Illustration mit einer Glühbirne, die andere anstößt, und dem Wort One-Stop-Shop.

EDPB: Fallzusammenfassung zum „berechtigten Interesse“ nach Art. 6 Abs. 1 S. 1 lit. f DSGVO

20.05.2026

Der Europäische Datenschutzausschuss (EDPB) hat eine thematische Fallzusammenfassung zum „berechtigten Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO veröffentlicht. Die Zusammenfassung bündelt sog. One-Stop-Shop(OSS)-Entscheidungen (wir berichteten) aus dem öffentlichen EDPB-Register und analysiert anhand konkreter Beispiele wie Datenschutzbehörden den dreistufigen Test zur Prüfung berechtigter Interessen anwenden. Ergänzend werden die EDPB-Leitlinien 1/2024 zur Datenverarbeitung auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO, relevante EuGH-Rechtssachen und nationale Rechtsprechungen berücksichtigt.

Die Zusammenfassung wurde im Rahmen des „Support Pool of Experts“-Programms des EDPB in Auftrag gegeben, welches die Zusammenarbeit zwischen Datenschutzbehörden bei der Durchsetzung von Datenschutzvorgaben stärken soll.

Das Dokument One-stop-shop Case Digest Legitimate interest hebt zunächst die Voraussetzungen des legitimen Interesses als Rechtsgrundlage hervor und erläutert diese anschließend im Detail. Art. 6 Abs. 1 S. 1 lit. f DSGVO erlaubt die Verarbeitung personenbezogener Daten ohne Einwilligung, sofern drei kumulative Voraussetzungen erfüllt sind:

  • Der Verantwortliche oder ein Dritter muss ein berechtigtes Interesse verfolgen,
  • die Verarbeitung muss zur Erreichung dieses Interesses erforderlich sein, und
  • die Interessen sowie Grundrechte der betroffenen Person dürfen nicht überwiegen.

Besondere Vorsicht ist geboten, wenn es sich bei der betroffenen Person um ein Kind handelt und eine öffentliche Stelle als Verantwortliche auftritt: Letztere kann sich bei der Ausübung hoheitlicher Aufgaben ausdrücklich nicht auf diese Rechtsgrundlage berufen.

1. Das berechtigte Interesse

In der Fallzusammenfassung des EDPB wird die Unterscheidung zwischen „Interesse“ und „Verarbeitungszweck“ verdeutlicht:

Die DSGVO unterscheide klar zwischen dem Zweck einer Datenverarbeitung und dem dahinterstehenden Interesse. Während der Zweck den konkreten Grund der Verarbeitung beschreibe – also das spezifische Ziel –, sei das Interesse das übergeordnete Anliegen oder der Nutzen, den ein Verantwortlicher damit verfolgt. Als Beispiel wird angeführt: Das Interesse liegt in der Produktvermarktung, der Zweck ist die konkrete Verarbeitung für Direktmarketing.

In der Praxis zeige sich jedoch, dass viele Verantwortliche diese Unterscheidung nicht beherrschen. Während erfahrene Unternehmen ihre berechtigten Interessen detailliert und strukturiert darlegen würden, machen weniger versierte Verantwortliche häufig den Fehler, Interessen nur vage oder gar nicht zu benennen – und würden im Zweifelsfall nicht nachweisen können, dass eine ordnungsgemäße Abwägungsprüfung stattgefunden hätte.

Wann ist ein Interesse „berechtigt“?

Die DSGVO definiere den Begriff „berechtigt“ nicht ausdrücklich, so das EDPB, jedoch wird auf die Klarstellung des EuGH in der Rechtssache Koninklijke Nederlandse Lawn Tennisbond, „KNLTB“ (C-621/22, wir berichteten), verwiesen: Ein berechtigtes Interesse muss nicht gesetzlich verankert sein – auch ein rein wirtschaftliches Interesse kann grundsätzlich als berechtigt anerkannt werden, sofern es nicht rechtswidrig ist, also nicht gegen EU-Recht oder nationales Recht verstößt.

In der Praxis bedeute dies: Bevor überhaupt eine Abwägungsprüfung stattfindet, muss zunächst geprüft werden, ob das verfolgte Interesse rechtlich zulässig ist. In der Fallzusammenfassung wird dies u. a. durch dieses Beispiel verdeutlicht: Das Versenden von Werbe-E-Mails für E-Zigaretten könne kein berechtigtes Interesse begründen, da solche E-Mails durch die Tabakproduktrichtlinie verboten seien.

Zudem gelte: Auch wenn ein wirtschaftliches Interesse grundsätzlich anerkannt werden könne, sollte es nicht überbewertet werden. Wie bereits vor dem KNLTB-Urteil in der aufsichtsbehördlichen Praxis betont wurde, darf ein rein wirtschaftliches Interesse im Rahmen der Abwägung kein Grundrecht der betroffenen Person ausstechen.

Klare und präzise Formulierung des berechtigten Interesses

Laut EDPB-Leitlinien 1/2024 muss ein berechtigtes Interesse klar und präzise formuliert sein – nur so kann es ordnungsgemäß gegen die Rechte der betroffenen Person abgewogen werden. Mangelnde Konkretheit sei in der Praxis einer der häufigsten Fehler von Verantwortlichen gewesen und hätte regelmäßig gleich zwei Konsequenzen: Ein vage formuliertes Interesse begründe keine wirksame Rechtsgrundlage nach Art. 6 DSGVO und verstoße gleichzeitig gegen die Transparenzpflicht nach Art. 13 DSGVO. Das EDPB macht deutlich: Wer sein berechtigtes Interesse nicht klar benennen kann, kann weder eine wirksame Rechtsgrundlage vorweisen noch die betroffene Person angemessen informieren.

Beispiele für berechtigte Interessen

In der Fallzusammenfassung wird auf die in den Erwägungsgründen 47–50 der DSGVO nicht abschließende Liste anerkannter berechtigter Interessen verwiesen, darunter Betrugsbekämpfung, Direktmarketing, Netz- und Informationssicherheit sowie die konzerninterne Datenweitergabe. Weitere Rechtsquellen wie die NIS-2-Richtlinie erweitern die in den Erwägungsgründen genannten Situationen (z. B. berechtigtes Interesse an der Verarbeitung von Daten gemäß Art. 6 Abs. 1 lit. f DSGVO im Rahmen von Vereinbarungen zum Austausch von Cybersicherheitsinformationen) oder können bei der Bestimmung von berechtigten Interessen berücksichtigt werden, z. B. die AMLD6 (Zugang zu Informationen über wirtschaftliche Eigentümer zur Bekämpfung von Geldwäsche).

Auch wurde durch den EuGH und nationale Aufsichtsbehörden das Spektrum an berechtigten Interessen in den letzten Jahren erweitert und z. B. folgende anerkannt:

  • Betrieb öffentlich zugänglicher Websites
  • Kreditwürdigkeitsprüfung
  • Schutz von Eigentum, Gesundheit und Leben
  • Entwicklung von KI-Systemen zur Betrugs- oder Bedrohungserkennung

Auch neuere, weniger etablierte Interessen hätten Anerkennung gefunden – etwa die Bewertung von Taxifahrgästen zur Fahrersicherheit, die Verhinderung der Umgehung von Sperren bei Internetdiensten oder die Weitergabe von Flugverkehrsdaten an Dritte.

Zudem wird betont: Art. 6 Abs. 1 S. 1 lit. f DSGVO kann nur auf die Interessen konkreter Verantwortlicher oder Dritter gestützt werden – nicht auf allgemeine öffentliche oder gesellschaftliche Interessen. Andererseits zeigen einzelne Entscheidungen, dass ein übergeordnetes öffentliches Interesse bei der Beurteilung berechtigter Drittinteressen durchaus berücksichtigt werden kann (z. B. der Fall Flightradar24 – EDPBI:SE:OSS:D:2025:1825).

2. Die Erforderlichkeit der Verarbeitung

Der zweite Schritt im Rahmen der Prüfung von Art. 6 Abs. 1 S. 1 lit. f DSGVO verlange den Nachweis, dass das berechtigte Interesse nicht ebenso wirksam durch weniger eingreifende Mittel erreicht werden kann. Dabei seien insbesondere der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) sowie die Grundrechte auf Privatsphäre und Datenschutz (Art. 7 und 8 der EU-Charta) zu berücksichtigen.

In der Praxis seien Verantwortliche an diesem Schritt gescheitert, wenn realistische Alternativen verfügbar waren, so z. B. in diesen Fällen:

  • EDPBI:DEBE:OSS:D:2022:477: Die Erhebung von Telefonnummern für den Kundendienst wurde als nicht erforderlich eingestuft, da eine E-Mail-Adresse als gleich wirksames, aber weniger eingreifendes Kommunikationsmittel zur Verfügung stand. Auch zur Betrugsprävention war die Telefonnummer entbehrlich, da eine Sperrung der verdächtigen Transaktion ausreichte.
  • EDPBI:ES:OSS:D:2021:338: Die Verwendung von Gästefotos durch das Hotel sei nicht unbedingt erforderlich, um Betrug zu verhindern, da andere Mittel, wie die Überprüfung von Nachnamen und Zimmernummern oder die Einholung von Unterschriften, genutzt werden könnten.

3. Die Interessenabwägung

In der Abwägungsprüfung als dritte Voraussetzung für die Berufung auf ein berechtigtes Interesse müsse der Verantwortliche untersuchen, ob seine Interessen gegenüber den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person überwiegen. Gemäß den EDPB-Leitlinien 1/2024 umfasst diese Prüfung die Ermittlung der betroffenen Interessen, die Bewertung der Verarbeitungsauswirkungen (einschließlich Datennatur, Kontext und weiterer Folgen), die vernünftigen Erwartungen der betroffenen Person sowie die abschließende Gesamtabwägung unter Einbeziehung möglicher Abhilfemaßnahmen. In der Praxis würden OSS-Entscheidungen zeigen, dass die Interessen der betroffenen Personen weit ausgelegt werden: So wurden etwa Risiken sozialer Ausgrenzung, Jobverlust durch veröffentlichte Schuldeninformationen oder die Verweigerung einer Taxifahrt aufgrund negativer Bewertungen berücksichtigt. Besonders bemerkenswert sei die Entscheidung zu Worldcoin, in der erstmals ein „Recht auf Lüge“ als schutzwürdiges Interesse anerkannt wurde – also das Recht, in bestimmten Situationen falsche Angaben machen zu können, etwa um sich vor ungerechtfertigten oder rechtswidrigen Datenanforderungen zu schützen.

Im Worldcoin-Fall (EDPBI:DEBY:OSS:D:2024:1594) bewertete die Aufsichtsbehörde die Verarbeitungsauswirkungen als besonders schwerwiegend, da das biometrische System die informationelle Selbstbestimmung dauerhaft untergraben und durch eine zentralisierte Datenbank erhebliche Sicherheitsrisiken mit sich bringen würde. Bei den vernünftigen Erwartungen der betroffenen Person zeige sich, dass fehlende Transparenz zwar zum Scheitern eines berechtigten Interesses führen kann (EDPBI:FR:OSS:D:2024:1257 – Werbung), dies jedoch nicht zwingend der Fall sei, wenn die betroffene Person die Verarbeitung im jeweiligen Kontext vernünftigerweise erwarten konnte (EDPBI:SE:OSS:D:2022:506 – Betrugsbekämpfung). Schließlich verdeutliche eine estnische Entscheidung zu einem Fahrdienstvermittler, dass eine zunächst unzulässige Verarbeitung durch gezielte Abhilfemaßnahmen – etwa verbesserte Informationen, ein Anfechtungsrecht und menschliche Kontrollmechanismen – nachträglich rechtmäßig gestaltet werden könne.

Die Fallzusammenfassung verdeutlicht zudem, dass nationale Aufsichtsbehörden bei der Bewertung berechtigter Interessen teils zu unterschiedlichen Ergebnissen kommen – besonders im Verbraucherfinanzbereich (z. B. bei der Kreditprüfung oder der Identifizierung von Schuldnern). Weitere Themen sind die nachträgliche Berufung auf berechtigte Interessen, die Betrugsbekämpfung, die Standortdatenerhebungen bei Mietfahrzeugen sowie das Spannungsfeld zwischen DSGVO und ePrivacy-Richtlinie.

Fazit

Die Fallzusammenfassung des EDPB zeigt, dass Verantwortliche bei Art. 6 Abs. 1 lit. f DSGVO in der Praxis weniger am Vorliegen eines berechtigten Interesses scheitern als vielmehr an dessen unzureichender Dokumentation, zu vager Formulierung oder fehlender Abwägungsprüfung. Der Erforderlichkeitsgrundsatz, die Transparenzpflichten und die vernünftigen Erwartungen der betroffenen Person erweisen sich dabei als besondere Hürden. Gleichzeitig verdeutlichen die Entscheidungen, dass gezielte Abhilfemaßnahmen eine zunächst unzulässige Verarbeitung rechtmäßig machen können – und dass eine gewisse Uneinheitlichkeit in der nationalen Aufsichtspraxis weiterhin Rechtsunsicherheit für grenzüberschreitend tätige Unternehmen schafft.

Wenn Sie Unterstützung bei der Prüfung und Dokumentation von berechtigten Interessen als Grundlage einer Datenverarbeitung benötigen, sprechen Sie uns gerne an.

Aufsichtsbehörden | AMLD6, Art. 6 Abs. 1 S. 1 lit. f DSGVO, Aufsichtsbehörde, berechtigtes Interesse, Datenverarbeitung, EDPB, EDPB-Leitlinien, EuGH, Interessenabwägung, NIS-2-Richtlinie, One-Stop-Shop, OSS, OSS-Entscheidungen, Rechtsgrundlage, wirtschaftliches Interesse, Zweck der Datenverarbeitung
Beitrag kommentieren

Keine Kommentare

« Vorheriger Beitrag Nächster Beitrag »
Seminarwerbung gegrpüfte:r Datenschutzkoordinator:in