedoch zum Teil strenger ausgestaltet, als dies bisher der Fall war. Das in Art. 7 Abs. 4 DSGVO enthaltene (erweiterte) Kopplungsverbot und die damit einhergehende Rechtsunsicherheit dürften dazu beitragen, dass die Einwilligung in ihrer Bedeutung zurückgedrängt wird [Gierschmann, ZD 2016, 51 (54)].
Umso mehr dürfte unter der DSGVO die Interessenabwägung nach Art. 6 Abs. 1 lit. f EU-DSGVO als Erlaubnistatbestand an Bedeutung zunehmen.
Interessenabwägung nach BDSG und DSGVO
Die DSGVO hält an dem in Deutschland bekannten Verbotsprinzip mit Erlaubnisvorbehalt fest. Eine Datenverarbeitung (zur Definition Art. 4 Nr. 2 DSGVO: Der Begriff der Verarbeitung in der DSGVO umfasst sämtliche mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten von der Erhebung bis zur Löschung. Damit ist der Begriff nicht identisch mit dem der Datenverarbeitung nach dem BDSG) ist nur zulässig, wenn sie auf einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder einem der sonstigen in Art. 6 Abs. 1 lit. b–f DSGVO abschließend aufgezählten Erlaubnistatbestände beruht. Waren die Regelungen zum Erlaubnistatbestand des „berechtigten Interesses“ im BDSG noch relativ unübersichtlich und sehr detailreich (siehe etwa §§ 6b, 28 Abs. 1 Satz 1 Nr. 2, 28 Abs. 2, 29 Abs. 1, 29 Abs. 2 Satz 1, 30 Abs. 2, 32 Abs. 1 BDSG), hat sich der europäische Gesetzgeber für eine generalklauselartige Formulierung [zu der damit einhergehenden vermeintlichen Rechtsunsicherheit siehe Buchner, DuD 2016, 155 (159); Sydow/Kring, ZD 2014, 271 (272)] in Art. 6 Abs. 1 lit. f. DSGVO entschieden, die fast sämtliche dieser Fälle in Zukunft abdecken sollte. Danach ist eine Datenverarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Letzteres soll insbesondere dann angenommen werden, wenn es sich bei der betroffenen Person um ein Kind handelt.
Berechtigtes Interesse des Verantwortlichen
Unter dieser recht weiten Formulierung des „berechtigten Interesses“ kann jedes von der Rechtsordnung gebilligte – wirtschaftliche oder ideelle – Interesse (Härting, Datenschutz-Grundverordnung, 2016, Rn. 429) verstanden werden. Während das Interesse an der Datenverarbeitung regelmäßig mit dem verfolgten Zweck in einem engen Zusammenhang stehen und eine Vielzahl von Interessen einschließen dürfte, ist die Frage nach der „Berechtigung“ eine solche der Wertung. Für die Wertung sind die Datenschutzprinzipien in Art. 5 Abs. 1 DSGVO sowie sonstige anwendbare Bestimmungen des Unionsrechts maßgebend (Härting, Datenschutz-Grundverordnung, 2016, Rn. 431 ff.). Insbesondere sind hierbei die Grundsätze der Datensparsamkeit sowie -richtigkeit zu berücksichtigen (Härting, Datenschutz-Grundverordnung, 2016, Rn. 433). Man wird wohl dann nicht von einem berechtigten Interesse sprechen können, wenn die fragliche Datenverarbeitung in keinerlei Zusammenhang mit einer aktuellen und konkret beabsichtigten Datennutzung steht, sondern lediglich gleichsam spekulativ ausgestaltet ist [siehe die Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Art. 7 der Richtlinie 95/46/EG vom 09.04.2014 (844/14/EN WP 217), S. 31; ebenso bereits zu § 28 Abs. 1 Satz 1 Nr. 2 BDSG: Simitis, in: ders., BDSG, 8. Aufl. 2014, § 28, Rn. 102].
Direktmarketing
Erwägungsgrund 47 der DSGVO besagt in Satz 7, die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung könne als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Eine dem alten Listenprivileg des BDSG vergleichbare Regelung, wonach eine Datenverarbeitung zu Werbezwecken unter bestimmten Voraussetzungen grundsätzlich zulässig ist, findet sich im Normtext des DSGVO nicht mehr. Die „Kann“-Formulierung in Erwägungsgrund 47 spricht zudem dafür, dass es auch bei der Direktwerbung immer auf das Ergebnis der Interessenabwägung im konkreten Fall ankommen wird. Gleichwohl dürfte die ausdrückliche Aufnahme der Direktwerbung in die Erwägungsgründe zur Interessenabwägung dazu führen, dass sie ihr datenschutzrechtliches „Geschmäckle“ (außerhalb des relativ engen Korsetts des Listenprivilegs) unter dem BDSG verliert. Der Begriff der „Direktwerbung“ wird in der DSGVO im Übrigen nicht näher definiert, sondern in Art. 21 Abs. 2 und 3 DSGVO lediglich vorausgesetzt.
Berechtigtes Interesse Dritter
Im Unterschied zu § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO auch ein solches Dritter sein. Dies können etwa Interessen der Öffentlichkeit oder bestimmter Interessengruppen aus Transparenzgesichtspunkten oder aufgrund von Rechenschaftspflichten sein. Ebenfalls kann vorbehaltlich der Beschränkung aus § 7 Abs. 2 UWG der Adresshandel oder die Werbung für fremde Angebote ein berechtigtes Drittinteresse darstellen (Härting, Datenschutz-Grundverordnung, 2016, Rn. 479f.). Das sogenannte Whistleblowing ist demgegenüber ausweislich des Erwägungsgrunds 50 Satz 9 als berechtigtes Interesse des Verantwortlichen (nicht eines Dritten) zu sehen.
Erforderlichkeit
Darüber hinaus muss – ebenso wie bei den sonstigen gesetzlichen Erlaubnistatbeständen in Art. 6 Abs. 1 DSGVO – die Verarbeitung der personenbezogenen Daten auch erforderlich sein [s. zum insoweit identischen Begriff der Erforderlichkeit unter der RL 95/46/EG das Urteil des EuGH v. 16.12.2008 in der RS C-524/06 („Heinz Huber vs. Bundesrepublik Deutschland“) – CELEX-Nummer: 62006CJ0524, Rn. 47 ff., in dem klargestellt wird, dass es sich hierbei um einen autonomen Begriff des Gemeinschaftsrechts handelt). Die Erforderlichkeit dient als Korrektiv dahingehend, dass die bloße Zweckmäßigkeit der Datenverarbeitung gerade nicht genügen soll (Härting, Datenschutz-Grundverordnung, 2016, Rn. 428).
Vielmehr sind auch Überlegungen dahingehend anzustellen, ob für die Zweckerreichung weniger einschneidende Maßnahmen zur Verfügung stehen [so bereits die Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Art. 7 der Richtlinie 95/46/EG vom 09.04.2014 (844/14/EN WP 217), S. 37].
Interessenabwägung
Die Versuche des Europäischen Parlaments, die Interessenabwägung hinsichtlich der in Betracht kommenden Konstellationen in den Erwägungsgründen ausführlich auszugestalten [siehe Resolution des Europäischen Parlaments vom 12.03.2014 P7_TA(2014)0212 EG 38 ff., abrufbar HIER, zuletzt aufgerufen am 31.08.2016); dazu auch J.P. Albrecht, CR 2016, 88 (92)], vermochten sich zwar nicht durchzusetzen [vgl. Schantz, NJW 2016, 1841 (1843)]. Dennoch lassen sich in den Erwägungsgründen 47 bis 49 erste Anhaltspunkte dafür finden, wann ein berechtigtes Interesse regelmäßig vorliegt bzw. vorliegen kann. Die Erwägungsgründen 47 bis 49 enthalten auch einzelne Beispielkonstellationen, in denen dies der Fall ist. Dies darf aber grundsätzlich nicht als Vorwegnahme der in einem weiteren Schritt vorzunehmenden Abwägung verstanden werden [Schantz, NJW 2016, 1841 (1843)]. Vielmehr fordert Erwägungsgrund 47 (Satz 1 bis 3) zu prüfen‚ ob die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen diese Erhebung erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für den angestrebten Zweck erfolgen wird. Lediglich in Erwägungsgrund 47 Satz 6 und 49 lassen sich quasigesetzliche Vermutungen für das Vorliegen eines berechtigten Interesses des Verantwortlichen für solche Fälle ausmachen, in denen die Datenverarbeitung der Betrugsbekämpfung bzw. der Abwehr von Angriffen auf Computer- und Kommunikationssysteme dient. Diese Vermutung dürfte sich, da sie bloß beispielhaft formuliert ist, auch auf andere Fälle der Verhinderung von Straftaten oder der Schadensabwehr ausweiten lassen (so Härting, Datenschutz-Grundverordnung, 2016, Rn. 439 und 446). Eine Einschränkung findet sich allerdings in Erwägungsgrund 49. Danach muss die Datenverarbeitung zur Abwehr von Angriffen auf Computer und Kommunikationssysteme im Rahmen des zwingend Notwendigen bleiben und Verhältnismäßigkeitsgesichtspunkten genügen.
Vernünftige Erwartungen des Betroffenen
In allen anderen Fällen ist stets auf das Ergebnis einer sorgfältigen Abwägung mit den Interessen des oder der Betroffenen abzustellen. Dabei sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen (Erwägungsgrund 47 Satz 1).
Das Merkmal der „vernünftigen Erwartungen“ kann dabei nur als objektiv begründete und der Normalität entsprechende Erwartung aus Sicht eines durchschnittlich umsichtigen (europäischen) Verbrauchers verstanden werden. Eine subjektive, auf die tatsächliche Kenntnis des jeweils Betroffenen abstellende Betrachtung führte dazu, dass der Erlaubnistatbestand gänzlich impraktikabel würde. Käme es stets auf die subjektive tatsächliche Kenntnis des Betroffenen an, wäre zudem eine normativ angeordnete Berücksichtigung der besonderen Schutzwürdigkeit der Interessen eines Kindes nicht erforderlich. Für ein objektives Verständnis spricht schließlich auch die Formulierung in Erwägungsgrund 47 Satz 4, wonach regelmäßig dann von einem Überwiegen der Interessen und Grundrechte des Betroffenen ausgegangen werden kann, wenn die Daten in einer Situation verarbeitet werden, in welcher der Betroffene „vernünftigerweise“ nicht mit einer weiteren Verarbeitung rechnen muss.
Einen Ausgleich erfährt die objektive Betrachtungsweise dann über das in Art. 21 DSGVO verankerte Widerspruchsrecht des Betroffenen. Hierbei werden nämlich die sich aus der besonderen Situation ergebenden Gründe des Betroffenen den schutzwürdigen Gründen auf Seiten des Verantwortlichen gegenübergestellt.
Informationspflichten
Damit dieses System funktioniert, muss die Abwägung, die der Verantwortliche durchführt, dem Betroffenen allerdings auch transparent gemacht werden. So fordern Art. 13 Abs. 1 lit. d und 14 Abs. 2 lit. b DSGVO als Teil der allgemeinen Informationspflichten des Verantwortlichen, auch über das berechtigte Interesse aufzuklären, sofern er die Datenverarbeitung auf ein solches stützen möchte. Eine besondere Hinweispflicht findet sich zu-dem für das auf einer Interessenabwägung basierende Profiling sowie für die Direktwerbung. Gemäß Art. 21 Abs. 4 EU-DSGVO hat der Verantwortliche den Betroffenen spätestens im Zeitpunkt der ersten Kontaktaufnahme verständlich und von sonstigen Informationen getrennt auf das Bestehen seines Widerspruchsrechts hinzuweisen.
Privilegierung von Unternehmensgruppen
Ein Novum für Unternehmensgruppen findet sich in Erwägungsgrund 48. Danach können Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland (Art. 44 ff. DSGVO) bleiben dabei unberührt. Musste nach derzeitigem Recht noch jeder konzerninterne Datentransfer wie eine Übermittlung an einen Dritten auf einen Rechtfertigungsgrund gestützt werden, lässt sich dies zukünftig mit einer auf Art. 6 Abs. 1 lit. f DSGVO gestützten Interessenabwägung rechtfertigen. Zwar soll ausweislich der Formulierung des EG 48 („kann“) auch hier das Abwägungsergebnis nicht vorweggenommen werden, jedoch sprechen interne Verwaltungszwecke substantiell für das Vorliegen eines berechtigten Interesses innerhalb des Konzerns. Hierin kann eine grundsätzliche Vereinfachung des Datenaustauschs innerhalb des Konzerns gesehen werden, was ein bisher weitverbreitetes Ausweichen auf eine Auftragsdatenverarbeitung (siehe zu den Änderungen hinsichtlich der Auftragsdatenverarbeitung insb. Art. 28 DSGVO) entbehrlich macht.
