DSGVO Deep Dive: Was zählt als „berechtigtes Interesse“?

Veröffentlicht: 2018-03-01
DSGVO Deep Dive: Was zählt als „berechtigtes Interesse“?

Du weißt, was sie sagen – du gibst ihnen einen Finger, sie nehmen die Hand.

Geben Sie ihnen eine Ausnahme für berechtigtes Interesse, und sie werden alle LinkedIn-Mitglieder kalt per E-Mail benachrichtigen.

Die DSGVO hat sechs rechtmäßige Gründe für die Verarbeitung personenbezogener Daten, wie in Artikel 6 beschrieben. Und legitime Interessen sind wohl die am häufigsten missbrauchten. Jeder Vermarkter, der es vermeiden möchte, eine Einwilligung zur Datenverarbeitung einzuholen, wird versuchen, ein berechtigtes Interesse zu nutzen, um dies zu umgehen.

Aber seien Sie vorsichtig ... sehr vorsichtig. Berechtigtes Interesse ist eine strengere Bestimmung, als es klingt.

Lassen Sie uns also darüber sprechen, wo es angewendet werden kann und wie wir seine Absichten besser verstehen können.

Sechs rechtmäßige Gründe für die Verarbeitung personenbezogener Daten

Sie müssen eine gültige Rechtsgrundlage haben, um personenbezogene Daten zu verarbeiten, und es gibt sechs, die jetzt als rechtmäßig gelten.

Keine einzelne Basis ist „besser“ oder wichtiger als die anderen. Und welche Grundlage für die Verwendung am besten geeignet ist, hängt von Ihrem Zweck und der Beziehung zu der Person ab.

Beachten Sie Folgendes: Sie müssen Ihre Rechtsgrundlage bestimmen, bevor Sie mit der Verarbeitung beginnen. Sie sollten es im Falle einer potenziellen Prüfung dokumentiert und verfügbar haben. Beamte werden Änderungen in letzter Minute nicht gutheißen.

Ihre Datenschutzerklärung sollte auch Ihre Rechtsgrundlage für die Verarbeitung und Ihre Verarbeitungszwecke enthalten. Wenn sich Ihre Zwecke ändern, können Sie möglicherweise die Verarbeitung auf der ursprünglichen Rechtsgrundlage fortsetzen – vorausgesetzt, Ihr neuer Zweck ist mit Ihrer ursprünglichen Grundlage vereinbar (dies setzt voraus, dass Ihre Rechtsgrundlage keine Zustimmung war). So oder so: Sie sollten unbedingt Ihre Datenschutzerklärung aktualisieren.

Der Einfachheit halber geht dieser Artikel nicht auf spezielle Daten wie Pässe, biometrische Daten usw. ein.

Wir halten die für Vermarkter relevanten Dinge bereit: Analysen, Lead-Generierung, E-Mails und A/B-Tests.

Folgendes können Sie als rechtmäßige Gründe verwenden:

  1. Zustimmung
  2. Vertrag
  3. Rechtliche Verpflichtung
  4. Lebenswichtige Interessen
  5. Aufgabe von öffentlichem Interesse
  6. Berechtigte Interessen

10 Sekunden Zusammenfassung:

1. Sie müssen die Zustimmung einholen (dieses Kontrollkästchen auf Ihren Formularen),
2. Sie müssen einen Vertrag mit der Person oder dem Unternehmen haben (in dem Sie beide zugestimmt haben, dass personenbezogene Daten verarbeitet werden müssen).
3-5. Wir werden diese für ein anderes Mal aufheben, da sie nicht für Vermarkter gedacht sind.
6. Berechtigtes Interesse. Das klingt am einfachsten, oder? Stellen Sie einfach sicher, dass Sie einen guten, „legitimen“ Grund haben, personenbezogene Daten zu verarbeiten und damit fertig zu werden. Tschüss Zustimmung?

Berechtigtes Interesse: Was ist das?

Berechtigte Interessen sind die flexibelste Rechtsgrundlage für die Verarbeitung, aber Sie können nicht davon ausgehen, dass sie immer die geeignetste ist.

Es ist wahrscheinlich am besten geeignet, wenn Sie die Daten von Personen auf eine Weise verwenden, die sie vernünftigerweise erwarten würden und die eine minimale Auswirkung auf die Privatsphäre hat. ODER wenn es eine zwingende Rechtfertigung für die Verarbeitung gibt. So steht es in Erwägungsgrund 47 der DSGVO zum berechtigten Interesse.

Die berechtigten Interessen eines Verantwortlichen, einschließlich derjenigen eines Verantwortlichen, dem die personenbezogenen Daten möglicherweise offengelegt werden, oder eines Dritten können eine Rechtsgrundlage für die Verarbeitung darstellen, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen nicht außer Kraft gesetzt, unter Berücksichtigung der angemessenen Erwartungen der betroffenen Personen aufgrund ihrer Beziehung zum für die Verarbeitung Verantwortlichen. Ein solches berechtigtes Interesse könnte beispielsweise bestehen, wenn eine relevante und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, in Situationen, in denen die betroffene Person ein Kunde oder im Dienst des Verantwortlichen steht. In jedem Fall bedarf das Vorliegen eines berechtigten Interesses einer sorgfältigen Prüfung, einschließlich der Frage, ob eine betroffene Person zum Zeitpunkt und im Zusammenhang mit der Erhebung der personenbezogenen Daten vernünftigerweise erwarten kann, dass eine Verarbeitung zu diesem Zweck erfolgen kann. Die Interessen und Grundrechte der betroffenen Person könnten insbesondere dann Vorrang vor dem Interesse des für die Verarbeitung Verantwortlichen haben, wenn personenbezogene Daten unter Umständen verarbeitet werden, in denen die betroffenen Personen vernünftigerweise keine weitere Verarbeitung erwarten. Da es Sache des Gesetzgebers ist, gesetzlich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Behörden vorzusehen, sollte diese Rechtsgrundlage nicht für die Verarbeitung durch Behörden in Erfüllung ihrer Aufgaben gelten. Die Verarbeitung personenbezogener Daten, die zum Zwecke der Betrugsprävention unbedingt erforderlich ist, stellt ebenfalls ein berechtigtes Interesse des betroffenen Datenverantwortlichen dar. Die Verarbeitung personenbezogener Daten für Direktmarketingzwecke kann als berechtigtes Interesse angesehen werden.

Wenn Sie sich auf berechtigte Interessen berufen, übernehmen Sie zusätzliche Verantwortung für die Berücksichtigung und den Schutz der Rechte und Interessen der Menschen .

Wenn Sie also ein System haben, bei dem Sie wirklich sicher sind, dass Sie die Privatsphäre der Benutzer garantiert haben, ist dies ein starker Indikator dafür, dass Sie berechtigtes Interesse verwenden können.

Die Grundlage der berechtigten Interessen besteht aus drei Elementen. Es ist hilfreich, sich dies als dreiteiligen Test vorzustellen. Du musst:

  1. ein berechtigtes Interesse identifizieren;
  2. zeigen, dass die Verarbeitung erforderlich ist, um dies zu erreichen; und
  3. gegen die Interessen, Rechte und Freiheiten des Einzelnen abwägen.

Die berechtigten Interessen können Ihre eigenen Interessen oder die Interessen Dritter sein. Sie können kommerzielle Interessen, individuelle Interessen oder breitere gesellschaftliche Vorteile beinhalten.

Die Verarbeitung muss auch erforderlich sein. Wenn Sie das gleiche Ergebnis auf andere, weniger aufdringliche Weise vernünftigerweise erreichen können – berechtigte Interessen gelten nicht mehr,

Darüber hinaus müssen Sie bei berechtigtem Interesse die folgenden Schritte ausführen:

  • Sie müssen Ihre Interessen gegen die des Einzelnen abwägen. Wenn sie die Verarbeitung vernünftigerweise nicht erwarten würden oder wenn sie ungerechtfertigten Schaden verursachen würde, überwiegen ihre Interessen wahrscheinlich Ihre berechtigten Interessen.
  • Führen Sie Aufzeichnungen über Ihre Bewertung der berechtigten Interessen (LIA), um Ihnen bei Bedarf beim Nachweis der Einhaltung zu helfen.
  • Sie müssen Einzelheiten zu Ihren berechtigten Interessen in Ihre Datenschutzerklärung aufnehmen.

Checkliste der Datenschutzbehörde von ICO (UK) für berechtigte Interessen

Die ICO-Website (Information Commissioner's Office) verfügt über eine Checkliste, die Ihnen dabei helfen soll, festzustellen, ob Ihre Datenverarbeitung durch berechtigte Interessen gerechtfertigt ist.

Wenn Sie auf Nummer sicher gehen möchten, vergewissern Sie sich, dass Sie Folgendes bestätigen können:

  • Wir haben geprüft, dass berechtigte Interessen die geeignetste Grundlage sind.
  • Wir sind uns unserer Verantwortung bewusst, die Interessen des Einzelnen zu schützen.
  • Wir haben eine Bewertung der berechtigten Interessen (LIA) durchgeführt und Aufzeichnungen darüber geführt, um sicherzustellen, dass wir unsere Entscheidung begründen können.
  • Wir haben die relevanten berechtigten Interessen identifiziert.
  • Wir haben überprüft, ob die Verarbeitung notwendig ist und es keinen weniger aufdringlichen Weg gibt, dasselbe Ergebnis zu erzielen.
  • Wir haben einen Abwägungstest durchgeführt und sind zuversichtlich, dass die Interessen des Einzelnen diese legitimen Interessen nicht außer Kraft setzen.
  • Wir verwenden die Daten von Einzelpersonen nur so, wie sie es vernünftigerweise erwarten würden, es sei denn, wir haben einen sehr guten Grund.
  • Wir verwenden die Daten von Personen nicht auf eine Weise, die sie als aufdringlich empfinden oder ihnen Schaden zufügen könnten, es sei denn, wir haben einen sehr guten Grund.
  • Wenn wir Daten von Kindern verarbeiten, achten wir besonders darauf, dass wir ihre Interessen schützen.
  • Wir haben Sicherheitsvorkehrungen getroffen, um die Auswirkungen nach Möglichkeit zu reduzieren.
  • Wir haben überlegt, ob wir ein Opt-Out anbieten können.
  • Wenn unsere LIA eine erhebliche Auswirkung auf den Datenschutz feststellt, haben wir überlegt, ob wir auch eine DSFA durchführen müssen.
  • Wir behalten unsere LIA im Auge und wiederholen sie, wenn sich die Umstände ändern.
  • Wir nehmen Informationen über unsere berechtigten Interessen in unsere Datenschutzerklärung auf.

Verwendung von berechtigtem Interesse für A/B-Tests

In Zukunft werden die DSGVO und die ePrivacy-Richtlinie die beiden rechtlichen Eckpfeiler für digitale Vermarkter sein.

Und wie es umreißt: IP-Adressen, Cookies – diese Dinge werden jetzt als „personenbezogene Daten“ betrachtet.

Also legitime Interessen beiseite: Sie benötigen höchstwahrscheinlich eine Zustimmung für Cookies und andere Identifikatoren mit Ihren aktuellen A/B-Test-Tools.

Hier ist der Grund:

Es ist ziemlich schwierig, ein Argument für ein ausgewogenes, berechtigtes Interesse zu haben, wenn Sie Software von Drittanbietern verwenden, um Ihre Segmente anzureichern oder jede Bewegung Ihrer Website-Besucher zu speichern. Diese Art der Speicherung ist gängige Praxis bei Tools wie Heap – oder ähnlichen Programmen, die über Postsegmentierungs- oder Predictive Analytics-Kapazitäten verfügen.

Bei vielen führenden A/B-Testlösungen speichern Sie viele Daten über einen Benutzer. Und Sie verwenden diese Daten anschließend, wie Sie möchten, ohne den Benutzer über diesen Vorgang zu informieren.

Rückblick auf die Checkliste…

Erwarten Benutzer, die Ihre Website aufrufen, „vernünftigerweise“, dass Sie ihre Daten verwenden, um ihr Kaufverhalten vorherzusagen?

Ist Ihre „legitime Notwendigkeit“, einen Überschuss ihrer Daten zu speichern, sicher, dass sie eventuelle Einwände gegen Ihre Verwendung außer Kraft setzen?

Diese Art der Datenerhebung erfordert wahrscheinlich eine spezifische Zustimmung. Das bedeutet, dass Sie keine Cookies oder Experimente ohne ein bestimmtes Opt-in laden sollten.

A/B-Tests, ohne Speicherung personenbezogener Daten

Seit der Verabschiedung der DSGVO haben wir Convert Experiences neu gestaltet. Und wir arbeiten weiter daran, damit wir vor dem 25. Mai 2018 zu 100 % bereit sind.

Das heißt, wenn Sie Convert in den Standardeinstellungen verwenden, entspricht es der DSGVO, ohne dass eine Zustimmung erforderlich ist (siehe unsere Roadmap hier).

Es werden keine Cookie-IDs, keine eindeutigen Kennungen und keine IPs gespeichert. Wirklich alles wird so weit wie möglich reduziert, sodass keine personenbezogenen Daten gespeichert oder verwendet werden.

Dies bedeutet, dass keine Zustimmung erforderlich ist.

Möglicherweise ist es erforderlich, die Website-Besucher darüber zu informieren, wie Sie mit A/B-Tests umgehen.

Um auf der sicheren Seite zu sein, sollten Benutzer vielleicht ein berechtigtes Interesse in ihre Datenschutzrichtlinien aufnehmen – um zu signalisieren, dass das für A/B-Testsoftware platzierte Cookie keine personenbezogenen Daten speichert. Und um das strategische Interesse für Sie als Unternehmen zu erwähnen, ist es erforderlich, dieses Analyse-Cookie zu platzieren, um die Leistung Ihres Unternehmens zu verbessern.

Etwas zusammenfassen:

Einwilligung und berechtigtes Interesse sind höchstwahrscheinlich die am häufigsten verwendeten legitimen Grundlagen für digitale Vermarkter.

Ohne Zweifel ist die Zustimmung der sicherste Weg, um rechtliche Schritte gegen Ihr Unternehmen zu vermeiden.

Berechtigtes Interesse sollte nur in dem seltenen Fall verwendet werden, in dem Sie mit dem Rücken zur Wand stehen und sicher sind, dass keine oder nur sehr wenige personenbezogene Daten gespeichert und verarbeitet werden.

Stellen Sie sicher, dass zu 100 % klar ist, warum Sie ein berechtigtes Interesse für vertretbar halten, und speichern Sie dies für den Fall einer Prüfung.

Denn es ist kompliziert, aber keine Raketenwissenschaft. Wenn es hinterhältig klingt, bitten Sie um Zustimmung. Wenn es sich um eine wirklich harmlose Verarbeitung handelt, setzen Sie sich stark für minimale Auswirkungen auf Ihre Kunden und Website-Besucher ein.

Und denken Sie daran: Die DSGVO ist nur noch wenige Monate entfernt. Bleiben Sie auf dem Laufenden, sprechen Sie mit Ihren Anbietern und bereiten Sie sich auf eine transparentere Datenverarbeitungslandschaft vor.