BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

§ 28 Datenerhebung und -speicherung für eigene Geschäftszwecke

Absatz 1 Text

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,
  1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
  2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt oder
  3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.
Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.

Berechtigte Interessen der verantwortlichen Stelle (Nr. 2)

Die Erhebung, Speicherung, Veränderung, Übermittlung, oder Nutzung personenbezogener Daten ist auch zulässig, "soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt" (§ 28 Abs. 1 Satz 1 Nr. 2).

Berechtigtes Interesse

"Berechtigt" ist jedes von der Rechtsordnung gebilligte Interesse. Es muss jedoch, für den Fall einer Kontrolle oder eines Rechtsstreits, konkret dargelegt werden können. Dazu genügt kein allgemeiner Hinweis auf geschäftliche Interessen. Vielmehr muss dargetan werden können, wieso die jeweilige Erhebung, Verwendung oder Verarbeitung der jeweiligen Daten erforderlich sind, worin ihre Bedeutung für die Interessenwahrung besteht und welche Interessen dies konkret sind.

Der Begriff der berechtigten Interessen kommt auch in anderen Gesetzen vor, so etwa in § 193 StGB. Die dort bestehenden Interpretationsgrundsätze sind jedoch nicht übertragbar.

Berechtigt können sowohl wirtschaftliche wie auch ideelle Interessen sein.

„Berechtigte Interessen“ können nur eigene Belange der verantwortlichen Stelle sein. Interessen Dritter oder öffentliche Belange gehören dazu nicht (hier kann aber § 28 Abs. 2 Nr. 2a anwendbar sein). Soweit allerdings die Wahrnehmung fremder Interessen zur geschäftlichen oder berufsmäßigen Tätigkeit gehört, wie bei Rechtsanwälten oder Steuerberatern, werden darin auch eigene Interessen verfolgt.

Das Interesse, vom Empfänger Informationen als Gegenleistung zu erhalten, also personenbezogene Daten gewissermaßen als Tauschwährung einzusetzen, begründet kein berechtigtes Interesse.


Die Verwendung ist nur erforderlich, wenn es keine objektiv zumutbare Alternative gibt, um das Interesse zu wahren. Eine Anfrage bei Dritten (genauer: die der darin regelmäßig enthaltenen Datenübermittlung) ist deshalb nicht erforderlich, wenn die Information ebenso gut beim Betroffenen eingeholt werden kann (was auch § 4 Abs. 2 gebietet).

Die Erforderlichkeit muss sich auf alle einzubeziehenden Daten und auf jedes datenschutzrechtlich relevante Element des Datenumgangs erstrecken.

Eine Verarbeitung von Daten auf Vorrat, d.h. für noch nicht definierte Zwecke, kann nicht auf berechtigte Zwecke nach Nr. 2 gestützt werden.


Abwägung mit schutzwürdigen Interessen

Die „berechtigten Interessen“ der verantwortlichen Stelle rechtfertigen eine Verwendung personenbezogener Daten nur, soweit „kein Grund zu der Annahme besteht“, dass sie gegen ein „überwiegendes schutzwürdiges Interesse“ der Betroffenen verstößt. Die Verwendung der Daten steht damit unter dem Vorbehalt einer Interessenabwägung zwischen den „berechtigten Interessen“ der verantwortlichen Stelle einerseits und dem „schutzwürdigen Interessen“ des Betroffenen andererseits. Diese Abwägung ist an den Umständen des Einzelfalls auszurichten. Je stärker die Interessen des Betroffenen durch die Folgen des Umgangs mit den Daten beeinträchtigt werden, desto „schutzwürdiger“ sind seine Interessen. Eine Befugnis nach Nr. 2 besteht nur, wenn im konkreten Fall die Interessen der verantwortlichen Stelle diejenigen des Betroffenen überwiegen.


Kein Grund zur Annahme

Bei der Bewertung der Interessen der Betroffenen kann sich die verantwortliche Stelle auf eine summarische Prüfung beschränken. Entscheidend ist, ob sie "Grund zur Annahme" hat, dass die Interessen des Betroffenen überwiegen. Dies bedeutet, dass sie nicht verpflichtet ist, besondere Ermittlungen anzustellen, um den Sachverhalt umfassend daraufhin zu erforschen, welche Interessen des Betroffenen bestehen könnten. Vielmehr ist sie im Allgemeinen lediglich gehalten, das ihr bereits vorliegende Wissen zu berücksichtigen. Lediglich bei hohen Risiken muss sie sich vergewissern, ob nicht ein atypischer Sachverhalt vorliegt, bei dem der Betroffen besonders stark beeinträchtigt wird, so dass seine Interessen im Einzelfall überwiegen. Sie wird dann in aller Regel dem Betroffenen Gelegenheit geben, seine (einzelfallbezogenen, besonderen) Interessen darzulegen. Eine Verpflichtung zu einer solchen Rückfrage kann sich auch aus der Sorgfaltspflicht im Rahmen eines Schuldverhältnisses ergeben.


Die bei ihr vorhandenen Kenntnisse über die Lage des Betroffenen darf die verantwortliche Stelle allerdings nicht zugunsten eines pauschalen Vorgehens vernachlässigen. Hat etwa ein Betroffener einer bestimmten Verwendung widersprochen, z.B. der Übergabe seiner Daten an bestimmte Dritte, oder hat er auf die besondere Vertraulichkeit seiner Kontaktdaten hingewiesen, so wird darin regelmäßig "ein Grund zur Annahme" im Sinne der Vorschrift liegen. Es spielt dann keine Rolle, ob die Verwendung zur "normalen" Geschäftstätigkeit gehört. Eine materielle Regelung, etwa in dem Sinne, dass im Zweifel die Verwendungsrechte vorgehen, liegt in der Klausel nicht.


Eine Übermittlung von Negativmerkmalen zur Kreditwürdigkeit an Kreditinformationssysteme verletzt überwiegende schutzwürdige Interessen des Betroffenen, wenn sich die Zahlungsunfähigkeit oder -unwilligkeit nicht eindeutig aus den übermittelten Daten ergibt. Dies ist etwa bei der Mitteilung der Fall, dass ein Mahnbescheid ergangen ist.

Schutzwürdige Interessen werden auch verletzt, wenn die verantwortliche Stelle Daten, die ihr nur zur Weiterleitung überlassen sind, für eigene Zwecke verwendet. Dies trifft etwa für Sozialdaten zu; eine Zweckbindung folgt hier auch aus § 78 SGB X.


Hat ein Betroffener im Sinne von § 28 Abs. 4 der Verwendung seiner Daten widersprochen, so

  • muss die verantwortliche Stelle eine vertiefte Prüfung vornehmen und
  • darf die Verwendung nur vornehmen, wenn sie dafür Gründe von besonderem Gewicht hat, die die Interessen des Betroffenen überwiegen. und es rechtfertigen, sich über seine Entscheidung auch im speziellen Fall hinwegzusetzen.


Beispiele für in der Regel überwiegendes berechtigtes Interesse:

  • Marktanalysen
  • Aktiengesellschaft stellt Daten zum Beruf und zu wirtschaftlichen Aktivitäten eines Antragstellers in der Hauptversammlungen zusammen
  • Warenproduzent speichert Daten Endverbrauchern ihrer Waren für den Fall eines notwendigen Rückrufs
  • im Rahmen eines Outsourcing (wenn nicht Auftragsverarbeitung, sondern Funktionsübertragung vorliegt) werden die dazu notwendigen Daten übergeben (vorbehaltlich Interessenabwägung im Einzelfall; vertragliche Schutzvorkehrungen geboten)
  • Speicherung von Daten über potenzielle Vertragspartner während einer für Akquisitionsbemühungen angemessenen Zeit
  • Erstellung von Zahlungsprofilen der Karteninhaber durch ein Kreditkartenunternehmen, um durch Erkennen von Unregelmäßigkeiten den typischen Geschäftsrisiken vorzubeugen
  • Speicherung von Bonitätshinweisen bei Diskontgeschäften
  • Information über branchenspezifische Risiken, etwa über Unregelmäßigkeiten bei Bank- oder Versicherungsgeschäften (Schufa, Schlechtrisikenkarteien in der Versicherungswirtschaft, wie Sonderwagnisdatei der Lebensversicherer und Auskunftsstelle über Versicherungs-/Bausparkassenaussendienst AVAD)
  • Übermittlung von Kundendaten des Franchisenehmers an seinen Franchisegeber


Beispiele für in der Regel fehlendes überwiegendes berechtigtes Interesse:

  • Erstellung von Käuferprofilen zu Marketingzwecken
  • Aktiengesellschaft sammelt Daten eines Antragstellers in der Hauptversammlungen zu Einkommensverhältnissen, Zahlungsgewohnheiten und Lebensführung
  • Angaben zum Familienstand bei einem Allerweltsvertrag
  • der verantwortlichen Stelle bleiben Zweifel, ob schutzwürdige Interessen der Betroffenen nicht doch überwiegen
  • besondere Daten nach § 3 Abs. 9 sind betroffen (vgl. Kommentar zu § 3 Abs. 9); diese dürfen nur unter den in § 28 Abs. 6 bis 9 näher geregelten Voraussetzungen verwendet werden
  • Übergabe von Mandantenunterlagen durch Veräußerung einer Anwalts- oder Steuerberaterpraxis


 § 28 BDSG a.F. Kommentar Absatz 1 Teil 1
 § 28 BDSG a.F. Kommentar Absatz 1 Teil 2
 § 28 BDSG a.F. Kommentar Absatz 1 Teil 3

Online-Kommentare



Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.