WAS IST BERECHTIGTES INTERESSE?

04.03.2026

Eine stilisierte Illustration eines violetten Schildes mit einer Checkliste, das von Pfeilen umgeben ist, die Angriffe und Abwehr symbolisieren.

WAS IST BERECHTIGTES INTERESSE? - DER NEUE PRÜFKATALOG DES HMBBFDI SCHAFFT KLARHEIT

Die Verarbeitung von Daten auf Basis „berechtigten Interesses“ ist ein mächtiges Werkzeug, aber auch eine häufige Fehlerquelle in der Datenschutz-Praxis. Bisher fehlte eine offizielle, deutsche Richtschnur für die komplexe Interessenabwägung. Das ändert sich jetzt: Der Hamburgische Datenschutzbeauftragte (HmbBfDI) hat einen detaillierten Prüfkatalog veröffentlicht. Wir zeigen Ihnen, wie Sie diese neue Klarheit nutzen, um Ihre Verarbeitungstätigkeiten rechtssicher zu gestalten und Ihre Rechenschaftspflicht zu erfüllen.

1        PROBLEM/NUTZEN

Sowohl ein Handwerksbetrieb, der zur Wahrnehmung des Hausrechts eine Videoüberwachung am Firmeneingang oder zur Diebstahlprävention eine Videokamera in seiner öffentlich zugänglichen Ausstellungsräume installiert, als auch ein Sportverein, der Fotos von einer öffentlichen Veranstaltung auf seiner Webseite veröffentlicht, müssen ihre Interessen gegenüber der Rechte und Freiheiten der betroffenen Personen (z. B. Mitarbeiter:innen, Kund:innen, Mitglieder) abwägen. Oft fehlt es hier an einer nachvollziehbaren und vor allem dokumentierten Grundlage für dieses sogenannte „berechtigte Interesse“.

Der neue Fragenkatalog des HmbBfDI bietet hierfür eine Lösung: Er dient als Formular zur Dokumentation und kann als offizieller Nachweis gegenüber Aufsichtsbehörden verwendet werden. Das schafft nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen von Kund:innen und Mitgliedern. Den Link zum Fragebogen finden Sie am Ende dieses Blogbeitrags unter Quellen.

Sie sind unsicher, ob Ihre Datenverarbeitung auf berechtigtem Interesse beruht?

Buchen Sie sich gerne ein Gespräch und wir prüfen Ihre Prozesse. (Link: https://outlook.office365.com/book/WelcomeDataFreshup@datafreshup.de/ ) oder via Mail: info@datafreshup.de

2       RECHTLICHER RAHMEN (DSGVO/KDG)

Die zentrale Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO / § 6 Abs. 1 lit. g KDG. Eine Datenverarbeitung ist demnach rechtmäßig, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Der Fragenkatalog greift die Leitlinien 1/2024 des EDSA auf, die im Oktober 2024 verabschiedet wurden und erstmals auf europäischer Ebene eine systematische Prüfungsstruktur für Art. 6 Abs. 1 lit. f DSGVO vorgeben. Der HmbBfDI überführt diese europäischen Vorgaben in ein praxistaugliches Formular.

Dieser Artikel etabliert die sogenannte Drei-Stufen-Prüfung, um ein berechtigtes Interesse zu ermitteln und zu rechtfertigen:

  1. Feststellung des berechtigten Interesses: Es muss ein legitimes (rechtliches, wirtschaftliches oder ideelles) Interesse des Unternehmens oder Vereins vorliegen.

  2. Erforderlichkeit: Die Datenverarbeitung muss notwendig sein, um dieses Interesse zu erreichen. Es darf kein milderes, gleich wirksames Mittel zur Verfügung stehen.

  3. Interessenabwägung: In der finalen Abwägung dürfen die Interessen der betroffenen Person nicht überwiegen.

Der Katalog des HmbBfDI konkretisiert diese drei Stufen mit gezielten Fragen und Beispielen.

3       UMSETZUNG IN DER PRAXIS

Der Fragenkatalog führt Sie Schritt für Schritt durch die Prüfung und Dokumentation. Die Logik folgt immer der Drei-Stufen-Prüfung.

Praxisbeispiel: IT-Sicherheitsmonitoring im Unternehmen
Ein mittelständisches Unternehmen möchte zur Abwehr von Cyberangriffen den Datenverkehr in seinem Netzwerk protokollieren. Dabei werden zwangsläufig auch Metadaten von Mitarbeiter:innen (z.B. IP-Adressen, aufgerufene Webserver) verarbeitet.

  • Stufe 1: Interesse definieren

    • Interesse: Das Interesse des Unternehmens ist die „Gewährleistung der Netz- und Informationssicherheit“ (ein in Erwägungsgrund 49 der DSGVO explizit genanntes berechtigtes Interesse) sowie der „Schutz des geistigen Eigentums und der Geschäftsgeheimnisse“.

    • Zweck: Der konkrete Zweck ist die „Protokollierung von Verbindungsdaten zur Erkennung, Abwehr und Analyse von Sicherheitsvorfällen wie Malware-Angriffen oder unbefugten Datenabflüssen“.

  • Stufe 2: Erforderlichkeit prüfen

    • Notwendigkeit: Eine reine Firewall reicht nicht aus, um Angriffe zu erkennen. Die Analyse von Verbindungsdaten ist eine Standardmaßnahme und notwendig, um Anomalien zu entdecken, die auf einen Angriff hindeuten.

    • Datenminimierung: Es wird sichergestellt, dass keine Inhalte (z.B. E-Mail-Inhalte) mitgelesen werden. Es werden nur die notwendigen Metadaten erfasst und die Protokolle nach einer kurzen Frist (z.B. 14 Tage) automatisch gelöscht, sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert.

  • Stufe 3: Abwägung durchführen

    • Interessen der Betroffenen: Hier steht das Recht der Mitarbeiter:innen auf informationelle Selbstbestimmung und der Schutz ihres allgemeinen Persönlichkeitsrechts im Vordergrund, auch am Arbeitsplatz.

    • Abwägung & Schutzmaßnahmen:

      • Das Interesse des Unternehmens am Schutz seiner gesamten IT-Infrastruktur, seiner Kundendaten und seiner Existenz ist als sehr hoch einzustufen.

      • Der Eingriff in die Rechte der Mitarbeiter:innen wird durch technische Maßnahmen (keine Inhaltskontrolle, Pseudonymisierung wo möglich) und organisatorische Regeln (strenger, protokollierter Zugriff nur für IT-Admins im Bedarfsfall) minimiert.

      • Entscheidende Schutzmaßnahme: Transparenz. Die Mitarbeiter:innen werden über die Protokollierung im Rahmen der IT-Nutzungsrichtlinie oder der Mitarbeiter-Datenschutzerklärung klar und verständlich informiert. Die Maßnahme darf nicht zur allgemeinen Verhaltens- oder Leistungskontrolle missbraucht werden.

ACHTUNG: Besondere Aufmerksamkeit bei sensiblen Daten und Kinderdaten: Der Katalog widmet den besonderen Datenkategorien nach Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen) sowie Daten nach Art. 10 DSGVO (strafrechtliche Verurteilungen) eigene Prüffragen (Fragen 3.5 und 3.7). Werden solche Daten verarbeitet, ist die Abwägung besonders streng durchzuführen. Gleiches gilt für Daten von Kindern und Jugendlichen (Frage 3.6, vgl. Erwägungsgrund 38 DSGVO): Hier ist das Kindeswohl vorrangig zu berücksichtigen. Für Vereine und Verbände, die mit Minderjährigen arbeiten, ist dieser Aspekt besonders praxisrelevant.

Typischer Fehler: Das Unternehmen informiert die Mitarbeiter:innen nicht (fehlende Transparenz), speichert die Protokolle auf unbestimmte Zeit „für alle Fälle“ oder wertet die Daten für andere Zwecke aus, z.B. um die private Internetnutzung zu kontrollieren. Solche Praktiken würden die Abwägung zugunsten der Mitarbeiter:innen kippen lassen.

Benötigen Sie Unterstützung bei der Implementierung oder suchen eine:n externe:n Datenschutzbeauftragte:n?

Wir unterstützen Sie pragmatisch und kompetent. (Link: https://t1p.de/welcome2datafreshup )

 

4      TOOLS/PROZESSE/BEISPIELE: VOM FORMULAR ZUR RECHTSSICHEREN PRAXIS

Der Fragenkatalog des HmbBfDI ist ein hervorragendes Werkzeug, doch sollte man wissen wie man es anwenden kann. Das 16-seitige Dokument ist kein simples Formular zum Abhaken, sondern erfordert eine durchaus fundierte Auseinandersetzung. Eine Hilfestellung dazu:

  • Die Herausforderung der Bewertung: An vielen Stellen müssen Sie eine Einschätzung treffen, die juristisch belastbar sein muss. Können Sie zum Beispiel sicher beurteilen, ob die „vernünftigen Erwartungen“ einer betroffenen Person erfüllt sind oder ob ein „milderes Mittel“ wirklich nicht existiert? Eine Fehleinschätzung hier kann die gesamte Argumentation unwirksam machen.

  • Betroffenenrechte mitdenken: Der Katalog fragt in den Fragen 3.19 bis 3.22 gezielt ab, ob und wie Betroffene ihr Auskunftsrecht (Art. 15 DSGVO), ihr Widerspruchsrecht (Art. 21 DSGVO), ihr Recht auf Löschung (Art. 17 DSGVO) und ihr Recht auf Berichtigung (Art. 16 DSGVO) tatsächlich ausüben können. Wer das berechtigte Interesse als Rechtsgrundlage wählt, muss insbesondere sicherstellen, dass ein funktionierender Widerspruchsprozess existiert und Betroffene darüber informiert werden.

  • Der Prozess ist entscheidend: Die einmalige Dokumentation ist nur der erste Schritt. Wie stellen Sie sicher, dass die Abwägung bei Prozessänderungen oder neuer Rechtsprechung regelmäßig überprüft wird? Ohne einen etablierten Prozess veraltet Ihre Dokumentation schnell.

  • Unsere Unterstützung: Genau hier setzen wir an. Wir helfen Ihnen, den abstrakten Fragenkatalog auf Ihre konkrete Unternehmens- oder Vereinspraxis anzuwenden. Wir bewerten mit Ihnen die kritischen Punkte, formulieren die Argumentation rechtssicher aus und helfen Ihnen, einen schlanken Prozess für die Zukunft zu etablieren.

Eine korrekte Interessenabwägung ist mehr als nur ein ausgefülltes Formular. Benötigen Sie eine fachkundige Zweitmeinung oder Unterstützung bei der Umsetzung? Wir unterstützen Sie pragmatisch und kompetent. (Link: https://t1p.de/welcome2datafreshup )

5       FAZIT: NEUE KLARHEIT ALS CHANCE ZUR ÜBERPRÜFUNG

Die Drei-Stufen-Prüfung des berechtigten Interesses ist für uns als Datenschutzbeauftragte von jeher ein zentrales Handwerkszeug. Wir unterstützen unsere Kund:innen bei diesem Abwägungsprozess rechtssicher und dokumentiert.

Der neue Fragenkatalog des HmbBfDI erfindet das Rad zwar nicht neu, aber er schafft erstmals eine von einer deutschen Aufsichtsbehörde veröffentlichte, behördliche Orientierungshilfe für diesen Prozess. Der Katalog basiert dabei auf den Leitlinien 1/2024 des Europäischen Datenschutzausschusses (EDSA) zum berechtigten Interesse und setzt diese für die deutsche Praxis um. Er gibt eine neue, greifbare Klarheit, an der sich alle Verantwortlichen messen lassen müssen.

Diese neue Verbindlichkeit ist der ideale Anlass, um jetzt aktiv zu werden. Sowohl neue als auch bestehende Verarbeitungstätigkeiten, die auf der Rechtsgrundlage des berechtigten Interesses beruhen, sollten nun überprüft und an diesem klaren Standard ausgerichtet werden. Als Ihre Datenschutzberater:innen bzw. externen Datenschutzbeauftragte:n nutzen wir diese neue Klarheit, um Ihre bestehenden Interessenabwägungen effizient zu überprüfen und sicherzustellen, dass sie auch zukünftig behördlichen Prüfungen standhalten.

Gehen Sie auf Nummer sicher. Fordern Sie jetzt ein Audit Ihrer bestehenden Interessenabwägungen an oder lassen Sie uns komplexe Fälle gemeinsam individuell prüfen.

QUELLEN

DataFreshup GmbH

Hauptstraße 19
92345 Dietfurt a.d.Altmühl
Deutschland

T: +49 8464 23599 90

E: office@datafreshup.de

Social Media

instagram-logo

LinkedIn

instagram-logo

XING

Info

Angebotsanfrage

Blog

Newsletter

FAQ

Unternehmen

Über uns

Karriere

Partner

Transparenz

Datenschutzerklärung

Impressum

AGB

DataFreshup GmbH

Hauptstraße 19
92345 Dietfurt a.d.Altmühl
Deutschland

T: +49 8464 23599 90

E: office@datafreshup.de

Social Media

instagram-logo

LinkedIn

instagram-logo

XING

Info

Angebotsanfrage

Blog

Newsletter

FAQ

Unternehmen

Über uns

Karriere

Partner

Transparenz

Datenschutzerklärung

Impressum

AGB

DataFreshup GmbH

Hauptstraße 19
92345 Dietfurt a.d.Altmühl
Deutschland

T: +49 8464 23599 90

E: office@datafreshup.de

Social Media

instagram-logo

LinkedIn

instagram-logo

XING

Info

Angebotsanfrage

Blog

Newsletter

FAQ

Unternehmen

Über uns

Karriere

Partner

Transparenz

Datenschutzerklärung

Impressum

AGB