Berechtigtes Interesse vs. Einwilligung (DSGVO): Wann darf man was verwenden?

Ihr Marketingteam möchte Kaltakquise-E-Mails an eine gekaufte Liste von Geschäftskontakten senden. Ihr Data Engineer möchte verhaltensbasierte Analysen bei eingeloggten Nutzern ohne Opt-in durchführen. Ihr Sicherheitsteam möchte alle Nutzeraktivitäten zur Anomalieerkennung protokollieren. Drei Teams, drei Verarbeitungstätigkeiten, drei Personen, die „berechtigtes Interesse" als Antwort identifiziert haben. Mindestens einer von ihnen liegt wahrscheinlich falsch — und keiner hat die Dokumentation erstellt, die es ermöglichen würde, diese Entscheidungen gegenüber einer Aufsichtsbehörde zu verteidigen.

Genau hier machen die meisten Organisationen bei DSGVO-Rechtsgrundlagen-Entscheidungen Fehler: Sie behandeln das berechtigte Interesse als flexiblen Standard, der den Aufwand der Einwilligungseinholung vermeidet, anstatt es als strukturierte Rechtsgrundlage zu betrachten, die eine eigene, strenge Analyse erfordert. Die kumulierten DSGVO-Bußgelder überstiegen bis Januar 2025 die Marke von 5,88 Milliarden Euro. LinkedIn wurde im Oktober 2024 mit einem Bußgeld von 310 Millionen Euro für zielgerichtete Werbung belegt. Meta wurde nach einer Entscheidung des EDSA, wonach weder Vertrag noch berechtigtes Interesse als Rechtsgrundlage für diese Verarbeitung dienen kann, im gesamten EWR mit einem Verbot von Verhaltensadvertising belegt. Fehler bei der Rechtsgrundlage gehören zu den häufigsten Gründen für Durchsetzungsmaßnahmen — und sie sind besonders folgenreich, weil die DSGVO es verbietet, die Rechtsgrundlage im Nachhinein zu wechseln.

Kurzfassung

• Artikel 6 DSGVO sieht sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vor. Einwilligung und berechtigtes Interesse werden am häufigsten falsch angewendet.
• Berechtigtes Interesse ist die flexibelste Grundlage, erfordert aber einen dokumentierten dreiteiligen Test: Zweck, Erforderlichkeit und eine Abwägung Ihrer Interessen gegen die Rechte der betroffenen Personen.
• Einwilligung ist in bestimmten Kontexten zwingend erforderlich — bei nicht-essentiellen Cookies und Tracking-Technologien nach der ePrivacy-Richtlinie, bei sensiblen Daten nach Artikel 9 sowie in Situationen mit Machtgefälle, in denen eine wirklich freiwillig erteilte Einwilligung erreichbar ist.
• Die EDSA-Leitlinien 1/2024 zu Artikel 6 Abs. 1 lit. f vom Oktober 2024 haben die Methodenanforderungen für das berechtigte Interesse verschärft und dabei das EuGH-Urteil vom Oktober 2024 in der Rechtssache C-621/22 (KNLTB / AP) einbezogen.
• Das berechtigte Interesse als Abkürzung um die Einwilligungspflicht herum zu behandeln, ist der am häufigsten genannte Fehler in Durchsetzungsentscheidungen.

Die sechs Rechtsgrundlagen und die Einordnung von Einwilligung und berechtigtem Interesse

Artikel 6 DSGVO listet sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten auf: Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Alle sechs sind rechtlich gleichrangig — es gibt keine Hierarchie. Jede hat jedoch spezifische Voraussetzungen, und sobald eine Rechtsgrundlage festgelegt und angewendet wurde, kann sie nicht nachträglich gegen eine andere ausgetauscht werden, wenn sich die ursprüngliche Wahl als rechtlich unzureichend erweist.

Die Einwilligung nach Artikel 6 Abs. 1 lit. a erfordert eine freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung. Sie muss von anderen Geschäftsbedingungen getrennt sein, muss genauso einfach zu widerrufen sein, wie sie erteilt wurde, muss granular genug sein, um zwischen verschiedenen Verarbeitungszwecken zu unterscheiden, und darf nicht gebündelt werden. Für sensible Daten nach Artikel 9 — rassische oder ethnische Herkunft, Gesundheit, genetische Daten, biometrische Daten, sexuelle Orientierung, politische Meinungen, religiöse Überzeugungen — steigt der Maßstab noch weiter auf ausdrückliche Einwilligung, die eine ausdrückliche Erklärung und nicht nur eine bestätigende Handlung erfordert.

Berechtigtes Interesse nach Artikel 6 Abs. 1 lit. f erlaubt die Verarbeitung, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es erfordert keine vorherige Zustimmung des Nutzers, läuft nicht in der gleichen Weise ab wie eine Einwilligung und kann ein breiteres Spektrum kommerzieller und betrieblicher Zwecke abdecken — setzt aber eine dokumentierte Beurteilung voraus, die belegt, dass alle drei Voraussetzungen erfüllt sind, und kann keine ausdrücklichen regulatorischen Einwilligungspflichten in anderen Rechtsrahmen außer Kraft setzen.

Wann Einwilligung die einzige Option ist

Bevor die Frage gestellt wird, ob berechtigtes Interesse die Einwilligung ersetzen kann, ist zunächst zu klären, ob Einwilligung unabhängig von einer Abwägung gesetzlich vorgeschrieben ist. Mehrere Kontexte treffen diese Entscheidung für Sie.

Nicht-essentielle Cookies und Tracking-Technologien werden durch die ePrivacy-Richtlinie und nicht durch die DSGVO geregelt. Nach ePrivacy ist eine Einwilligung erforderlich, bevor ein nicht-essentieller Cookie oder eine ähnliche Technologie auf dem Gerät eines Nutzers platziert wird — unabhängig davon, ob eine Interessenabwägung nach DSGVO erfolgreich wäre. Dies ist die Regel, die für Analyse-Cookies, Werbepixel, Session-Replay-Tools und Tracking-Technologien auf Websites und in Apps gilt. Eine Interessenabwägungsanalyse nach Artikel 6 Abs. 1 lit. f DSGVO setzt die ePrivacy-Einwilligungspflicht nicht außer Kraft.

Wo berechtigtes Interesse versagt: Die Hochrisiko-Fälle

Verhaltensbasierte Werbung und seitenübergreifendes Tracking sind die prominentesten Fälle, in denen das berechtigte Interesse in der EU-Durchsetzungsgeschichte gescheitert ist. Die verbindliche EDSA-Entscheidung von 2023 gegen Meta — die anschließend von der irischen Datenschutzbehörde mit einem EWR-weiten Verbot der Verarbeitung für verhaltensbasierte Werbung auf der Grundlage berechtigter Interessen umgesetzt wurde — stellt das Prinzip klar: Die Profilerstellung von Nutzerverhalten plattformübergreifend für Werbezwecke schafft Datenschutzauswirkungen, die erheblich genug sind, um den Abwägungstest scheitern zu lassen, und Einwilligung ist die angemessene Grundlage. LinkedIn erhielt 2024 ein Bußgeld von 310 Millionen Euro für dieselbe Kategorie von Fehlern. Dies sind keine Einzelfälle — sie repräsentieren das vorherrschende Durchsetzungsmuster beim Missbrauch berechtigter Interessen.

Profilerstellung mit erheblichen Auswirkungen auf Einzelpersonen — Kreditbewertungsalgorithmen, Bewerberauswahltools, Versicherungsrisikomodelle — erzeugt Ergebnisse, die so weitreichend sind, dass der Abwägungstest beim berechtigten Interesse sehr schwer zu bestehen ist, insbesondere bei automatisierten Entscheidungen, die in den Anwendungsbereich von Artikel 22 fallen. Risikoreiche automatisierte Verarbeitung dieser Art erfordert nicht nur eine Rechtsgrundlage, sondern auch eine Datenschutz-Folgenabschätzung (DSFA), und verlangt angesichts des Potenzials für diskriminierende oder finanziell bedeutsame Ergebnisse häufig Einwilligung statt berechtigtem Interesse.

Die Zweckentfremdung von Daten, die für einen Zweck erhoben wurden, für einen wesentlich anderen Zweck ist ein häufiger Fehler beim berechtigten Interesse. Eine Organisation, die E-Mail-Adressen für Transaktionskommunikation erhebt, kann diese Daten nicht automatisch unter berechtigtem Interesse auf verhaltensbasierte Analysen oder Werbe-Targeting ausdehnen — der ursprüngliche Erhebungskontext prägt die berechtigten Erwartungen, die der Abwägungstest erfüllen muss. Eine Verarbeitungstätigkeit mit einem neuen Zweck erfordert eine neue Rechtsgrundlagenanalyse für diesen spezifischen Zweck, keine Ausweitung der ursprünglichen.

Der dreiteilige Interessenabwägungstest in der Praxis

Die Interessenabwägungsbeurteilung (Legitimate Interest Assessment, LIA) ist nicht optional. Der Grundsatz der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO verlangt, dass Verantwortliche die Einhaltung der DSGVO nachweisen können — und das Nachweisen eines berechtigten Interesses bedeutet, den dreiteiligen Test in einer Form zu dokumentieren, die Aufsichtsbehörden im Rahmen einer Untersuchung oder Prüfung vorgelegt werden kann.

Die drei Teile des Tests sind:

1. Zweck: Das verfolgte Interesse muss legitim sein — real, präzise und klar formuliert, nicht trivial oder vorgeschoben. Kommerzielle Interessen, Sicherheitsinteressen und administrative Effizienz können alle in Frage kommen, sofern sie hinreichend klar und spezifisch sind.

2. Erforderlichkeit: Die Verarbeitung muss für die Erreichung des legitimen Zwecks erforderlich sein. Wenn ein weniger eingreifendes Mittel denselben Zweck erreichen würde, besteht die Erforderlichkeit nicht.

3. Abwägung: Die Interessen des Verantwortlichen müssen gegen die Grundrechte und Grundfreiheiten der betroffenen Person abgewogen werden. Faktoren, die die Waagschale zugunsten der betroffenen Person kippen — Verarbeitung besonderer Datenkategorien, Verarbeitung von Kinderdaten, erhebliche und schwer reversible Auswirkungen, fehlende vernünftige Erwartung der betroffenen Person — können den Test scheitern lassen, selbst wenn Zweck und Erforderlichkeit erfüllt sind.

Die EDSA-Leitlinien 1/2024 zu Artikel 6 Abs. 1 lit. f haben die Methodenleitlinien aktualisiert und dabei die jüngste EuGH-Rechtsprechung einbezogen sowie die Anforderungen an Dokumentationstiefe und -spezifität verschärft. Eine LIA, die den alten Methodenstandards entspricht, kann den neuen regulatorischen Erwartungen nicht standhalten.

Dokumentation des berechtigten Interesses

Die LIA muss schriftlich vorliegen, bevor die Verarbeitung beginnt. Mindestinhalt einer verteidigungsfähigen LIA:

• Identifizierung des Interesses: Präzise Beschreibung des verfolgten legitimen Interesses — nicht „Geschäftsinteressen" oder „betriebliche Notwendigkeit", sondern der spezifische Zweck und warum er legitim ist.
• Erforderlichkeitsanalyse: Nachweis, dass die Verarbeitung notwendig ist und nicht durch weniger eingreifende Mittel ersetzt werden kann, die denselben Zweck erreichen.
• Abwägungsdokumentation: Strukturierte Analyse der Rechte und vernünftigen Erwartungen der betroffenen Person, der Art der verarbeiteten Daten, der möglichen Auswirkungen und der vorhandenen Schutzmaßnahmen.
• Schlussfolgerung und Kontrolldatum: Ausdrückliche Schlussfolgerung, dass die Abwägung zugunsten des Verantwortlichen ausfällt, sowie ein Datum für die Überprüfung, wenn sich die Verarbeitungsumstände wesentlich ändern.

Praxisszenarien: Welche Rechtsgrundlage gilt

Entscheidungsrahmen

Gehen Sie bei jeder neuen Verarbeitungstätigkeit diese Fragen der Reihe nach durch:

1. Schreibt ein anderer Rechtsrahmen Einwilligung vor? (ePrivacy für Cookies; Artikel 9 für besondere Datenkategorien) → Wenn ja: Einwilligung ist zwingend.
2. Besteht ein Vertragsverhältnis, das diese Verarbeitung notwendig macht? → Wenn ja: Artikel 6 Abs. 1 lit. b prüfen.
3. Besteht eine rechtliche Verpflichtung? → Wenn ja: Artikel 6 Abs. 1 lit. c prüfen.
4. Kann das berechtigte Interesse den dreiteiligen Test bestehen? → LIA dokumentieren, bevor mit der Verarbeitung begonnen wird.
5. Ist die Verarbeitung hochriskant oder hat sie erhebliche Auswirkungen auf Einzelpersonen? → Einwilligung bevorzugen; LIA wird von Aufsichtsbehörden wahrscheinlich angefochten.
6. Wenn Einwilligung gewählt wird: Sicherstellen, dass alle Anforderungen nach Artikel 7 erfüllt sind und ein CMP die Einwilligungsereignisse protokolliert.

Häufig gestellte Fragen

Kann ich die Rechtsgrundlage wechseln, wenn die ursprüngliche Wahl falsch war?

Nein. Die DSGVO verbietet ausdrücklich den nachträglichen Wechsel der Rechtsgrundlage, wenn die ursprüngliche Wahl sich als unzureichend erweist. Dies ist einer der schwerwiegendsten Fehler in der Praxis: eine Verarbeitung unter berechtigtem Interesse zu beginnen und dann zu versuchen, auf Einwilligung umzustellen, wenn die ursprüngliche Grundlage angefochten wird. Aufsichtsbehörden behandeln einen solchen Wechsel als Eingeständnis, dass die ursprüngliche Verarbeitung rechtswidrig war.