Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO – Ein Praxisleitfaden
Autor
Dr. Thomas Helbing
Veröffentlicht am
Zusammenfassung
- Art. 6 Abs. 1 lit. f DSGVO ist eine von sechs gleichrangigen Rechtsgrundlagen und keine bevorzugte Option mit niedrigeren Anforderungen.
- Eine zulässige Verarbeitung erfordert kumulativ ein berechtigtes Interesse, dessen Erforderlichkeit und eine zugunsten des Verantwortlichen ausfallende Interessenabwägung.
- Die gesamte Prüfung samt Argumentation und Ergebnis der Abwägung muss schriftlich dokumentiert werden; die Beweislast trägt der Verantwortliche.
- Betroffene haben weitreichende Rechte, insbesondere ein Widerspruchsrecht nach Art. 21 DSGVO, das bei Direktmarketing absolut wirkt.
1. Grundlegendes zur Anwendung des berechtigten Interesses
Gleichrangigkeit der Rechtsgrundlagen. Art. 6 Abs. 1 lit. f DSGVO ist eine von sechs gleichwertigen Rechtsgrundlagen und keine bevorzugte Option mit niedrigeren Anforderungen.
Die dreistufige Prüfung. Eine zulässige Verarbeitung erfordert alle drei Bedingungen kumulativ:
- Ein berechtigtes Interesse des Verantwortlichen oder Dritten muss vorliegen.
- Die Verarbeitung muss zur Verfolgung dieses Interesses erforderlich sein.
- Eine Interessenabwägung muss ergeben, dass die Interessen der betroffenen Person nicht überwiegen.
Dokumentationspflicht.
Die gesamte Prüfung, einschließlich der Argumentation und des Ergebnisses der Interessenabwägung, muss vom Verantwortlichen schriftlich dokumentiert werden.
Keine Anwendung durch Behörden. Öffentliche Stellen können diese Rechtsgrundlage bei hoheitlichen Aufgaben nicht nutzen.
2. Die Prüfung im Detail: Die drei Schritte
2.1 Schritt 1: Das Vorliegen eines berechtigten Interesses
Definition von Interesse vs. Zweck. Ein Interesse beschreibt den allgemeinen Nutzen (z. B. Absatzförderung), während der Zweck die spezifische Datenverarbeitung ist (z. B. eine konkrete Direktmarketing-Kampagne).
Kriterien für Berechtigung.
- Rechtmäßigkeit: Das Interesse darf nicht gegen geltende Gesetze verstoßen.
- Klare Formulierung: Das Interesse muss präzise formuliert sein; vage Angaben wie „Verbesserung unseres Service" reichen nicht.
- Real und gegenwärtig: Das Interesse muss zum Zeitpunkt der Verarbeitung tatsächlich bestehen.
Beziehung zwischen Verantwortlichem und betroffener Person. Ein Indikator für ein berechtigtes Interesse ist eine relevante Beziehung, wie zwischen Unternehmen und Kunden.
Anerkannte berechtigte Interessen. Der Artikel listet folgende auf:
- Direktmarketing und Absatzförderung
- Betrugsprävention
- Netz- und Informationssicherheit
- Interne Verwaltung in Unternehmensgruppen
- Geltendmachung von Rechtsansprüchen
- Eigentumsschutz durch Videoüberwachung
- Produktverbesserung und statistische Analysen
Transparenz als Voraussetzung.
Nach dem Mousse-Urteil des EuGH muss das Interesse den Betroffenen bereits bei Datenerhebung mitgeteilt werden. Ansonsten kann sich der Verantwortliche nicht auf das Interesse berufen.
Interesse des Verantwortlichen oder eines Dritten. Die Rechtsgrundlage erlaubt auch die Verfolgung von Interessen Dritter, sofern diese die erforderlichen Kriterien erfüllen.
2.2 Schritt 2: Die Erforderlichkeit der Verarbeitung
Definition von Erforderlichkeit. Erforderlich bedeutet mehr als „nützlich", „bequem" oder „wirtschaftlich sinnvoll". Eine Verarbeitung ist nur erforderlich, wenn das Ziel „vernünftigerweise nicht mit anderen, milderen Mitteln erreicht werden kann".
Datenminimierung. Die Verarbeitung muss auf das „zur Zweckerreichung unbedingt Notwendige" beschränkt sein, was eng mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verbunden ist.
Praxisfragen zur Erforderlichkeit.
- Gibt es alternative Wege, das Ziel zu erreichen, ohne personenbezogene Daten zu verarbeiten?
- Können wir das Ziel mit weniger Datenkategorien erreichen?
- Ist die geplante Speicherdauer wirklich notwendig?
2.3 Schritt 3: Die Interessenabwägung
Dies ist der Kern der Prüfung. Hier werden das berechtigte Interesse des Verantwortlichen (oder Dritten) und die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person gegeneinander abgewogen.
Die Seite der betroffenen Person. Dies umfasst nicht nur Grundrechte (Datenschutz, Privatsphäre, Meinungsfreiheit), sondern auch allgemeine Interessen wie finanzielle, soziale und Kontrollinteressen.
Faktoren, die das Gewicht der Betroffeneninteressen beeinflussen.
Art der Daten:
- Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) wie Gesundheitsdaten genießen sehr hohen Schutz.
- Strafrechtliche Verurteilungsdaten (Art. 10 DSGVO) sind besonders geschützt.
- Private Daten (Standort, Finanzen, private Kommunikation) wiegen schwerer als öffentliche Informationen.
Kontext der Verarbeitung:
- Umfang: Groß angelegte Verarbeitungen stellen schwerwiegendere Eingriffe dar.
- Machtgefälle: Ungleichgewichte wie Arbeitgeber–Arbeitnehmer erfordern besonderen Schutz.
- Datenkombination: Die Zusammenführung aus verschiedenen Quellen wiegt schwerer.
- Besonders schutzbedürftige Personen: Die Verarbeitung von Daten von Kindern erfordert einen besonders strengen Maßstab. Die Interessen des Kindes haben in der Abwägung ein sehr hohes Gewicht und überwiegen oft die Interessen des Verantwortlichen, insbesondere bei Marketing oder Profiling.
Vernünftige Erwartungen der betroffenen Person. Ein zentraler Faktor ist, ob die Person zum Zeitpunkt der Datenerhebung „vernünftigerweise damit rechnen konnte, dass ihre Daten auf diese Weise und zu diesem Zweck verarbeitet werden". Dies wird geprägt durch:
- die Beziehung zum Verantwortlichen,
- die erhaltene Transparenzinformation,
- den Kontext der Datenerhebung.
Mögliche negative Folgen. Dies umfasst finanzielle Verluste, Rufschädigung, Diskriminierung oder den sogenannten „Chilling Effect", bei dem Menschen ihr Verhalten aufgrund von Überwachungsangst ändern.
Ergebnis und risikomindernde Maßnahmen.
Der Verantwortliche kann zusätzliche Schutzmaßnahmen ergreifen, um die negativen Auswirkungen zu reduzieren und die Waage zu seinen Gunsten zu neigen. Solche Maßnahmen müssen über die ohnehin gesetzlich geschuldeten Pflichten der DSGVO hinausgehen.
Beispiele sind strenge Pseudonymisierung, erweiterte Widerspruchsrechte oder proaktive Transparenz. Die Beweislast liegt beim Verantwortlichen.
3. Die Rechte der Betroffenen bei Verarbeitung auf Basis berechtigter Interessen
Transparenz und Informationspflichten. Der Verantwortliche muss nicht nur die Rechtsgrundlage nennen, sondern auch „die konkreten berechtigten Interessen, die er verfolgt". Das Mousse-Urteil hat hier eine erhebliche Verschärfung mit sich gebracht.
Das Widerspruchsrecht (Art. 21 DSGVO).
Jede betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten auf Basis berechtigter Interessen Widerspruch einzulegen.
Nach einem Widerspruch darf die Verarbeitung nur fortgesetzt werden, wenn „zwingende schutzwürdige Gründe" nachgewiesen werden – eine höhere Hürde als die ursprüngliche Abwägung.
Absolutes Widerspruchsrecht für Direktmarketing.
Widerspricht eine Person der Verarbeitung ihrer Daten für Zwecke des Direktmarketings, ist dieser Widerspruch absolut. Die Verarbeitung muss sofort und ohne weitere Abwägung beendet werden.
Das Recht auf Löschung und Einschränkung. Ein erfolgreicher Widerspruch führt in der Regel zu Löschungsansprüchen, und die Person kann die Einschränkung der Verarbeitung während der Prüfung verlangen.
4. Anwendungsfälle in der Praxis
4.1 Direktmarketing
Obwohl das Direktmarketing im Erwägungsgrund 47 der DSGVO als potenziell berechtigtes Interesse genannt wird, ist dies kein Freibrief.
Elektronische Werbung: Spezielle Gesetze wie die ePrivacy-Richtlinie (in Deutschland TDDDG) haben Vorrang. Werbe-E-Mails erfordern grundsätzlich vorherige, aktive Einwilligung. Eine Ausnahme besteht für Bestandskundenwerbung per E-Mail unter engen Bedingungen.
Cookies und Tracking: Das TDDDG erfordert Einwilligung für die Speicherung auf Endgeräten, weshalb die anschließende Datenverarbeitung nicht auf berechtigtes Interesse gestützt werden kann.
Postalische Werbung: Art. 6 Abs. 1 lit. f DSGVO ist hier eher anwendbar, erfordert aber eine sorgfältige Abwägung der Empfängererwartungen.
Absolutes Widerspruchsrecht: Unabhängig von der Rechtsgrundlage können Personen jederzeit und bedingungslos Direktmarketing widersprechen.
4.2 Netz- und Informationssicherheit
Die Gewährleistung der Sicherheit von IT-Systemen ist ein anerkanntes berechtigtes Interesse.
Dies kann IP-Adressen zur Cyberabwehr umfassen, muss aber auf das „unbedingt erforderliche" Maß beschränkt bleiben. Exzessive Überwachung wie Deep Packet Inspection ist nicht gerechtfertigt.
4.3 Betrugsprävention
Die Verhinderung von Betrug ist ein berechtigtes Interesse.
Die Verarbeitung muss streng erforderlich und datenminimierend sein, mit Transparenz über die spezifischen Betrugsbekämpfungsmaßnahmen.
4.4 Interne Verwaltung in Unternehmensgruppen
Die Übermittlung von Daten innerhalb einer Unternehmensgruppe für zentrale Verwaltung kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, „erfordert aber eine eigene Prüfung der Erforderlichkeit und eine Interessenabwägung". Es gibt kein automatisches „Konzernprivileg".
4.5 Übermittlung von Daten an Behörden
Meldung von Straftaten: Anlassbezogene Meldung kann ein berechtigtes Interesse sein, nicht aber systematische, präventive Sammlungen. Besteht eine Meldepflicht, ist Art. 6 Abs. 1 lit. c DSGVO die richtige Grundlage.
Anfragen von Drittlandsbehörden: Ein Interesse zur Sanktionsvermeidung kann existieren, aber die Grundrechte der Person wiegen oft schwerer. Zusätzlich ist eine Rechtsgrundlage nach Kapitel V der DSGVO erforderlich.
4.6 Videoüberwachung im privaten Raum
Die Videoüberwachung zur Sicherung des eigenen Eigentums kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Die Prüfung ist jedoch sehr streng.
Es muss ein konkreter, dokumentierter Grund vorliegen (nicht nur subjektive Angst). Mildere Mittel müssen geprüft werden. Öffentliche Wege dürfen nicht erfasst werden.
4.7 Inkasso und Factoring
Die Datenübermittlung an Inkassounternehmen basiert auf dem berechtigten Interesse des Gläubigers, erfordert aber eine Prüfung, dass die Forderung fällig und unbestritten ist.
4.8 Auskunfteien und Scoring
Die Aktivität von Auskunfteien basiert auf Art. 6 Abs. 1 lit. f DSGVO. Beim Scoring „muss [die Bewertung] auf wissenschaftlich anerkannten mathematisch-statistischen Verfahren beruhen und die verwendeten Daten müssen für die Prognose der Kreditwürdigkeit nachweislich erheblich sein".
4.9 Bildveröffentlichungen
Die Veröffentlichung von Bildern, auf denen Personen erkennbar sind, erfordert eine sorgfältige Abwägung zwischen dem Informationsinteresse der Öffentlichkeit oder dem Interesse des Veröffentlichenden und dem Persönlichkeitsrecht der abgebildeten Person.
Eine rein werbliche Nutzung ohne Informationsinteresse ist ohne Einwilligung in der Regel unzulässig. DSGVO und Kunsturhebergesetz (KUG) müssen separat geprüft werden.
4.10 Unternehmenskauf (Asset Deal)
Bei Asset Deals kann die Kundendatenweitergabe auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, die Abwägung ist aber komplex und hängt vom Kundenbeziehungsstatus ab. Mitarbeiterdaten sollten in der Due-Diligence-Phase normalerweise nur anonymisiert offengelegt werden.
5. Fazit
Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO bietet Verantwortlichen eine oft unterschätzte Flexibilität. Diese Flexibilität ist jedoch mit einer gewissen Verantwortung verbunden.
Jede Verarbeitung erfordert die dreistufige Prüfung mit dokumentiertem Ergebnis, besonders bei unternehmenskritischen Verarbeitungen oder Grenzfällen.
Über den Autor
Über den Autor
Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.