Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO - Ein Praxisleitfaden

Die Datenschutz-Grundverordnung (DSGVO) sieht verschiedene Rechtsgrundlagen vor, die eine Verarbeitung personenbezogener Daten erlauben. Eine der flexibelsten, aber auch komplexesten Rechtsgrundlagen ist das sogenannte berechtigte Interesse gemäß Artikel 6 Absatz 1 Buchstabe f DSGVO. Viele Unternehmen stützen ihre Datenverarbeitungen auf diese Vorschrift, oft ohne die erforderliche, sorgfältige Prüfung im Vorfeld durchzuführen oder zu dokumentieren.

Dieser Artikel erläutert detailliert die Voraussetzungen dieser Rechtsgrundlage und bietet ein klares Prüfschema, um die Zulässigkeit einer Datenverarbeitung auf Basis berechtigter Interessen zu bewerten.

1. Grundlegendes zur Anwendung des berechtigten Interesses

Bevor wir in die Detailprüfung einsteigen, sind einige Grundprinzipien zu beachten.

Gleichrangigkeit der Rechtsgrundlagen Art. 6 Abs. 1 lit. f DSGVO ist eine von sechs gleichwertigen Rechtsgrundlagen. Es handelt sich weder um eine bevorzugte Option, die weniger strenge Anforderungen stellt, noch um eine "Auffangnorm" oder einen letzten Ausweg, wenn andere Rechtsgrundlagen wie die Einwilligung nicht greifen. Jede Verarbeitung, die auf diese Norm gestützt wird, erfordert eine eigenständige und sorgfältige Einzelfallprüfung.

Die dreistufige Prüfung Eine Datenverarbeitung ist nur dann auf ein berechtigtes Interesse gestützt zulässig, wenn drei Bedingungen kumulativ, also alle gemeinsam, erfüllt sind:

1. Es muss ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegen.

2. Die Verarbeitung der personenbezogenen Daten muss zur Verfolgung dieses Interesses erforderlich sein.

3. Eine Interessenabwägung muss ergeben, dass die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Dokumentationspflicht Die gesamte Prüfung, einschließlich der Argumentation und des Ergebnisses der Interessenabwägung, muss vom Verantwortlichen schriftlich dokumentiert werden. Dies ist Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Keine Anwendung durch Behörden Ein wichtiger Grundsatz ist, dass sich öffentliche Stellen (z.B. Behörden) bei der Erfüllung ihrer hoheitlichen Aufgaben nicht auf diese Rechtsgrundlage stützen können. Für sie gelten andere Rechtsgrundlagen, wie die Erfüllung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse.

2. Die Prüfung im Detail: Die drei Schritte

Um festzustellen, ob eine Datenverarbeitung rechtmäßig auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, muss eine dreistufige Prüfung durchlaufen werden. Fällt das Ergebnis bei einem der Schritte negativ aus, ist die Verarbeitung auf dieser Grundlage unzulässig.

a) Schritt 1: Das Vorliegen eines berechtigten Interesses

Zunächst muss geprüft werden, ob überhaupt ein Interesse vorliegt, das als "berechtigt" im Sinne der DSGVO gilt.

Was ist ein berechtigtes Interesse? Ein Interesse beschreibt den allgemeinen Nutzen, den ein Verantwortlicher oder ein Dritter aus der Verarbeitung zieht, beispielsweise die Absatzförderung oder die Sicherung des eigenen Eigentums. Der Zweck ist hingegen der spezifische Grund für die konkrete Datenverarbeitung, etwa die Durchführung einer Direktmarketing-Kampagne.

Damit ein Interesse als berechtigt gilt, muss es drei Kriterien erfüllen:

• Rechtmäßigkeit: Das Interesse darf nicht gegen geltendes EU-Recht oder nationales Recht verstoßen. Es muss nicht explizit im Gesetz verankert sein, aber es darf unter keinen Umständen illegal sein.

• Klare Formulierung: Das Interesse muss so klar und präzise formuliert sein, dass eine nachvollziehbare Abwägung möglich ist. Vage Angaben wie "Verbesserung unseres Services" sind nicht ausreichend.

• Real und gegenwärtig: Das Interesse muss zum Zeitpunkt der Verarbeitung tatsächlich bestehen. Es darf nicht spekulativ oder auf hypothetischen zukünftigen Ereignissen basieren.

Ein Indikator für ein berechtigtes Interesse kann eine relevante und angemessene Beziehung zwischen dem Verantwortlichen und der betroffenen Person sein, wie sie beispielsweise zwischen einem Unternehmen und seinen Kunden besteht.

Beispiele für anerkannte berechtigte Interessen Die DSGVO und die Aufsichtsbehörden erkennen eine Vielzahl von Interessen als potenziell berechtigt an. Dazu gehören unter anderem:

• Direktmarketing / Absatzförderung (unter Beachtung spezieller Vorschriften wie dem des Wettbewerbsrechts)

• Betrugsprävention

• Gewährleistung der Netz- und Informationssicherheit, z.B. zum Schutz vor Cyberangriffen

• Interne Verwaltungszwecke innerhalb einer Unternehmensgruppe

• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

• Schutz von Eigentum, beispielsweise durch Videoüberwachung an einem konkret gefährdeten Ort

• Produktverbesserung oder statistische Analysen zur Optimierung von Webseiten

Transparenz als Voraussetzung Eine wichtige Voraussetzung ist, dass der betroffenen Person das verfolgte berechtigte Interesse klar und verständlich mitgeteilt wird, und zwar bereits zum Zeitpunkt der Datenerhebung. Nach dem Mousse Urteil des EuGH muss das Interesse den Betroffenen bereits bei Datenerhebung mitgeteilt werden. Ansonsten kann sich der Verantwortliche nicht auf das Interesse berufen. Die Verletzung der Transparenzpflicht schlägt also so die Rechtsmäßigkeit der Datenverarbeitung durch. Daher gilt: Im Zweifel die Interssen sehr ausführlich in den Datenschutzhinweisen ausführen!

Interesse des Verantwortlichen oder eines Dritten Die Rechtsgrundlage erlaubt nicht nur die Verfolgung eigener Interessen des Verantwortlichen, sondern auch die von Dritten. Wenn beispielsweise Daten an eine Auskunftei übermittelt werden, dient dies dem Interesse der Auskunftei und ihrer anderen Kunden. Auch in diesem Fall muss das Interesse des Dritten die oben genannten Kriterien (rechtmäßig, klar, real) erfüllen.

b) Schritt 2: Die Erforderlichkeit der Verarbeitung

Ist ein berechtigtes Interesse identifiziert, muss im zweiten Schritt geprüft werden, ob die konkrete Datenverarbeitung zur Erreichung dieses Ziels erforderlich ist.

Was bedeutet "erforderlich"? Der Begriff der Erforderlichkeit ist im Datenschutzrecht streng auszulegen. Erforderlich bedeutet mehr als nur "nützlich", "bequem" oder "wirtschaftlich sinnvoll". Eine Verarbeitung ist nur dann erforderlich, wenn das verfolgte Ziel vernünftigerweise nicht mit anderen, milderen Mitteln erreicht werden kann, die weniger stark in die Rechte der betroffenen Personen eingreifen.

Die Verarbeitung muss auf das zur Zweckerreichung unbedingt Notwendige beschränkt sein. Dies steht in engem Zusammenhang mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Es dürfen nur die Daten verarbeitet werden, die für den spezifischen Zweck wirklich gebraucht werden.

Praxishinweis zur Erforderlichkeit Stellen Sie sich folgende Fragen:

• Gibt es alternative Wege, das Ziel zu erreichen, ohne personenbezogene Daten zu verarbeiten (z.B. durch anonymisierte Daten)? Hier ist Kreativität gefragt: Überlegen Sie Alterantiven, auch wenn dies abwegig erscheinen, gehen Sie darauf ein, um später nicht angreifbar zu sein. 

• Können wir das Ziel auch mit weniger Datenkategorien erreichen?

• Ist die geplante Speicherdauer wirklich notwendig oder kann sie verkürzt werden?

Wenn es eine weniger einschneidende, aber gleich effektive Alternative gibt, ist die geplante Verarbeitung nicht erforderlich und somit unzulässig.

c) Schritt 3: Die Interessenabwägung

Dies ist der Kern der Prüfung. Hier werden das berechtigte Interesse des Verantwortlichen (oder Dritten) und die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person gegeneinander abgewogen.

Die Verarbeitung ist nur zulässig, wenn die Interessen des Verantwortlichen am Ende nicht von den Rechten der betroffenen Person aufgewogen werden.

Die Seite der betroffenen Person Auf dieser Seite der Waagschale liegen nicht nur die bekannten Grundrechte wie das Recht auf Datenschutz, Privatsphäre, Meinungsfreiheit oder die körperliche Unversehrtheit. Auch die allgemeinen Interessen der Person müssen berücksichtigt werden. Dazu zählen finanzielle Interessen (z.B. die Vermeidung von Verlusten), soziale Interessen (z.B. der Schutz der eigenen Reputation) und das Interesse an Kontrolle über die eigenen Daten.

Faktoren, die das Gewicht der Betroffeneninteressen beeinflussen Die Intensität des Eingriffs in die Rechte der betroffenen Person hängt von verschiedenen Faktoren ab, die in der Abwägung berücksichtigt werden müssen.

Art der Daten Je sensibler die verarbeiteten Daten sind, desto schwerer wiegen die Interessen der betroffenen Person.

• Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), wie Gesundheitsdaten oder politische Meinungen, genießen einen sehr hohen Schutz. Eine Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO ist hier nur in sehr engen Ausnahmefällen denkbar und erfordert zusätzlich eine Rechtfertigung nach Art. 9 Abs. 2 DSGVO.

• Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) sind ebenfalls besonders geschützt.

• Daten, die als sehr privat empfunden werden (z.B. Standortdaten, Finanzdaten, private Kommunikation), wiegen schwerer als eher öffentliche Informationen (z.B. berufliche Kontaktdaten).

Kontext der Verarbeitung Auch die Umstände der Verarbeitung spielen eine entscheidende Rolle.

• Umfang: Eine groß angelegte Verarbeitung, die viele Personen oder viele Daten pro Person betrifft, stellt einen schwerwiegenderen Eingriff dar.

• Machtgefälle: Besteht ein Machtungleichgewicht, wie zwischen Arbeitgeber und Arbeitnehmer, sind die Interessen des Arbeitnehmers besonders zu schützen.

• Datenkombination: Werden Daten aus verschiedenen Quellen zusammengeführt, um detaillierte Profile zu erstellen, wiegt der Eingriff deutlich schwerer.

• Besonders schutzbedürftige Personen: Die Verarbeitung von Daten von Kindern erfordert einen besonders strengen Maßstab. Die Interessen des Kindes haben in der Abwägung ein sehr hohes Gewicht und überwiegen oft die Interessen des Verantwortlichen, insbesondere bei Marketing oder Profiling.

Die vernünftigen Erwartungen der betroffenen Person Ein zentraler Faktor in der Abwägung sind die vernünftigen Erwartungen der betroffenen Person. Konnte die Person zum Zeitpunkt der Datenerhebung vernünftigerweise damit rechnen, dass ihre Daten auf diese Weise und zu diesem Zweck verarbeitet werden? Diese Erwartungen werden geprägt durch:

• Die Beziehung zum Verantwortlichen (z.B. Kunde, Mitarbeiter, reiner Website-Besucher).

• Die Transparenz der Information, die sie erhalten hat. Eine reine Information in der Datenschutzerklärung schafft aber nicht automatisch eine vernünftige Erwartung.

• Den Kontext der Datenerhebung (z.B. erwartet man in einer Bank eher eine Videoüberwachung als in einer Umkleidekabine).

Eine Verarbeitung, die für die betroffene Person überraschend kommt, wird in der Abwägung tendenziell als unzulässig bewertet.

Mögliche negative Folgen Die Abwägung muss auch die potenziellen negativen Auswirkungen für die betroffene Person berücksichtigen. Dazu gehören finanzielle Verluste, Rufschädigung, Diskriminierung oder der Ausschluss von Dienstleistungen. Auch ein sogenannter "Chilling Effect" ist relevant, bei dem Menschen aus Angst vor Überwachung ihr Verhalten ändern und beispielsweise ihre Meinungsfreiheit nicht mehr voll ausüben.

Das Ergebnis der Abwägung und risikomindernde Maßnahmen Nachdem alle Faktoren bewertet wurden, muss eine Gesamtabwägung erfolgen. Überwiegen die Interessen der betroffenen Person, ist die Verarbeitung unzulässig. 

Allerdings kann der Verantwortliche zusätzliche Schutzmaßnahmen ergreifen, um die negativen Auswirkungen zu reduzieren und die Waage zu seinen Gunsten zu neigen. Solche Maßnahmen müssen über die ohnehin gesetzlich geschuldeten Pflichten der DSGVO hinausgehen. Beispiele sind eine besonders strenge Pseudonymisierung, erweiterte und leicht auszuübende Widerspruchsrechte oder eine besonders proaktive Transparenz. Nach Implementierung solcher Maßnahmen muss die Abwägung erneut durchgeführt werden.

Die Beweislast für das Ergebnis der Abwägung liegt immer beim Verantwortlichen.

3. Die Rechte der Betroffenen bei Verarbeitung auf Basis berechtigter Interessen

Auch wenn eine Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann, müssen die Rechte der betroffenen Personen gewahrt bleiben. Einige Rechte haben in diesem Kontext eine besondere Bedeutung.

Transparenz und Informationspflichten Der Verantwortliche muss die betroffene Person klar und verständlich informieren. Dabei muss er nicht nur die Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) nennen, sondern auch die konkreten berechtigten Interessen, die er verfolgt. Hier hat das erwähnte Mousse Urteil des EuGH Anfang 2025 eine erhebliche Verschärfung mit sich gebracht. 

Das Widerspruchsrecht (Art. 21 DSGVO) Dies ist das wichtigste Recht in diesem Zusammenhang. Jede betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten auf Basis berechtigter Interessen Widerspruch einzulegen.

Nach einem Widerspruch darf der Verantwortliche die Daten nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen der betroffenen Person überwiegen. Diese Hürde ist deutlich höher als die der ursprünglichen Interessenabwägung. Ein bloßes wirtschaftliches Interesse reicht hier in der Regel nicht aus.

Eine wichtige Ausnahme ist das Direktmarketing: Widerspricht eine Person der Verarbeitung ihrer Daten für Zwecke des Direktmarketings, ist dieser Widerspruch absolut. Die Verarbeitung muss sofort und ohne weitere Abwägung beendet werden.

Das Recht auf Löschung (Art. 17 DSGVO) Ein erfolgreicher Widerspruch führt in der Regel auch zu einem Anspruch auf Löschung der betreffenden Daten.

Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Legt eine Person Widerspruch ein, kann sie für die Dauer der Prüfung durch den Verantwortlichen verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird. Die Daten dürfen dann im Wesentlichen nur noch gespeichert, aber nicht mehr aktiv genutzt werden.

4. Anwendungsfälle in der Praxis: Eine detaillierte Betrachtung

Die abstrakten Kriterien des Art. 6 Abs. 1 lit. f DSGVO werden am besten durch die Betrachtung konkreter Anwendungsfälle verständlich. Die Zulässigkeit einer Verarbeitung hängt hierbei immer stark vom jeweiligen Kontext ab.

a) Direktmarketing

Obwohl das Direktmarketing im Erwägungsgrund 47 der DSGVO als potenziell berechtigtes Interesse genannt wird, ist dies kein Freibrief. Die Anwendbarkeit von Art. 6 Abs. 1 lit. f DSGVO ist hier stark eingeschränkt.

• Elektronische Werbung (E-Mail, SMS etc.): Hier haben spezielle Gesetze wie die ePrivacy-Richtlinie (in Deutschland im TDDDG umgesetzt) Vorrang. Für Werbe-E-Mails ist grundsätzlich eine vorherige, aktive Einwilligung erforderlich. Art. 6 Abs. 1 lit. f DSGVO ist in diesem Fall keine gültige Rechtsgrundlage. Eine sehr enge Ausnahme besteht für die Bestandskundenwerbung per E-Mail, wenn die Kontaktdaten im Rahmen eines Verkaufs erhoben wurden, nur für eigene ähnliche Produkte geworben wird, der Kunde klar auf sein Widerspruchsrecht hingewiesen wurde und nicht widersprochen hat. Selbst in diesem Fall muss zusätzlich die dreistufige Interessenabwägung positiv ausfallen.

• Cookies und Tracking: Für das Speichern von Informationen auf dem Endgerät eines Nutzers oder den Zugriff darauf (z.B. durch Marketing-Cookies oder Tracking-Pixel) ist nach dem TDDDG ebenfalls eine Einwilligung erforderlich. Damit kann auch die anschließende Verarbeitung der so gewonnenen Daten in der Regel nicht auf ein berechtigtes Interesse gestützt werden.

• Postalische Werbung: Da Briefwerbung nicht unter die ePrivacy-Regeln fällt, ist Art. 6 Abs. 1 lit. f DSGVO hier eher anwendbar. Dennoch ist eine sorgfältige Abwägung erforderlich, die die Erwartungen des Empfängers und die Intensität der Datennutzung (z.B. für Profiling) berücksichtigt.

• Absolutes Widerspruchsrecht: Unabhängig von der Rechtsgrundlage hat jede Person das Recht, jederzeit und ohne Angabe von Gründen der Verarbeitung ihrer Daten für Direktmarketingzwecke zu widersprechen (Art. 21 Abs. 2 DSGVO). Diesem Widerspruch muss der Verantwortliche bedingungslos nachkommen.

b) Netz- und Informationssicherheit

Die Gewährleistung der Sicherheit von IT-Systemen ist ein anerkanntes berechtigtes Interesse. Dies kann beispielsweise die Verarbeitung von IP-Adressen zur Abwehr von Cyberangriffen oder zur Sicherstellung der Funktionsfähigkeit einer Webseite umfassen. Die Verarbeitung muss jedoch auf das unbedingt erforderliche Maß beschränkt sein. Exzessive Überwachungsmaßnahmen wie eine anlasslose Tiefenanalyse des gesamten Datenverkehrs (Deep Packet Inspection) sind damit nicht zu rechtfertigen. Zudem ist zu prüfen, ob nicht andere Rechtsgrundlagen, wie eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) aus Gesetzen wie der NIS-2-Richtlinie, vorrangig sind.

c) Betrugsprävention

Auch die Verhinderung von Betrug ist ein berechtigtes Interesse. Die Verarbeitung muss jedoch auch hier streng erforderlich und datenminimierend sein. Die Abwägung muss die Schwere des zu verhindernden Betrugs berücksichtigen. Wichtig ist zudem die Transparenz: Ein allgemeiner Verweis auf "Betrugsbekämpfung" in der Datenschutzerklärung ist nicht präzise genug. Werden Daten, die ursprünglich für einen anderen Zweck erhoben wurden, zur Aufdeckung eines Betrugsfalls genutzt, muss die Vereinbarkeit dieses neuen Zwecks geprüft werden.

d) Interne Verwaltung in Unternehmensgruppen

Die Übermittlung von Kunden- oder Mitarbeiterdaten innerhalb einer Unternehmensgruppe für zentrale Verwaltungszwecke (z.B. gemeinsames IT-System, zentrale Personalabteilung) kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Dies ist jedoch kein Automatismus. Es gibt wie auch im alten BDSG unter der DSGVO ein "Konzernprivileg", das eine Konzerninterne Weitergabe von Daten per se erlauben würde. Für jede Übermittlung ist eine eigene Prüfung der Erforderlichkeit und eine Interessenabwägung notwendig. Dabei spielen die vernünftigen Erwartungen der Betroffenen eine große Rolle: Tritt der Konzern nach außen als eine Einheit auf? Bei der Übermittlung von Mitarbeiterdaten sind zudem spezielle nationale Regelungen (in Deutschland § 26 BDSG) vorrangig zu beachten.

e) Übermittlung von Daten an Behörden

Die Weitergabe von Daten an staatliche Stellen ist ein sensibler Bereich.

• Meldung von Straftaten: Die anlassbezogene Meldung einer möglichen Straftat im Einzelfall kann ein berechtigtes Interesse sein. Eine systematische, präventive Sammlung von Daten zur allgemeinen Kriminalitätsbekämpfung ist jedoch unzulässig. Ein rein kommerzielles Unternehmen hat zudem in der Regel kein berechtigtes Interesse daran, Straftaten zu melden, die keinen Bezug zur eigenen Geschäftstätigkeit haben. Besteht eine gesetzliche Meldepflicht, ist Art. 6 Abs. 1 lit. c DSGVO die korrekte Rechtsgrundlage.

• Anfragen von Drittlandsbehörden: Erhält ein Unternehmen eine Anfrage von einer Behörde außerhalb der EU/des EWR, könnte es ein Interesse daran haben, dieser nachzukommen, um Sanktionen zu vermeiden. In der Interessenabwägung wiegen die Grundrechte der betroffenen Person jedoch oft schwerer. Wichtig ist, dass eine solche Übermittlung zusätzlich immer eine Rechtsgrundlage nach Kapitel V der DSGVO (z.B. Angemessenheitsbeschluss, Standardvertragsklauseln) erfordert.

f) Videoüberwachung im privaten Raum

Die Videoüberwachung zur Sicherung des eigenen Eigentums kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Die Prüfung ist jedoch sehr streng:

• Berechtigtes Interesse: Es muss ein konkreter, dokumentierter Grund vorliegen, z.B. wiederholte Vandalismusschäden. Eine rein subjektive Angst reicht nicht aus.

• Erforderlichkeit: Mildere Mittel wie bessere Beleuchtung oder Alarmanlagen müssen geprüft werden. Die Aufzeichnung muss auf das Nötigste beschränkt sein (z.B. nur bestimmte Zeiten, kurze Speicherdauer von z.B. 72 Stunden).

• Interessenabwägung: Öffentliche Wege, Gehwege oder Nachbargrundstücke dürfen nicht erfasst werden. Die Interessen von Besuchern, Postboten oder Passanten müssen gewahrt bleiben.

g) Inkasso und Factoring

Die Übermittlung von Daten an ein Inkassounternehmen zur Durchsetzung einer Forderung stützt sich auf das berechtigte Interesse des Gläubigers. Voraussetzung ist, dass die Forderung fällig und unbestritten ist. Der Gläubiger hat eine Prüfungspflicht, bevor er die Daten weitergibt. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, nicht die Vertragserfüllung, da das Inkassounternehmen ein Dritter ist.

h) Auskunfteien und Scoring

Die Tätigkeit von Auskunfteien basiert auf Art. 6 Abs. 1 lit. f DSGVO. Bei der Übermittlung von Negativdaten (z.B. unbezahlte Rechnungen) muss eine strenge Abwägung erfolgen, die sich an Kriterien wie der Fälligkeit und dem Nichtbestreiten der Forderung orientiert. Das sogenannte Scoring (die Erstellung von Bonitätswerten) muss auf wissenschaftlich anerkannten mathematisch-statistischen Verfahren beruhen und die verwendeten Daten müssen für die Prognose der Kreditwürdigkeit nachweislich erheblich sein.

i) Bildveröffentlichungen

Die Veröffentlichung von Bildern, auf denen Personen erkennbar sind, erfordert eine sorgfältige Abwägung zwischen dem Informationsinteresse der Öffentlichkeit oder dem Interesse des Veröffentlichenden und dem Persönlichkeitsrecht der abgebildeten Person. Der Kontext ist entscheidend: Eine Aufnahme auf einer öffentlichen Veranstaltung wird anders bewertet als ein Bild aus dem privaten Umfeld. Eine rein werbliche Nutzung ohne Informationsinteresse ist ohne Einwilligung in der Regel unzulässig. Neben diesen DSGVO Anforerungen sind parallel die Maßgeben des Kunsturhebergesetzes (KUG) zu beachten. DSGVO und KUG sind also gesondert zu prüfen. 

j) Unternehmenskauf (Asset Deal)

Bei einem Unternehmenskauf, bei dem Vermögenswerte (Asset Deal) und nicht nur Anteile (Share Deal) übertragen werden, ist die Weitergabe von Kundendaten eine Datenverarbeitung, die ggf. auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Die Interessenabwägung ist komplex und hängt vom Status der Kundenbeziehung ab. Während der Due-Diligence-Phase gilt eine strenge Erforderlichkeit; personenbezogene Daten, insbesondere von Mitarbeitern, sollten dann in der Regel nur in anonymisierter oder pseudonymisierter Form offengelegt werden.

5. Fazit

Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO bietet Verantwortlichen eine oft unterschätzte Flexibilität. Diese Flexibilität ist jedoch mit einer gewissen Verantwortung verbunden. Jede darauf gestützte Verarbeitung erfordert eine dreistufige Prüfung, die das berechtigte Interesse, die Erforderlichkeit der Verarbeitung und eine umfassende Interessenabwägung umfasst. Das Ergebnis dieser Prüfung sollte dokumentiert werden, jedenfalls bei unternehmenskritischen Verarbeitungen oder "Grenzfällen".