Die 'vage' Falle: Was uns der neue Case Digest des EDSA über das berechtigte Interesse lehrt

Die 'vage' Falle: Was uns der neue Case Digest des EDSA über das berechtigte Interesse lehrt

Haben Sie sich jemals gefragt, was tatsächlich hinter den verschlossenen Türen der europäischen Datenschutzbehörden passiert, wenn sie über die Hintertür des „berechtigten Interesses“ debattieren? Jahrelang wurde diese spezifische Rechtsgrundlage von einigen als „Freifahrtschein“ behandelt – ein Weg, Daten zu verarbeiten, wenn eine Einwilligung zu mühsam erscheint. Doch ein bedeutender neuer Bericht des Europäischen Datenschutzausschusses (EDSA) deutet darauf hin, dass die Ära der vagen Rechtfertigungen offiziell vorbei ist.

Am 26. März 2026 veröffentlichte der EDSA seinen One-Stop-Shop Case Digest zum berechtigten Interesse. Als digitaler Detektiv, der seine Tage damit verbringt, Datenschutzrichtlinien zu sezieren, sehe ich diesen Bericht als unverzichtbaren Kompass für jeden, der durch das regulatorische Labyrinth navigiert. Er ist nicht nur eine Sammlung alter Akten; er ist ein klares Signal, dass die Regulierungsbehörden es leid sind, „Geschäftsinteressen“ als Schutzschild für invasive Datenpraktiken zu sehen.

Zweck vs. Interesse: Der schmale Grat

Einer der auffälligsten Teile des Berichts ist, wie der EDSA eine Linie zwischen einem „Zweck“ und einem „Interesse“ zieht. Anders ausgedrückt: Der „Zweck“ ist Ihr spezifisches Ziel – wie das Versenden eines Newsletters –, während das „Interesse“ der breitere Nutzen ist, wie etwa die Umsatzsteigerung.

In meiner Arbeit sehe ich oft, dass Unternehmen diese beiden Begriffe vermischen. Sie sagen vielleicht, ihr berechtigtes Interesse sei die „Datenverarbeitung für Marketingzwecke“. Der EDSA sagt, das reicht nicht aus. Sie müssen den zugrunde liegenden Einsatz identifizieren, den Sie bei dieser Verarbeitung haben. Stellen Sie es sich wie den Bau eines Hauses vor: Der Zweck ist der Bauplan, aber das Interesse ist der Grund, warum Sie es überhaupt bauen. Wenn das Fundament wackelig oder undefiniert ist, bricht die gesamte Rechtsstruktur zusammen.

Die drei häufigsten Fehler

Wenn ich Datenpannen oder behördliche Prüfungen analysiere, suche ich nach Mustern. Der EDSA tat dasselbe und identifizierte drei wiederkehrende Fehler, die zu einer nicht konformen Verarbeitung führen.

Erstens versäumen es viele Verantwortliche, ihr Interesse präzise zu artikulieren. Die Verwendung abstrakter Begriffe wie „Verbesserung der Nutzererfahrung“ ohne weitere Details ist ein Warnsignal. Zweitens versäumen es Unternehmen, eine Interessenabwägung (Legitimate Interest Assessment, LIA) durchzuführen, bevor sie mit der Datenerhebung beginnen. In der Praxis sollte eine LIA keine nachträgliche Rechtfertigung sein; sie sollte eine strenge, dokumentierte Prüfung sein, ob Ihre Bedürfnisse die Rechte des Nutzers überwiegen. Schließlich hebt der Bericht ein Versagen bei der Notwendigkeitsprüfung hervor. Wenn Sie Ihr Ziel durch weniger invasive, datenschutzfreundliche Mittel erreichen können – etwa durch die Verwendung pseudonymer Daten –, dann ist Ihre aktuelle Methode wahrscheinlich rechtswidrig.

Der Mythos der „gängigen Praxis“

In der Tech-Welt hält sich hartnäckig der Mythos, dass es in Ordnung sein muss, wenn alle anderen in Ihrer Branche es auch tun. Der EDSA-Bericht zertrümmert diese Illusion. Die Aufsichtsbehörden stellten fest, dass eine Datenpraktik nicht allein deshalb, weil sie in einem bestimmten Sektor „üblich“ ist, bedeutet, dass ein Nutzer sie vernünftigerweise erwarten sollte.

Im Wesentlichen sind die „vernünftigen Erwartungen“ einer betroffenen Person an die Transparenz gebunden. Wenn ein Nutzer eine Wetter-App öffnet, erwartet er, dass sein Standort für eine Vorhersage verwendet wird, und nicht, dass er für eine Marktanalyse an einen Hedgefonds verkauft wird. Selbst wenn jede Wetter-App auf dem Markt dies tut, bleibt es ein Verstoß, wenn es nicht das ist, was eine Person aufgrund des angebotenen Dienstes natürlicherweise erwarten würde.

Neuartige Interessen: Von Taxis bis zum Flugverkehr

Während die meisten Entscheidungen im Bericht auf bekanntem Terrain bleiben, fielen mir einige „neuartige“ Interessen auf. Beispielsweise akzeptierten einige Behörden, dass die Bewertung von Taxifahrgästen zur Gewährleistung der Fahrersicherheit ein berechtigtes Interesse darstellt. Ebenso wurde die Aufzeichnung globaler Flugverkehrsdaten für die Nutzung durch Dritte unter bestimmten Bedingungen als akzeptabel erachtet.

Diese Beispiele zeigen, dass die DSGVO keine statische Mauer ist; sie ist ein flexibler Rahmen. Diese Erfolge waren jedoch nur möglich, weil die beteiligten Unternehmen in ihren Beschreibungen detailliert und in ihren Sicherheitsmaßnahmen robust waren. Sie baten nicht nur um Erlaubnis; sie bewiesen, dass ihre spezifische Methode der einzige Weg war, um ein wichtiges Sicherheits- oder Betriebsziel zu erreichen.

Kein Zurückdrehen der Uhr

Ein letztes, entscheidendes Fazit: Sie können Ihre Rechtsgrundlage nicht rückwirkend ändern. Wenn Sie mit der Datenverarbeitung auf Grundlage einer Einwilligung begonnen haben und diese Einwilligung widerrufen wird, können Sie nicht plötzlich „berechtigtes Interesse“ geltend machen, um die Daten zu behalten. Ich habe erlebt, wie Unternehmen versucht haben, ihre rechtlichen Grundlagen mitten im Prozess auszutauschen, als sie merkten, dass sie einen Fehler gemacht hatten. Die OSS-Entscheidungen sind eindeutig: Sobald man einen Weg gewählt hat, muss man dabei bleiben. Dies macht die ursprüngliche Designphase – Privacy by Design – wichtiger denn je.

Konkrete Schritte für Ihr nächstes Audit

Egal, ob Sie ein Datenschutzbeauftragter sind, der als Übersetzer für sein Engineering-Team fungiert, oder ein Geschäftsinhaber, der versucht, compliant zu bleiben – hier ist eine Checkliste, um sicherzustellen, dass Ihr berechtigtes Interesse einer Prüfung standhält:

• Definieren Sie das „Warum“ und das „Was“: Trennen Sie in Ihrer Dokumentation klar Ihr Geschäftsinteresse vom spezifischen Verarbeitungszweck.
• Der Test der „weniger invasiven Mittel“: Fragen Sie vor der Einführung einer neuen Funktion: „Gibt es einen Weg, dies mit weniger Daten zu tun?“ Wenn die Antwort ja lautet, müssen Sie diese Methode anwenden.
• Aktualisieren Sie Ihren Datenschutzhinweis: Verabschieden Sie sich von allgemeinem Juristendeutsch. Erklären Sie den spezifischen Nutzen, den Sie verfolgen, damit die Nutzer nicht überrascht werden.
• Dokumentieren Sie die Abwägung: Ihre LIA sollte ein lebendiges Dokument sein, das Ihre Interessen gegen die potenziellen Risiken für die Einzelperson abwägt.

Letztendlich ist Datenschutz ein grundlegendes Menschenrecht und nicht nur ein Kontrollkästchen für die Compliance. Indem Sie transparent und verhältnismäßig handeln, behandeln Sie Daten nicht als belastendes Gut, sondern als gemeinsame Verantwortung.

Quellen

• Datenschutz-Grundverordnung (DSGVO), Artikel 6(1)(f)
• Datenschutz-Grundverordnung (DSGVO), Artikel 13, 14 und 60
• EDSA One-Stop-Shop Case Digest - Berechtigtes Interesse (März 2026)
• EDSA-Leitlinien 1/2024 zur Verarbeitung personenbezogener Daten auf der Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO

Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und journalistischen Zwecken und stellt keine formelle Rechtsberatung dar. Wenn Sie mit einem spezifischen regulatorischen Problem konfrontiert sind, wenden Sie sich bitte an einen qualifizierten Rechtsexperten.