Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO: Neuer Fragenkatalog des HmbBfDI als praxisnaher Leitfaden

Veröffentlicht am 9. Februar 2026 von SWinkler

Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO gehört zu den am häufigsten genutzten – und zugleich anspruchsvollsten – Erlaubnistatbeständen der Datenschutz-Grundverordnung. Um Verantwortlichen mehr Rechtssicherheit zu geben, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen umfassenden und praxisnahen Fragenkatalog zur Interessenabwägung veröffentlicht. Das Dokument unterstützt Behörden, Unternehmen und Organisationen bei der strukturierten Durchführung einer sogenannten Legitimate Interests Assessment (LIA).

Ziel des Fragenkatalogs: Struktur, Nachvollziehbarkeit und Rechtssicherheit

Ziel des Fragenkatalogs ist es, Verantwortliche bei der sorgfältigen und dokumentierten Prüfung der Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO zu unterstützen. Im Mittelpunkt stehen dabei drei zentrale Prüfschritte, die kumulativ erfüllt sein müssen:

  1. Feststellung eines berechtigten Interesses,
  2. Erforderlichkeit der Datenverarbeitung zur Zweckerreichung sowie
  3. Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Personen.

Der Leitfaden hilft, diese Schritte nicht nur rechtlich korrekt, sondern auch nachvollziehbar zu dokumentieren. Damit wird eine belastbare Entscheidungsgrundlage geschaffen, die sowohl internen Prüfungen als auch einer Kontrolle durch Aufsichtsbehörden standhält.

Dreistufige Prüfung als Kern des Leitfadens

Der Fragenkatalog des HmbBfDI folgt einer klaren Dreistufenlogik, die sich an den aktuellen Leitlinien des Europäischen Datenschutzausschusses orientiert.

1. Berechtigtes Interesse klar definieren

Im ersten Schritt müssen Verantwortliche präzise festlegen, welches konkrete Interesse mit der Verarbeitung verfolgt wird. Der Katalog macht deutlich, dass berechtigte Interessen nicht abstrakt oder spekulativ sein dürfen. Sie müssen real, gegenwärtig und rechtmäßig sein. Gleichzeitig wird betont, dass betroffene Personen über das berechtigte Interesse transparent zu informieren sind.

2. Erforderlichkeit und Datenminimierung prüfen

Der zweite Prüfungsschritt widmet sich der Frage, ob die geplante Verarbeitung notwendig ist oder ob mildere Mittel zur Verfügung stehen. Der Leitfaden stellt hier einen engen Bezug zum Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO her. Verantwortliche müssen prüfen, ob der Zweck auch mit weniger Daten, kürzerer Speicherdauer oder alternativen technischen Lösungen erreicht werden kann.

3. Interessenabwägung mit Fokus auf Betroffenenrechte

Der umfangreichste Teil des Fragenkatalogs betrifft die eigentliche Interessenabwägung. Hier werden unter anderem berücksichtigt:

  • Art und Sensibilität der verarbeiteten Daten,
  • vernünftige Erwartungen der betroffenen Personen,
  • mögliche negative oder positive Auswirkungen der Verarbeitung,
  • besondere Schutzbedarfe, etwa bei Kindern oder sensiblen Daten,
  • technische und organisatorische Schutzmaßnahmen.

Gerade dieser Teil macht den Leitfaden besonders wertvoll, da er Verantwortliche dazu anhält, die Perspektive der betroffenen Personen systematisch einzubeziehen.

Bedeutung für Datenschutzmanagement und Rechenschaftspflicht

Der Fragenkatalog ist mehr als eine theoretische Arbeitshilfe. Er ist ein zentrales Instrument für ein wirksames Datenschutzmanagement. Durch die strukturierte Dokumentation unterstützt er Verantwortliche bei der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Gleichzeitig fördert er Transparenz, interne Abstimmungsprozesse und eine konsistente Entscheidungsfindung.

Besonders hervorzuheben ist, dass der Leitfaden ausdrücklich als lebendes Dokument verstanden wird: Interessenabwägungen sollen regelmäßig überprüft und an veränderte Umstände angepasst werden.

Fazit: Praktische Orientierung für eine komplexe Rechtsgrundlage

Mit dem Fragenkatalog zur Interessenabwägung stellt der HmbBfDI ein praxisnahes und detailliertes Arbeitsmittel zur Verfügung, das Verantwortlichen hilft, die Rechtsgrundlage des berechtigten Interesses rechtssicher anzuwenden. Gerade weil Art. 6 Abs. 1 lit. f DSGVO offen formuliert ist, schafft der Leitfaden wertvolle Klarheit und Struktur.

Wenn du Unterstützung bei der Durchführung oder Dokumentation einer Interessenabwägung benötigst oder Fragen zur Anwendung des Leitfadens hast, stehen wir dir jederzeit gern beratend zur Seite.

Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , | Schreibe einen Kommentar

Urteil zum Datenschutz: Österreichisches BVwG untersagt reCAPTCHA-Einsatz ohne Zustimmung

Veröffentlicht am 15. Dezember 2025 von SWinkler

Google-Dienste auf Webseiten: Wann eine Einwilligung zwingend erforderlich ist

Ein Urteil des Bundesverwaltungsgerichts (13.09.2024, GZ: W298 2274626-1) schafft Klarheit: Die Einbindung von Google reCAPTCHA auf Webseiten ist ohne vorherige Einwilligung der Nutzerinnen und Nutzer nicht zulässig. Der Dienst, der Bots abwehren soll, setzt automatisch Cookies und überträgt Daten an Google – auch ohne Zustimmung. Genau das ist laut BVwG unzulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Urteil zum Datenschutz: Österreichisches BVwG untersagt reCAPTCHA-Einsatz ohne Zustimmung

Microsoft 365 auf dem Prüfstand des HBDI:

Veröffentlicht am 23. November 2025 von SWinkler

HBDI-Bericht zu Microsoft 365 (November 2025)

Am 15. November 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht zur datenschutzrechtlichen Bewertung von Microsoft 365 (M365) veröffentlicht. Dieser Bericht ist das Ergebnis mehrmonatiger Verhandlungen des HBDI (unter Leitung von Prof. Dr. Alexander Roßnagel) mit Microsoft. Ziel war es herauszufinden, unter welchen Bedingungen ein datenschutzkonformer Einsatz von M365 möglich ist – und zwar praxisnah für Unternehmen, Behörden und Bildungseinrichtungen. Zwar bezieht sich der Bericht hauptsächlich auf jene Einrichtungen in Hessen, gilt aber letztendlich in ganz Deutschland.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , , , , , | Kommentare deaktiviert für Microsoft 365 auf dem Prüfstand des HBDI:

Anwesenheitserfassung mit Teams?

Veröffentlicht am 5. November 2025 von SWinkler

Microsoft hat angekündigt, ab Dezember 2025 eine neue Funktion in Microsoft Teams einzuführen, mit der Arbeitgeber künftig die Anwesenheit ihrer Mitarbeitenden im Büro erfassen können. Dafür sollen Kalenderdaten, Statusinformationen und Arbeitsplatzbuchungen automatisch zusammengeführt werden.

Was Microsoft als Beitrag zu „Raum- und Ressourcenoptimierung“ bewirbt, ist in Wahrheit ein System zur digitalen Anwesenheitskontrolle – und damit in Deutschland datenschutzrechtlich nicht zulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Anwesenheitserfassung mit Teams?

Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

Veröffentlicht am 17. Oktober 2025 von SWinkler

Wenn Mitarbeitende krank werden, stellt sich für Arbeitgeber schnell die Frage: Besteht weiterhin Anspruch auf Lohnfortzahlung – oder springt schon die Krankenkasse ein?
Damit ein Unternehmen das prüfen kann, werden manchmal Gesundheitsdaten benötigt. Doch der Umgang mit diesen Informationen ist heikel. Die Landesdatenschutzbeauftragte NRW (LDI NRW) hat nun erstmals konkret erklärt, was Arbeitgeber wissen dürfen – und wo die Grenzen liegen.

Weiterlesen
Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

EDPB startet EU-weite Datenschutzprüfung 2026: Fokus auf Transparenzpflichten nach der DSGVO

Veröffentlicht am 16. Oktober 2025 von SWinkler

Im Oktober 2025 hat der Europäische Datenschutzausschuss (EDSA / EDPB) entschieden, dass seine fünfte koordinierte Durchsetzungsaktion im Jahr 2026 den Transparenz- und Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) gewidmet wird. Damit nehmen die europäischen Aufsichtsbehörden genau jene Vorschriften ins Visier, die sicherstellen sollen, dass Bürgerinnen und Bürger wissen, was mit ihren personenbezogenen Daten geschieht – ein zentrales Element der Datenschutz-Compliance.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für EDPB startet EU-weite Datenschutzprüfung 2026: Fokus auf Transparenzpflichten nach der DSGVO

Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

Veröffentlicht am 11. Oktober 2025 von SWinkler

Versteckte Systeme – ein unsichtbares Sicherheitsproblem

Schatten-IT bezeichnet alle IT-Systeme, Anwendungen oder Cloud-Dienste, die in einem Unternehmen ohne Wissen oder Zustimmung der IT-Abteilung eingesetzt werden.

Das kann harmlos wirken – etwa, wenn Mitarbeitende schnell ein kostenloses Online-Tool nutzen, um ihre Arbeit zu erleichtern. Doch gerade diese unkontrollierte Nutzung führt dazu, dass sensible Daten in Systeme gelangen, die nicht abgesichert oder überprüft sind.

Weiterlesen
Veröffentlicht unter Uncategorized | Kommentare deaktiviert für Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Veröffentlicht am 29. September 2025 von SWinkler

Das Oberlandesgericht (OLG) Düsseldorf hat am 10. Juli 2025 in der Sache 16 U 83/24 ein Urteil gefällt, das für Unternehmen wie auch für Betroffene von Datenschutzverstößen von erheblicher Bedeutung ist. Kern der Entscheidung: Schon der Verlust der Kontrolle über personenbezogene Daten kann nach der DSGVO einen Anspruch auf Schadensersatz begründen.

Weiterlesen
Veröffentlicht unter Uncategorized | Kommentare deaktiviert für OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Veröffentlicht am 17. September 2025 von SWinkler

Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache EDPS gegen Single Resolution Board (C-413/23 P) ein wegweisendes Urteil verkündet. Im Mittelpunkt stand die Frage: Wann sind pseudonymisierte Informationen personenbezogene Daten und wann sind sie es nicht – und für wen?

Das Urteil befasst sich mit einer für Unternehmen und Organisationen, die mit pseudonymisierten Daten arbeiten äußerst wichtigen Frage.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Private E-Mail am Arbeitsplatz: Warum Arbeitgeber nicht automatisch Telekommunikationsanbieter sind

Veröffentlicht am 3. September 2025 von SWinkler

Ausgangslage

Viele Unternehmen stellen ihren Mitarbeitern E-Mail-Accounts zur Verfügung. Oft wird neben der geschäftlichen auch die private Nutzung erlaubt oder stillschweigend geduldet. Die spannende Frage: Wird der Arbeitgeber dadurch zum Anbieter von Telekommunikationsdiensten mit allen Pflichten des Telekommunikationsgesetzes (TKG)?

Sicht der Datenschutzkonferenz (DSK)

Die unabhängigen Datenschutzbehörden vertraten jahrelang eine klare Linie:

  • Private Nutzung = Anbieterstellung nach TKG
  • Arbeitgeber sind an das Fernmeldegeheimnis gebunden
  • Jeder Zugriff auf private E-Mails ohne Zustimmung ist tabu
  • Ein Verstoß kann sogar eine Straftat nach § 206 StGB darstellen

Für Unternehmen bedeutete dies ein erhebliches Risiko: Selbst bei rein organisatorischem Zugriff auf das Postfach drohten rechtliche Probleme.

Position der Bundesnetzagentur

Die Bundesnetzagentur hat diese Sichtweise nun grundlegend relativiert. In ihrem Hinweispapier zu NI-ICS (nummernunabhängigen interpersonellen Telekommunikationsdiensten) stellt sie klar:

  • Ein Arbeitgeber, der E-Mail-Konten bereitstellt, handelt nicht gewerblich.
  • Das Angebot ist kein eigenständiges Geschäftsmodell, sondern ein Arbeitsmittel.
  • Da die Bereitstellung nicht gegen Entgelt erfolgt, fehlt die Grundlage für eine Einstufung als Telekommunikationsdienst.

Kernunterschied: Zweck des Angebots

  • DSK: Entscheidend ist die tatsächliche Nutzung – private Mails machen den Arbeitgeber zum Diensteanbieter.
  • BNetzA: Entscheidend ist die wirtschaftliche Einordnung – ohne Entgelt und ohne Marktbezug kein Telekommunikationsdienst.

Auswirkungen für Arbeitgeber

Die Einschätzung der BNetzA bringt spürbare Entlastung:

  • Das Fernmeldegeheimnis findet keine Anwendung.
  • Strafrechtliche Risiken werden minimiert.
  • Maßgeblich sind nun DSGVO und BDSG, also klassische Datenschutzvorgaben.
  • Arbeitgeber gewinnen mehr Flexibilität, müssen aber weiterhin den Umgang mit privaten Daten sorgsam regeln.

Praktisch bedeutet das: Unternehmen können die private Nutzung zulassen, ohne gleich in die volle TKG-Regulierung zu rutschen. Trotzdem bleiben klare Richtlinien – etwa über Betriebsvereinbarungen – wichtig, um Rechtssicherheit zu schaffen.

Fazit

Der Meinungsstreit zwischen DSK und BNetzA zeigt, wie stark die Bewertung von E-Mail-Nutzung am Arbeitsplatz von der Auslegung abhängt. Während die DSK auf eine strikte Anwendung des Fernmeldegeheimnisses pochte, stellt die Bundesnetzagentur auf den wirtschaftlichen Kontext ab – und kommt so zu einer entlastenden Einschätzung für Arbeitgeber.

Unternehmen sollten die aktuelle Entwicklung genau beobachten. Wir stehen Ihnen dabei sehr gern beratend zur Seite und unterstützen bei der Ausarbeitung praxisgerechter Lösungen.

Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Private E-Mail am Arbeitsplatz: Warum Arbeitgeber nicht automatisch Telekommunikationsanbieter sind