Das Verhältnismäßigkeitsprinzip im Datenschutz

Das Verhältnismäßigkeitsprinzip ist bei jeder Datenverarbeitung zu beachten.

Die Verhältnismäßigkeitsprüfung gehört nach Art. 5 Abs. 1 b) und c) DSGVO zu den Grundsätzen jeder Datenverarbeitung. Wenn irgendwo in der DSGVO die Wörter „angemessen“ oder „erforderlich“ stehen, ist in der Regel diese Verhältnismäßigkeitsprüfung „im weiteren Sinn“ durchzuführen. Paradebeispiel dafür ist die Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO.

Die Verhältnismäßigkeit verlangt, dass jede Datenverarbeitung einen legitimen Zweck verfolgt und überdies geeignet, erforderlich und verhältnismäßig „im engeren Sinn“ alsoangemessen“ ist. Eine Maßnahme, die diesen Anforderungen nicht entspricht, ist rechtswidrig.

Innerhalb der Verhältnismäßigkeitsprüfung muss theoretisch jeder erdenkbare Umstand berücksichtigt werden. Da das unmöglich ist, sollte man dokumentieren, dass man alles Nötige getan hat, um nichts Wichtiges zu übersehen. Die DSGVO schlägt dafür beispielsweise in Art. 35 DSGVO vor, dass man die Betroffenen befragt oder eine Risikobewertung vornimmt (Vgl. Business Impact Analysis, BIA oder Transfer Impact Analysis, TIA).

 

Zweck

Für jede Datenverarbeitung muss vorab ein legitimer Zweck festgelegt werden, der das Maß der Verhältnismäßigkeit darstellt. Der Zweck richtet sich nach der Rechtsgrundlage für die Verarbeitung.

Wird als Rechtsgrundlage Einwilligung oder Vertrag nach Art. 6 Abs. 1 a) oder b) DSGVO genutzt, ist der Zweck aus dieser Vereinbarung zu ermitteln. Bei berechtigtem Interessen nach Art. 6 Abs. 1 f) ist mehr Begründungsaufwand erforderlich. Berechtigtes Interesse ist ein unbestimmter Rechtsbegriff, der im Wesentlichen in den Erwägungsgründen 47, 48 und 49  zur DSGVO beispielsweise, aber nicht abschließend beschrieben ist.

 

Geeignetheit

Geeignet ist jede Maßnahme, die den Zweck fördert oder erreicht. Im Rahmen der Verhältnismäßigkeitsprüfung sollte man alle nicht ganz abwegigen Maßnahmen aufzählen und die eher abwegigen ggf. schon als solche kurz benennen, um zu zeigen, dass man an alles gedacht hat.

 

Belastungen oder Nachteile

Um im nächsten Schritt die Erforderlichkeit bestimmen zu können, muss man die wesentlichen Belastungen für die Betroffenen durch die geeigneten Maßnahmen beschreiben. Was alles als Nachteil berücksichtigt werden darf, lässt die DSGVO offen und Rechtsprechung gibt es noch nicht viel. Klar ist, dass die Eingriffe in europäische Grundrechte Betroffene belasten können, insbesondere Eingriffe in das Recht auf informelle Selbstbestimmung nach Art. 8 der Grundrechtecharta. Die ausführliche Rechtsprechung zu den deutschen Grundrechten kann hier als gute Anregung dienen, darf aber nicht eins zu eins übertragen werden.

Nicht nur ein sofortiger Nachteil, sondern auch ein mögliches Risiko für Interessen der Betroffenen zählt als Belastung. Die Belastungen muss man nicht gesondert aufführen, sondern kann sie im Punkt Erforderlichkeit” im Fließtext einarbeiten, soweit die Übersichtlichkeit gewahrt bleibt.

 

Erforderlichkeit

Erforderlich ist eine Maßnahme, wenn kein milderes Mittel zur Verfügung steht. Anhand der oben beschriebenen Belastungen muss man innerhalb der Verhältnismäßigkeitsprüfung beschreiben, warum die anderen geeigneten Maßnahmen nicht milder sind.

Bei der Beurteilung, inwieweit der Zweck mit der beabsichtigten Maßnahme gefördert oder erreicht wird, spielt auch die Wirtschaftlichkeit für den Verantwortlichen eine Rolle.

 

Angemessenheit

Angemessen, zumutbar oder „verhältnismäßig im engeren Sinn“ ist eine Datenverarbeitung, wenn ihre Nachteile, vor allem für die Betroffenen, nicht völlig außer Verhältnis zu den beabsichtigten Vorteilen stehen, also die Vorteile die Nachteile überwiegen. Dabei sind im Prinzip alle denkbaren Umstände zu beachten.

Wenn besonders Schutzbedürftige, wie etwa Kinder, betroffen sind (Vgl. Art. 8 DSGVO), es um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder besonders große Risiken geht, muss besonders streng geprüft werden.

Da noch viel Detailrechtsprechung im europäischen Kontext fehlt, kann man erst Mal die Rechtsprechung zu den deutschen Grundrechten als Maßstab nehmen, um in etwa die Richtung zu finden, muss aber abwarten und beobachten, wie der EuGH sich dazu in Zukunft verhält. Zur Verwendung von Cookies gibt es jedoch schon eine ausführliche Rechtsprechung.

 

Typische Anwendungsgebiete der Verhältnismäßigkeitsprüfung

Immer wenn als Rechtsgrundlage der Datenverarbeitung Art. 6 Abs. 1 f DSGVO, das berechtigte Interesse, gewählt wird, sollte man die Verhältnismäßigkeitsprüfung wenigstens in Umrissen dokumentieren. So beispielsweise häufig bei diesen Themen:

 

Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant, 20.04.2023

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Data Privacy Legal Consultant

Florian Thomas Hofmann