Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Nach Art. 6 Abs. 1 lit. f DSGVO ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern. Lit. f ist die wichtigste offene Rechtsgrundlage des Art. 6 DSGVO und deckt einen großen Teil der privatwirtschaftlichen Datenverarbeitung ab.

1 Überblick

1.1 Rechtsfolge und Funktion

Lit. f legitimiert Verarbeitungen, die sich weder auf Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen noch auf eine öffentliche Aufgabe stützen lassen. Die zentrale Funktion der Norm ist der Ausgleich zwischen den berechtigten Interessen des Verantwortlichen und dem Datenschutzinteresse der betroffenen Person.

Die DSGVO stellt lit. f auf eine Stufe mit den übrigen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO. Ein Rangverhältnis der Rechtsgrundlagen untereinander besteht nicht (EDPB, Leitlinien 1/2024 vom 08.10.2024 zur Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, Rn. 1).

1.2 Kein Auffang- und kein Vorzugstatbestand

Lit. f ist weder eine „letzte Zuflucht" für seltene oder unerwartete Verarbeitungen noch ein bevorzugter Tatbestand, weil die Norm scheinbar weniger strenge Voraussetzungen stellt als etwa die Einwilligung. Die offene Struktur bedeutet nicht, dass alle Verarbeitungen, die sich nicht unter die übrigen Rechtsgrundlagen subsumieren lassen, automatisch über lit. f abgefangen werden können. Lit. f ist wie jede Rechtsgrundlage des Art. 6 Abs. 1 DSGVO restriktiv auszulegen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 92 f.; EDPB-Leitlinien 1/2024, Rn. 9).

1.3 Dreistufige Prüfung

Der EuGH hat für lit. f eine dreistufige Prüfung entwickelt (EuGH, Urt. v. 04.05.2017, C-13/16, Rīgas satiksme, Rn. 28; EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari, Rn. 40; EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 75):

1. Liegt ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vor?
2. Ist die Verarbeitung zur Verwirklichung dieses Interesses erforderlich?
3. Überwiegen die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person das berechtigte Interesse?

Alle drei Stufen müssen kumulativ erfüllt sein. Die Stufen zwei und drei können sich verschränken: Ob ein milderes Mittel besteht, lässt sich in manchen Konstellationen nicht unabhängig von der Abwägung bestimmen (EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 92). Die Prüfung ist vor Aufnahme der Verarbeitung durchzuführen und zu dokumentieren; ist ein Datenschutzbeauftragter benannt, ist er zu beteiligen (Art. 38 Abs. 1 DSGVO).

Bei mehreren Zwecken ist für jeden einzelnen Zweck eine eigene Rechtsgrundlage zu bestimmen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 90). Eine Sammelrechtfertigung mehrerer Verarbeitungszwecke über eine einzige Abwägung ist nicht zulässig.

Die drei Stufen bauen aufeinander auf: Scheitert die Prüfung auf einer Stufe, ist die Verarbeitung nicht auf lit. f zu stützen; nur wenn alle drei Stufen erfüllt sind, ist sie rechtmäßig.

1.4 Behördenausschluss nach Art. 6 Abs. 1 UA 2 DSGVO

Behörden können sich auf lit. f nicht stützen, soweit sie in Erfüllung ihrer Aufgaben handeln (Art. 6 Abs. 1 UA 2 DSGVO). Das ergibt sich aus der abschließenden Regelungssystematik des Art. 6 Abs. 1 DSGVO für den öffentlichen Bereich: Behörden benötigen für ihre Verarbeitungen eine spezifische Rechtsgrundlage nach lit. c oder e. Wird eine Behörde außerhalb ihrer hoheitlichen Aufgaben privatwirtschaftlich tätig und lässt die mitgliedstaatliche Rechtsordnung diese Tätigkeit zu, bleibt eine Berufung auf lit. f in engen Ausnahmefällen möglich, muss aber intern dokumentiert werden (EDPB-Leitlinien 1/2024, Rn. 98 f.). Für Anfragen von Privaten an Behörden gilt: Die Behörde muss selbst auf einer hinreichend bestimmten gesetzlichen Verarbeitungsgrundlage zur Übermittlung berechtigt und verpflichtet sein; es reicht nicht, dass der anfragende Private ein berechtigtes Interesse im Sinne des lit. f hat.

1.5 Darlegungs- und Beweislast

Der Verantwortliche trägt die Darlegungs- und Beweislast für das Vorliegen aller drei Stufen. Das folgt aus der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO und wurde vom EuGH wiederholt bestätigt (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 95).

2 Stufe 1: Berechtigtes Interesse

2.1 Begriff und Abgrenzung zum Zweck

Zweck und Interesse sind nicht dasselbe. Der Zweck nach Art. 5 Abs. 1 lit. b DSGVO ist der konkrete Anlass der Verarbeitung; das Interesse ist der dahinterstehende wirtschaftliche, rechtliche oder ideelle Beweggrund. Ein Unternehmen kann ein Interesse an der Bewerbung seiner Produkte haben; der daraus abgeleitete Zweck ist etwa der Versand von Werbe-E-Mails an Bestandskunden.

Berechtigt ist grundsätzlich jedes Interesse, das rechtlich nicht zu beanstanden ist: wirtschaftliche, rechtliche, ideelle oder tatsächliche Interessen können alle einschlägig sein. Die Schwelle für die Anerkennung als Interesse ist niedrig; das Interesse muss nicht gesetzlich benannt sein.

2.2 Drei kumulative Anforderungen

Ein Interesse ist nur dann ein „berechtigtes" im Sinne des lit. f, wenn drei Anforderungen kumulativ erfüllt sind (EDPB-Leitlinien 1/2024, Rn. 17):

• Rechtmäßig. Das Interesse darf nicht gegen Unions- oder mitgliedstaatliches Recht verstoßen. Ein rein kommerzielles Interesse kann genügen, wenn es nicht rechtswidrig ist (EuGH, Urt. v. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond, Rn. 40, 49). Ist die angestrebte Verarbeitung in einer Spezialnorm verboten (etwa elektronische Werbung für E-Zigaretten nach der Tabakprodukte-Richtlinie), fällt die Berufung auf lit. f an der ersten Stufe aus.
• Klar und präzise formuliert. Der Verantwortliche muss das Interesse so konkret beschreiben, dass es auf den folgenden Stufen geprüft werden kann. Formeln wie „eigenes Geschäftsinteresse" oder „Schutz zum Wohle der Allgemeinheit" sind zu vage. Eine Nachbarschafts-Initiative, die „zum Schutz der Gemeinschaft" eine Videoüberwachung installieren will, ohne konkrete Vorfälle zu benennen, scheitert bereits am Präzisionserfordernis.
• Tatsächlich und gegenwärtig. Ein fiktives, hypothetisches oder bloß spekulatives Interesse genügt nicht (EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari, Rn. 44). Eine Zeitung, die eine Datenbank ehemaliger Abonnenten für eine erst hypothetische künftige Neuauflage anlegt, verarbeitet nicht zu einem realen Interesse. Erforderlich ist auch keine bereits eingetretene Beeinträchtigung: der Verantwortliche darf sein Interesse vorbeugend verfolgen, solange es greifbar und gegenwärtig ist.

Das Interesse muss zudem bereits im Zeitpunkt der Verarbeitung bestehen. Nachträglich begründete Interessen können eine Verarbeitung nicht rückwirkend rechtfertigen (EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari, Rn. 44).

2.3 Eigene und Drittinteressen

Lit. f erfasst sowohl eigene Interessen des Verantwortlichen als auch Interessen Dritter, denen die Daten übermittelt werden. Die Rechtmäßigkeit des Drittinteresses wird nach denselben Kriterien geprüft wie die des Eigeninteresses.

Typische Kontexte für Drittinteressen sind:

• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Das Interesse Dritter, die Identität eines Schädigers zu erfahren, um zivilrechtliche Ansprüche zu verfolgen, ist als berechtigtes Interesse anerkannt (EuGH, Urt. v. 04.05.2017, C-13/16, Rīgas satiksme, Rn. 29; EuGH, Urt. v. 17.06.2021, C-597/19, M.I.C.M., Rn. 108).
• Offenlegung zu Transparenz- und Rechenschaftszwecken. Wenn etwa Gehälter der Unternehmensleitung ohne gesetzliche Verpflichtung offengelegt werden, erfolgt das primär im Interesse der Mitarbeitenden oder Gesellschafter.
• Wissenschaftliche oder historische Forschung. Drittinteressen an Forschungsergebnissen können über lit. f berücksichtigt werden.
• Gesellschaftsrechtliche Informationsbegehren. Das Interesse eines Gesellschafters an den Daten der übrigen Gesellschafter, um mit ihnen in Kontakt zu treten oder Anteile zu erwerben, kann berechtigt sein (EuGH, Urt. v. 12.09.2024, C-17/22 und C-18/22, HTB Neunte Immobilien/Ökorenta, Rn. 56 f.).

Die Erforderlichkeit ist bei Drittinteressen in der Praxis schwieriger darzulegen als bei eigenen Interessen; die Verarbeitung ist für die Betroffenen regelmäßig weniger erwartbar.

2.4 Abgrenzung zum Allgemeininteresse

Interessen der Allgemeinheit (etwa öffentliche Sicherheit, Gesundheitsschutz) sind grundsätzlich über lit. c oder lit. e zu decken, nicht über lit. f. Lit. f bleibt nur dann anwendbar, wenn sich ein konkretes eigenes oder fremdes Interesse benennen lässt, das zugleich mittelbar dem Allgemeininteresse dient. Lit. f darf nicht zur Umgehung gesetzlicher Anforderungen an öffentliche Aufgaben herangezogen werden.

2.5 In der Rechtsprechung anerkannte Interessen

Als berechtigte Interessen hat der EuGH unter anderem anerkannt: Zugang zu Online-Informationen (EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain, Rn. 81; EuGH, Urt. v. 24.09.2019, C-136/17, GC u.a./CNIL, Rn. 53), Funktionsfähigkeit öffentlich zugänglicher Websites (EuGH, Urt. v. 19.10.2016, C-582/14, Breyer, Rn. 60), Schutz von Eigentum, Gesundheit und Leben der Miteigentümer einer Wohnanlage (EuGH, Urt. v. 11.12.2019, C-708/18, Asociaţia de Proprietari, Rn. 42), Produktverbesserung (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 122) und Bonitätsbewertung (EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 83).

2.6 In den Erwägungsgründen genannte Beispiele

Erwägungsgrund 47 nennt als Beispiele für berechtigte Interessen die Verarbeitung für Zwecke der Direktwerbung, die Verhinderung von Betrug sowie die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke. Erwägungsgrund 49 ergänzt die Gewährleistung der Netz- und Informationssicherheit. Erwägungsgrund 50 nennt die Meldung möglicher Straftaten oder Gefahren für die öffentliche Sicherheit an die zuständige Behörde im Einzelfall.

3 Stufe 2: Erforderlichkeit

3.1 „Notwendig", nicht „nützlich"

Die Verarbeitung muss zur Verwirklichung des berechtigten Interesses notwendig sein. Notwendigkeit ist ein eigenständiger unionsrechtlicher Begriff und umfasst nicht alles, was dem Interesse lediglich nützt. Sie ist im Licht der Grundrechte auf Privatsphäre und Datenschutz sowie der Grundsätze des Art. 5 DSGVO auszulegen (EuGH, Urt. v. 16.12.2008, C-524/06, Huber, Rn. 52).

3.2 Strenger Maßstab und Kopplung an die Datenminimierung

Der EuGH hat den Maßstab deutlich verschärft: Erforderlich ist die Verarbeitung nur, wenn sie in den „Grenzen des unbedingt Notwendigen" bleibt (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 106, 126; EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 88). Die Erforderlichkeit ist zusammen mit dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO zu prüfen: verarbeitet werden dürfen nur Daten, die „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind.

3.3 Keine milderen Mittel

Bestehen mildere, gleich geeignete Alternativen, scheidet die Verarbeitung aus. Der Verantwortliche muss prüfen, ob er das Interesse auch mit weniger oder anderen Daten, mit pseudonymisierten oder aggregierten Datensätzen oder mit zeitlich begrenzten Verarbeitungen erreichen kann. Lässt sich das Ergebnis mit einem milderen Mittel ebenso effektiv erreichen, darf nicht auf lit. f gestützt werden (EuGH, Urt. v. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond, Rn. 42 f., 51 f.).

3.4 Widerspruchsrecht spielt keine Rolle

Bei der Prüfung der Erforderlichkeit bleibt das Widerspruchsrecht aus Art. 21 DSGVO außer Betracht. Ob die betroffene Person der Verarbeitung später widersprechen kann, macht die Verarbeitung nicht erforderlicher oder weniger eingriffsintensiv; die Erforderlichkeit ist anhand objektiver Kriterien zu prüfen, unabhängig von den späteren Reaktionsmöglichkeiten des Betroffenen (EuGH, Urt. v. 09.01.2025, C-394/23, Mousse, Rn. 65 ff.).

4 Stufe 3: Interessenabwägung

4.1 Vier Prüfschritte

Der EDPB empfiehlt eine strukturierte Abwägung in vier Schritten: Zunächst werden die Interessen, Grundrechte und Grundfreiheiten der Betroffenen identifiziert. Sodann sind die Auswirkungen der Verarbeitung zu erfassen, und zwar anhand der Art der Daten, des Verarbeitungskontexts und der weiteren Folgen. Im dritten Schritt werden die vernünftigen Erwartungen der Betroffenen bestimmt. Zuletzt erfolgt die eigentliche Abwägung, gegebenenfalls mit ergänzenden Milderungsmaßnahmen (EDPB-Leitlinien 1/2024, Rn. 32).

Die Abwägung zielt nicht darauf, jede Auswirkung auf die Betroffenen zu vermeiden, sondern darauf, unverhältnismäßige Folgen auszuschließen. Sie erfolgt einzelfallbezogen und ist zu dokumentieren.

4.2 Grundrechtspositionen der betroffenen Person

Einzustellen sind insbesondere:

• Recht auf Schutz personenbezogener Daten (Art. 8 GRC),
• Recht auf Achtung des Privat- und Familienlebens (Art. 7 GRC, Art. 8 EMRK),
• Unschuldsvermutung (Art. 6 Abs. 2 EMRK),
• Berufsfreiheit (Art. 15 GRC),
• Menschenwürde (Art. 1 GRC),
• Meinungs-, Versammlungs- und Religionsfreiheit, Diskriminierungsverbot, Eigentum, körperliche und geistige Unversehrtheit, soweit durch die Verarbeitung unmittelbar oder mittelbar berührt.

Neben Grundrechten sind ausdrücklich auch „Interessen" der Betroffenen einzustellen: finanzielle, soziale und persönliche Belange, die durch die Verarbeitung berührt werden.

4.3 Grundrechtspositionen des Verantwortlichen

Aufseiten des Verantwortlichen sind insbesondere einzustellen:

• unternehmerische Freiheit (Art. 16 GRC),
• Meinungs- und Informationsfreiheit (Art. 11 GRC), allerdings nur eingeschränkt für rein wirtschaftlich orientierte Online-Anbieter (BVerfG, Beschl. v. 06.11.2019, 1 BvR 276/17, Recht auf Vergessen II, Rn. 105; EuGH, Urt. v. 24.09.2019, C-136/17, GC u.a./CNIL).

4.4 Art der Daten

Je sensibler die Daten, desto stärker das Schutzinteresse der Betroffenen. Besondere Kategorien nach Art. 9 DSGVO lassen sich grundsätzlich nicht auf lit. f stützen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 90). Ein Datensatz, der mindestens ein sensibles Datum enthält, gilt insgesamt als sensibel, wenn die Datenelemente zum Zeitpunkt der Erhebung nicht voneinander trennbar sind (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 89). Daten sind auch dann sensibel, wenn sich aus ihnen objektiv eine Information nach Art. 9 Abs. 1 DSGVO ableiten lässt, unabhängig davon, ob die Information zutrifft und ob der Verantwortliche die Ableitung überhaupt beabsichtigt (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 68 f.).

Daten nach Art. 10 DSGVO (Straftaten) genießen gleichfalls einen erhöhten Schutz. Betroffene nehmen Finanz- und Standortdaten typischerweise als privater wahr als berufsbezogene Daten; das wirkt sich auf das Gewicht in der Abwägung aus.

4.5 Kontext der Verarbeitung

In den Kontext gehören insbesondere:

• Umfang der Verarbeitung und Zahl der Betroffenen,
• Stellung des Verantwortlichen gegenüber der betroffenen Person (Arbeitgeber, Dienstleister, Plattformbetreiber),
• Kombination mit anderen Datensätzen,
• Zugänglichkeit und Publizitätsgrad der Daten: die öffentliche Zugänglichkeit von Daten allein macht ihre Weiterverarbeitung nicht zulässig (EuGH, Urt. v. 24.11.2011, C-468/10 und C-469/10, ASNEF, Rn. 44; EuGH, Urt. v. 04.05.2017, C-13/16, Rīgas satiksme, Rn. 32),
• besondere Schutzbedürftigkeit der Betroffenen (Kinder, vulnerable Personen).

4.6 Weitere Folgen der Verarbeitung

Jenseits der unmittelbaren Verarbeitungswirkung sind weitere Folgen einzustellen: Entscheidungen Dritter, die auf den Daten aufbauen, Rechtsfolgen, Diskriminierung, Rufschädigung, finanzielle Verluste, Ausschluss von einem Service ohne Alternative sowie Risiken für Freiheit, Sicherheit und körperliche oder geistige Unversehrtheit.

Hinzu kommen emotionale Folgen des Kontrollverlusts über die eigenen Daten und der Chilling Effect auf geschützte Verhaltensweisen, etwa Forschung, Meinungsäußerung oder politische Aktivität. Eine fortlaufende Beobachtung durch eine Plattform kann bei den Betroffenen das Gefühl ständiger Überwachung des Privatlebens erzeugen; das fällt zugunsten der Betroffenen erheblich ins Gewicht (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 118). Bei hohen Risiken ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu prüfen.

4.7 Vernünftige Erwartungen der Betroffenen

Erwägungsgrund 47 hebt die vernünftigen Erwartungen der Betroffenen als zentralen Abwägungsfaktor hervor. Erwartbar ist, was die Betroffene Person zum Zeitpunkt und im Kontext der Erhebung billigerweise annehmen durfte. Dabei sind insbesondere zu berücksichtigen:

• die Art der Beziehung zum Verantwortlichen (Bestandskunde, ehemaliger Kunde, bloßer Interessent),
• die Nähe zwischen den beteiligten Unternehmen (einheitliche Marke vs. nur wirtschaftlich verbundene Konzerngesellschaften),
• Ort und Kontext der Erhebung (Videoüberwachung in einer Bank ist erwartbar, in Sanitär- oder Saunabereichen nicht),
• berufliche Stellung, Alter und Status der Betroffenen (Minderjährige, Personen des öffentlichen Lebens).

Branchenüblichkeit und vernünftige Erwartung sind nicht deckungsgleich. Nur weil eine Praxis in einer Branche verbreitet ist, wird sie nicht automatisch erwartbar. Umgekehrt ersetzt auch die bloße Erfüllung der Informationspflichten aus Art. 12, 13 und 14 DSGVO nicht die vernünftige Erwartung; eine ausführliche Datenschutzerklärung macht eine überraschende Verarbeitung nicht zu einer erwartbaren (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 117, 123).

Die Beurteilung erfolgt aus der Perspektive eines „durchschnittlichen" Betroffenen dieser Gruppe, es sei denn, die Verarbeitung wirkt auf unterschiedliche Gruppen unterschiedlich, oder es bestehen konkrete Anhaltspunkte für abweichende Einzelinteressen, insbesondere im Arbeitsverhältnis.

4.8 Kind als betroffene Person

Art. 6 Abs. 1 lit. f DSGVO nennt ausdrücklich den Fall, dass die betroffene Person ein Kind ist. In diesem Fall werden die Schutzinteressen besonders stark gewichtet. Kinder sind sich der Tragweite ihrer Datenpreisgabe oft nicht bewusst; das erhöht das Gewicht ihrer Grundrechtspositionen in der Abwägung (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 111). Das Kindeswohl aus Art. 24 Abs. 2 GRC ist als primäre Erwägung einzustellen.

Die DSGVO enthält keine eigenständige Definition des Kindes im Rahmen der Interessenabwägung. Ein praktikabler Anhaltspunkt folgt aus dem Umkehrschluss zu Art. 8 Abs. 1 S. 3 DSGVO: Unterhalb des vollendeten 13. Lebensjahres (der Mindestaltersgrenze, unter die die Mitgliedstaaten bei der Einwilligung in Dienste der Informationsgesellschaft in keinem Fall absenken dürfen) kann regelmäßig von einem Überwiegen der Betroffeneninteressen ausgegangen werden. Oberhalb dieses Alters bleibt die Minderjährigkeit ein erheblicher, aber nicht automatisch ausschlaggebender Abwägungsfaktor; je nach Reife, Verarbeitungskontext und Eingriffsintensität kann die Abwägung unterschiedlich ausfallen.

Bestimmte Verarbeitungsarten werden sich mit den Schutzpflichten gegenüber Kindern kaum vereinbaren lassen: dazu zählen insbesondere umfangreiches Profiling und gezielte Werbung. Die DSA-Verordnung (Art. 28 Abs. 2 VO 2022/2065) verbietet zielgerichtete Werbung auf Grundlage der Profilbildung Minderjähriger ohnehin.

4.9 Milderungsmaßnahmen

Erweist sich die Abwägung zunächst als offen oder zulasten der Betroffenen, kann der Verantwortliche zusätzliche Garantien einziehen, um die Abwägung zu seinen Gunsten zu wenden. Zu solchen Milderungsmaßnahmen zählen etwa zusätzliche Zugriffsbeschränkungen, vertiefte Pseudonymisierung, verkürzte Speicherfristen oder die Einräumung erweiterter Betroffenenrechte (etwa ein Löschrecht ohne die Einschränkungen des Art. 17 Abs. 1 DSGVO oder ein Widerspruchsrecht ohne Begründungserfordernis).

Entscheidend: Milderungsmaßnahmen müssen über die ohnehin bestehenden gesetzlichen Pflichten hinausgehen. Was bereits nach der DSGVO geschuldet ist (Transparenz, Datensicherheit, Datenminimierung, Erfüllung der Betroffenenrechte), darf nicht zusätzlich als Milderungsmaßnahme in die Abwägung eingestellt werden (EDPB-Leitlinien 1/2024, Rn. 57). Werden Milderungsmaßnahmen implementiert, ist die Abwägung erneut durchzuführen.

5 Widerspruchsrecht nach Art. 21 DSGVO

5.1 Widerspruch und Beweislast

Die betroffene Person hat nach Art. 21 Abs. 1 DSGVO ein Widerspruchsrecht gegen jede Verarbeitung, die sich auf lit. e oder lit. f stützt. Der Widerspruch muss auf Gründen beruhen, die sich aus der besonderen Situation der betroffenen Person ergeben; eine ausführliche Darlegung ist nicht erforderlich, der Verantwortliche kann im Zweifel nachfragen. Widerspricht die betroffene Person, muss der Verantwortliche die Verarbeitung einstellen, es sei denn, er weist zwingende schutzwürdige Gründe nach, die die Interessen der betroffenen Person überwiegen. Die Beweislast liegt beim Verantwortlichen (EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 111).

5.2 „Zwingende schutzwürdige Gründe" als höhere Schwelle

Die Abwägung nach Art. 21 Abs. 1 DSGVO ist nicht identisch mit der ursprünglichen Abwägung nach lit. f. Der Verantwortliche muss darlegen, dass Gründe bestehen, die zwingend sind: das sind nicht jede berechtigten Interessen, sondern solche, die für den Verantwortlichen oder den Dritten essentiell sind. Als Beispiele kommen der Schutz der Organisation oder der Systeme vor schwerem, unmittelbarem Schaden oder die Abwehr schwerwiegender Sanktionen in Betracht. Ein bloßer Vorteil für den Verantwortlichen reicht nicht aus. Die Prüfung ist einzelfallbezogen, bezogen auf die besondere Situation der widersprechenden Person, und zu dokumentieren.

5.3 Direktwerbung

Für Direktwerbung gilt nach Art. 21 Abs. 2 DSGVO ein absolutes Widerspruchsrecht. Ein Widerspruch führt zur sofortigen Einstellung der werblichen Verarbeitung, ohne dass der Verantwortliche ein Gegeninteresse geltend machen könnte. Begründung ist nicht erforderlich. Die Ausübung muss einfach und kostenlos möglich sein (Art. 12 Abs. 2 DSGVO).

5.4 Einschränkung und Löschung nach Widerspruch

Während der Prüfung eines Widerspruchs kann die betroffene Person nach Art. 18 Abs. 1 lit. d DSGVO die Einschränkung der Verarbeitung verlangen: die Daten dürfen dann nur noch gespeichert, aber nicht weiter verarbeitet werden, vorbehaltlich der Ausnahmen des Art. 18 Abs. 2 DSGVO. Ist der Widerspruch erfolgreich, folgt daraus regelmäßig auch ein Anspruch auf Löschung nach Art. 17 Abs. 1 lit. c DSGVO; die Kriterien für Widerspruch und Löschung sind im Wesentlichen deckungsgleich (EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 111 f.).

Ist die Bitte der betroffenen Person unklar, ob sie widerspricht oder löschen lassen will, darf der Verantwortliche sie nicht schlicht als Widerspruch behandeln. Er muss die Zielrichtung des Begehrens klären und gegebenenfalls nachfragen.

6 Transparenz- und Betroffenenrechte

6.1 Informationspflichten

Stützt sich der Verantwortliche auf lit. f, muss er den Betroffenen nach Art. 13 Abs. 1 lit. c und Art. 14 Abs. 1 lit. c DSGVO die Rechtsgrundlage nennen. Zusätzlich sind nach Art. 13 Abs. 1 lit. d und Art. 14 Abs. 2 lit. b DSGVO die konkret verfolgten berechtigten Interessen anzugeben: pauschale Formeln wie „eigene Geschäftsinteressen" genügen nicht (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 107). Der Verantwortliche kann die Abwägungsdokumentation vorab zugänglich machen oder auf Anfrage bereitstellen; ein Hinweis auf diese Möglichkeit erleichtert die Rechtsausübung und trägt zur Rechenschaftspflicht bei.

6.2 Auskunft und Rechtsgrundlage

Art. 15 DSGVO sieht keine ausdrückliche Pflicht vor, im Rahmen einer Auskunft auch die Rechtsgrundlage zu nennen. Der EDPB empfiehlt jedoch, sie mitzuteilen oder zumindest auf die einschlägige Information zu verweisen. Ohne Kenntnis der Rechtsgrundlage kann die betroffene Person nicht sinnvoll einschätzen, welche weiteren Rechte (Widerspruch, Löschung, Einschränkung) sie hat.

6.3 Berichtigung, Einschränkung, Löschung

Das Recht auf Berichtigung nach Art. 16 DSGVO gilt unabhängig von der Rechtsgrundlage. Es ist bei lit. f besonders relevant, weil die Daten oft nicht direkt bei der betroffenen Person erhoben werden und die Fehleranfälligkeit dadurch steigt. Maßstab der Richtigkeit und Vollständigkeit ist stets der Verarbeitungszweck (EuGH, Urt. v. 20.12.2017, C-434/16, Nowak, Rn. 53); subjektive Werturteile oder nachträgliche „Korrekturen" von Prüfungsantworten fallen nicht darunter.

Daneben stehen den Betroffenen die Einschränkung nach Art. 18 DSGVO (insbesondere während der Prüfung eines Widerspruchs) und die Löschung nach Art. 17 DSGVO offen, insbesondere wenn der Zweck entfallen ist, der Widerspruch erfolgreich war oder die Verarbeitung von vornherein nicht auf lit. f hätte gestützt werden dürfen.

6.4 Automatisierte Entscheidungen und Profiling

Lit. f ist keine „unionsrechtliche Vorschrift" im Sinne von Art. 22 Abs. 2 lit. b DSGVO und ermächtigt daher nicht zu automatisierten Einzelentscheidungen (EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring), Rn. 70). Für Profiling, das nicht zu einer automatisierten Entscheidung iSd Art. 22 DSGVO führt, ist lit. f grundsätzlich offen. In die Abwägung sind dann insbesondere einzustellen: Detailgrad und Umfang des Profils, seine Auswirkungen auf die betroffene Person, mögliche spätere Kombinationen mit weiteren Daten sowie die Garantien für Fairness, Nichtdiskriminierung und Richtigkeit.

7 Fallgruppen

Die folgende Übersicht ordnet die wichtigsten Fallgruppen ein; die anschließenden Abschnitte vertiefen sie. Die Einordnung ersetzt nicht die einzelfallbezogene Abwägung.

7.1 Auskunfteien

Die Verarbeitung von Bonitätsdaten durch Auskunfteien lässt sich auf lit. f stützen, soweit die strengen Vorgaben der §§ 30 ff. BDSG, der datenschutzrechtlichen Rechtsprechung und der einschlägigen Codes of Conduct eingehalten werden. Die Interessenabwägung fällt regelmäßig zugunsten der Auskunftei aus, wenn die Kreditwirtschaft auf die Auskunft angewiesen ist; allerdings müssen Aufnahmekriterien, Speicherdauer und Aktualisierung den strengen Erforderlichkeits- und Verhältnismäßigkeitsmaßstäben des EuGH standhalten (EuGH, Urt. v. 07.12.2023, C-26/22 und C-64/22, SCHUFA Holding (Libération), Rn. 75, 88).

7.2 Betrugsprävention

Erwägungsgrund 47 DSGVO nennt die Verhinderung von Betrug ausdrücklich als möglichen Anwendungsfall des lit. f. Zugleich sind die Voraussetzungen streng: Die Verarbeitung muss „unbedingt erforderlich" sein, eng auf den konkreten Betrugstyp zugeschnitten und an die Grundsätze der Datenminimierung und der Speicherbegrenzung gebunden. Eine pauschale Berufung auf „Bekämpfung von Betrug" in der Datenschutzerklärung reicht nicht (EDPB-Leitlinien 1/2024, Rn. 104-106).

Zu unterscheiden ist Betrugsprävention im engeren Sinn (Verhinderung) und Betrugsdetektion (Erkennung): Die Detektion fällt grundsätzlich mit unter lit. f, soweit sie zugleich der Verhinderung weiterer Vorfälle dient. Wenn eine spezielle gesetzliche Pflicht zur Datenverarbeitung besteht (z. B. im Finanzsektor gegen Geldwäsche), ist lit. c einschlägig, nicht lit. f.

7.3 Bildveröffentlichungen

Das Verhältnis zum Kunsturhebergesetz (§§ 22, 23 KUG) ist umstritten. Die überwiegende Auffassung betrachtet das KUG über die Öffnungsklausel des Art. 85 DSGVO als fortgeltend, jedenfalls im journalistisch-redaktionellen Bereich. Im Übrigen gelten die Abwägungsmaßstäbe des lit. f; das Recht am eigenen Bild wird in die Abwägung einbezogen. Öffentlich zugängliche Fotos (etwa aus sozialen Netzwerken) dürfen nicht ohne Weiteres für andere Zwecke (etwa Werbedrucke) genutzt werden; der bloße Umstand, dass die betroffene Person die Bilder selbst veröffentlicht hat, begründet keine vernünftige Erwartung einer Weiterverarbeitung durch Dritte.

7.4 Direktmarketing

Erwägungsgrund 47 DSGVO qualifiziert die Verarbeitung zu Zwecken der Direktwerbung als möglichen Fall eines berechtigten Interesses. Das bedeutet nicht, dass jede Direktwerbung über lit. f zu rechtfertigen wäre. Personalisierte Werbung ist nach der Rechtsprechung des EuGH eine Form der Direktwerbung (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 115); auch als Nachrichten getarnte Werbeeinblendungen im E-Mail-Postfach fallen unter diesen Begriff (EuGH, Urt. v. 25.11.2021, C-102/20, StWL Städtische Werke Lauf a.d. Pegnitz, Rn. 47-51).

Bestandskundenwerbung ist über lit. f möglich, unterliegt aber dem absoluten Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO und den wettbewerbsrechtlichen Vorgaben (insbesondere § 7 UWG). Elektronische Neukundenwerbung bedarf nach der ePrivacy-Richtlinie und § 7 Abs. 2 Nr. 2 UWG regelmäßig einer Einwilligung. Ausnahmen gelten für die Werbung für eigene ähnliche Produkte an Bestandskunden unter den Voraussetzungen von Art. 13 Abs. 2 ePrivacy-RL / § 7 Abs. 3 UWG. Das Setzen von Cookies oder vergleichbaren Technologien zu Werbezwecken verlangt nach § 25 TDDDG / Art. 5 Abs. 3 ePrivacy-RL regelmäßig eine Einwilligung; eine anschließende Auswertung über lit. f ist dann meist nicht mehr möglich.

Für intrusive Tracking- und Profiling-Praktiken über mehrere Websites, Geräte oder Dienste hinweg wird die Abwägung nach lit. f kaum zu einem positiven Ergebnis führen.

7.5 Drittstaatsanfragen

Anfragen von Behörden aus Drittstaaten zur Herausgabe personenbezogener Daten erfordern zunächst die Prüfung des völkerrechtlichen Rahmens. Beruht die Anfrage auf einem international gültigen Abkommen, das in der EU oder im Mitgliedstaat zur Herausgabe verpflichtet, greift lit. c. Ist die Kooperation lediglich zulässig, kommt lit. e in Betracht; bei Gefahr für Leib oder Leben der betroffenen Person lit. d.

Lit. f kommt nur in Betracht, wenn die Verantwortliche dem Drittstaatsrecht unterworfen ist und im Fall einer Verweigerung mit Sanktionen rechnen muss. Die Abwägung fällt aber häufig zuungunsten des Verantwortlichen aus, insbesondere weil die Betroffenen in einem solchen Szenario regelmäßig nicht mit einer Übermittlung rechnen und die Grundrechtsposition in Drittstaaten gegebenenfalls nicht gleichwertig geschützt ist. Unabhängig von der Rechtsgrundlage sind zusätzlich die Anforderungen an Drittlandstransfers nach Kapitel V DSGVO zu erfüllen.

7.6 Hinweise an Strafverfolgungsbehörden

Erwägungsgrund 50 DSGVO nennt die Meldung möglicher Straftaten oder Gefahren für die öffentliche Sicherheit an die zuständige Behörde im Einzelfall als möglichen Anwendungsfall des lit. f. Voraussetzung ist, dass die Meldung einzelfallbezogen erfolgt und sich auf konkrete Vorfälle bezieht.

Eine systematische, präventive Sammlung personenbezogener Daten mit dem Zweck, sie pauschal an Strafverfolgungsbehörden weiterzugeben, lässt sich dagegen nicht über lit. f rechtfertigen, jedenfalls nicht, wenn der Verantwortliche primär wirtschaftlich tätig ist. Für solche Tätigkeiten ist eine spezifische gesetzliche Grundlage (lit. c) erforderlich (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 124, 132). Berufs- oder Amtsgeheimnisse können die Weitergabe zusätzlich sperren.

7.7 IT-Sicherheit

Maßnahmen zur Gewährleistung der Netz- und Informationssicherheit, insbesondere zur Abwehr von Cyberangriffen, zur Protokollierung und Analyse verdächtiger Zugriffe, sind nach Erwägungsgrund 49 DSGVO regelmäßig von einem berechtigten Interesse getragen (EuGH, Urt. v. 19.10.2016, C-582/14, Breyer, Rn. 60). Das gilt auch für konzerninterne Sicherheitsmaßnahmen. Die Verarbeitung muss eng auf die Sicherheitszwecke zugeschnitten sein; besonders eingriffsintensive Verfahren wie Deep Packet Inspection können die Abwägung kippen (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 119 ff.). Die Verarbeitung von Daten aus Quellen außerhalb des eigenen Netzes ist nur zulässig, soweit sie für die Sicherheit des Netzes tatsächlich notwendig ist und nicht durch mildere Mittel ersetzt werden kann.

7.8 Konzerndatenverarbeitung

Die Übermittlung von Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke ist nach Erwägungsgrund 48 DSGVO grundsätzlich ein berechtigtes Interesse. Die Grenze liegt dort, wo die Verarbeitung über notwendige Verwaltungszwecke hinausgeht und in die wirtschaftliche Tätigkeit der Einzelgesellschaft eingreift. Bei Beschäftigtendaten sind die nationalen Sonderregeln nach Art. 88 DSGVO, in Deutschland vor allem § 26 BDSG und kollektivrechtliche Vereinbarungen, zu beachten; oft tragen dann lit. b oder lit. c die Übermittlung, nicht lit. f. Die Beschäftigten sind nach Art. 13 und 14 DSGVO über die Rechtsgrundlage zu informieren.

7.9 Personenbewertungsportale

Bewertungsportale stützen sich regelmäßig auf lit. f. Die Abwägung ist einzelfallabhängig; der Bundesgerichtshof hat im Fall Jameda die Einordnung als „neutraler Informationsmittler" zum zentralen Kriterium gemacht. Solange das Portal eine neutrale Position wahrt, überwiegt das Informationsinteresse der Öffentlichkeit; wird diese Neutralität aufgegeben, kippt die Abwägung zugunsten des Betroffenen (BGH, Urt. v. 20.02.2018, VI ZR 30/17, Ärztebewertung III).

Die Abwägung ist zudem nicht rein bipolar zwischen Portalbetreiber und bewerteter Person zu führen. In die Abwägung einzubeziehen sind auch die Interessen der bewertenden Personen (insbesondere ihr Anonymitätsinteresse und die Meinungs- und Informationsfreiheit) sowie der Nutzer, die sich über das Portal informieren. Anonymitätsinteressen bewertender Personen sind legitim, unterliegen aber selbst der Abwägung; zu berücksichtigen sind das Ausmaß wahrscheinlicher missbräuchlicher Bewertungen, Abschreckungs- und Selbstzensureffekte sowie prozedurale Vorkehrungen gegen Missbrauch (etwa Identitätsprüfungen, Beschwerdewege, Löschmechanismen).

7.10 Suchmaschinen

Suchmaschinen können sich auf lit. f berufen. Der EuGH hat aber in der Google Spain-Rechtsprechung einen Regel-Ausnahme-Mechanismus etabliert: Bei der namensbasierten Suche überwiegen die Grundrechte der betroffenen Person grundsätzlich das wirtschaftliche Interesse des Betreibers und das Informationsinteresse der Öffentlichkeit (EuGH, Urt. v. 13.05.2014, C-131/12, Google Spain; EuGH, Urt. v. 24.09.2019, C-136/17, GC u.a./CNIL). Die Grundsätze gelten auch unter der DSGVO.

7.11 Tracking und personalisierte Werbung in sozialen Netzwerken

Tracking durch Cookies oder vergleichbare Technologien ist in Deutschland zusätzlich an § 25 TDDDG gebunden, der regelmäßig eine Einwilligung voraussetzt. Für die anschließende Auswertung der Daten kommt lit. f nur sehr eingeschränkt in Betracht, weil der EuGH die kommerzielle Eingriffsintensität hoch gewichtet.

Für die Personalisierung der Werbung in sozialen Netzwerken hat der EuGH ausdrücklich entschieden, dass die Abwägung gegen den Betreiber ausfällt: Zwar besteht grundsätzlich ein berechtigtes Interesse des Plattformbetreibers an der werbefinanzierten Ausgestaltung seines Geschäftsmodells. Bei einer Verarbeitung, die besonders umfassend ist, potenziell unbegrenzte Daten betrifft und die Online-Aktivitäten der Nutzer weitgehend nachvollziehbar macht, überwiegen jedoch die Interessen und Grundrechte der Betroffenen. Dazu trägt bei, dass bei den Nutzern das Gefühl einer kontinuierlichen Überwachung des Privatlebens ausgelöst werden kann (EuGH, Urt. v. 04.07.2023, C-252/21, Meta Platforms/Bundeskartellamt, Rn. 115 ff.). Die Personalisierung ist damit nicht auf lit. f zu stützen; als Rechtsgrundlage bleibt regelmäßig nur die Einwilligung.

7.12 Unternehmenskauf (Asset Deal)

Beim Asset Deal (Übertragung des Geschäftsbetriebs ohne Rechtsträger) ist die Übertragung von Kundendaten auf den Erwerber datenschutzrechtlich zu rechtfertigen. Ohne Einwilligung der betroffenen Kunden ist nur ein sehr eingeschränkter Datentransfer über lit. f möglich; ein Widerspruch muss ermöglicht werden.

7.13 Videoüberwachung durch Private

Die private Videoüberwachung öffentlich zugänglicher Räume ist nach lit. f zu beurteilen. Die Anforderungen sind streng: Es muss ein konkretes berechtigtes Interesse (etwa Schutz vor Straftaten, Vorfallshistorie) geben; die Überwachung muss räumlich und zeitlich begrenzt sein und durch Hinweisschilder transparent gemacht werden. Dashcams sind überwiegend unzulässig.

7.14 Warn- und Hinweisdienste

Warn- und Hinweisdienste (etwa in der Versicherungswirtschaft) können sich auf lit. f stützen, soweit sie der Betrugsprävention dienen. Das setzt enge Aufnahmekriterien, klare Zweckbindung und regelmäßige Überprüfung der Datensätze voraus.