Eine Interessenabwägung ist kein Hexenwerk, aber es gilt einige Grundregeln zu beachten. Was es mit der dreistufigen Prüfung und den Hilfskriterien auf sich hat, soll ein Praxisbeispiel verdeutlichen.
Zunächst: Interessenabwägungen im Sinne der DSGVO haben einen weiten und unspezifischen Anwendungsbereich und werden erst durch ihre detaillierte Durchführung konkretisiert. Die Durchführung selbst folgt in einem 3-stufigen Prüfungsschema. Es muss berücksichtigt werden, dass es sich nicht um einen eigenständigen Erlaubnistatbestand handelt und keinen Auffangtatbestand darstellt. Wie ist das dreistufige Prüfungsschema aufgebaut? Die Stufen der Prüfung sind die Folgenden:
Stufe 1: Vorliegen eines berechtigten Interesses
Stufe 2: Erforderlichkeit der Datenverarbeitung zur Wahrung der Interessen aus Stufe 1
Stufe 3: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der Betroffenen
Diese Stufenprüfung bildete sich in der Praxis, angelehnt an die Rechtsprechung des EuGHs und die Vorgaben der europäischen Aufsichtsbehörden, heraus. Was macht die Interessenabwägung so riskant? Im Streitfall kann sie überprüft und für fehlerhaft angesehen werden. Folge: Die Datenverarbeitung wäre dann ohne Rechtsgrundlage erfolgt. Deshalb ist eine hohe Sorgfalt und Seriosität zwingend notwendig, um eine datenschutzkonforme Lösung anzuwenden. Auch sollte das Ergebnis der Prüfung alleine schon aufgrund der Rechenschaftspflicht dokumentiert werden.
Die Prüfung eines Praxisbeispiels macht es deutlich: Installation einer Videoüberwachung auf dem Firmengelände.
Stufe 1: Berechtigtes Interesse? Liegt in der Regel vor! Als Unternehmen, welches auf einem Werksgelände mit mehreren Eingängen ansässig ist, habe ich ein berechtigtes Interesse daran, die Eingänge und Zufahrten mit Videokameras zu überwachen, um nur Befugten den Zutritt zu gewähren (Zutrittskontrolle).
Stufe 2: Liegt eine Erforderlichkeit der Datenverarbeitung vor? Die Frage ist oftmals zu bejahen. Es ist zur Videoüberwachung einer Werkseinfahrt weniger eingriffsintensiv, wenn die Kamera nur dann eingeschaltet ist, wenn z. B. ein LKW-Fahrer geklingelt hat und auch nur ein „Live-Stream“ (ohne Aufzeichnung) zum Pförtner stattfindet. Dadurch wird klargestellt, dass im Prüfschritt a) zwar die Geeignetheit einer dauerhaften Videoaufzeichnung gegeben ist, jedoch im Prüfschritt b) ein milderes/gelinderes Mittel zur Zweckerreichung eingesetzt werden kann, indem nur temporär eine Übertragung des Bildes stattfindet.
Stufe 3: Die Prüfung von Stufe drei ist das Herzstück, da es nun um die Abwägung der festgestellten Interessen in Stufe 1 mit den Rechten der betroffenen Person geht. Es sind jedoch nicht nur normative Rechte zu berücksichtigen, sondern auch Interessen von Betroffenen wie z. B. der Schutz von Privatsphäre durch die dauerhafte Beobachtung in sozialen Bereichen, wenn die Videoüberwachung in der betrieblichen Kaffeeküche oder vor dem WC stattfindet.
Bei festgestellten wechselseitigen Interessen müssen diese gewichtet werden. Zwei Grundsätze gilt es hier zu berücksichtigen:
1) Verfassungsrechtlich geschützte Interessen sind höher als einfachgesetzliche Interessen zu gewichten und
2) ein Interesse ist gewichtiger, wenn es einen Nutzen für die Allgemeinheit darstellt.
„Die Hinzuziehung von Hilfskriterien kann die Prüfung in Stufe drei erleichtern. Grundsätzlich ist es zwar so, dass das berechtigte Interesse weit zugunsten des Unternehmens zu interpretieren ist“, erläutert UIMC-Partner Dr. Haaz unter Zugrundelegen der Erwägungsgründe. Doch kann die „Waage“ bei der Interessensabwägung durch die Stufe 3 wieder dazu führen, dass eine Datenverarbeitung nicht zulässig ist.
In dem o. g. skizzierten Beispiel ist oftmals eine Zulässigkeit gegeben, aber eine Einzelfall-Entscheidung erforderlich. Eine Außenhautüberwachung außerhalb der Geschäftszeiten ist somit eher zulässig als die dauerhafte Überwachung des Hinterausgangs, wo auch der Raucherbereich der Beschäftigten liegt.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de