Der Bundesgerichtshof hat entschieden, dass ein Vereinsmitglied ein berechtigtes Interesse an der Mitteilung der E-Mail-Adressen der anderen Vereinsmitglieder hat, wenn es mit diesen im Vorfeld einer Mitgliederversammlung Kontakt aufnehmen will, um auf deren Abstimmungsverhalten Einfluss zu nehmen. Wann genau aber liegt ein berechtigtes Interesse nach Art. 6 DSGVO vor? Leider lässt sich das schwer in Stein meißeln – es kommt immer auf den Kontext an. Und so hat der Hamburger Datenschutzbeauftragte einen Fragenkatalog zur Bestimmung des berechtigten Interesses aufgelegt.
Der Fachbegriff lautet „Legitimate Interest Assessment“ oder kurz LIA. Diese „Abwägung legitimer Interessen“ ist mindestens empfehlenswert, denn die DSGVO nennt zwar Beispiele, aber sie enthält – bewusst – keine vollständige Liste mit als berechtigt anerkannten Interessen. Datenschutz-Verantwortliche sind verpflichtet, immer am konkreten Fall sorgfältig zu prüfen und zu dokumentieren, ob die Vorrausetzungen für ein berechtigtes Interesse erfüllt sind.
Mehrere Voraussetzungen müssen kumulativ erfüllt sein, damit eine Datenverarbeitung auf einem berechtigten Interesse nach Art. 6 Abs. 1f DSGVO basieren kann: Zunächst muss ganz lapidar ein solches vorliegen, im Sinne von: Welche Ziele werden mit der Datenverarbeitung verfolgt und sind diese rechtlich zulässig? Dann muss die Verarbeitung der personenbezogenen Daten erforderlich sein, um dieses Interesse zu verfolgen, und beschränkt auf die absolut benötigten Daten. Und schließlich dürfen die Interessen, Grundrechte und Grundfreiheiten der von der Datenverarbeitung betroffenen Person nicht überwiegen.
Mit dem Formular aus Hamburg kann man dokumentieren, dass verschiedene Interessen gegeneinander abgewogen wurden und diese Dokumentation auch nutzen, wenn eine Aufsichtsbehörde mal genauer hinsehen möchte. Empfohlen wird auch, dass der Verantwortliche der betroffenen Person bereits vor der Erhebung personenbezogener Daten Informationen zur Abwägungsprüfung in Form einer „mehrstufigen Datenschutzerklärung“ bereitstellt. Darüber hinaus soll der Verantwortliche die Informationen zur Abwägung auch als Antwort auf ein Auskunftsersuchen nach Art. 15 DSGVO zur Verfügung stellen.
In Frankreich wurden zwei Bußgelder in Millionenhöhe verhängt – bei beiden ging es um Cyberangriffe, gegen die nicht ausreichend mit technisch-organisatorischen Maßnahmen (Art. 32 DSGVO) vorgebeugt wurde. So muss der zweitgrößte französische Telefon- und Internetanbieter „Free“ 42 Millionen Euro zahlen, weil Datensätze von bis zu 24 Millionen Betroffenen gestohlen wurden, die dann auch noch nur mangelhaft darüber informiert wurden. Aber auch Behörden sind vor Bußgeldern nicht gefeit: Bei der französischen Arbeitsagentur „France Travail“ wurde sogar auf Datensätze von bis zu 43 Millionen Menschen zugegriffen, die in den letzten 20 Jahren auf der Seite nach einem Job gesucht und sich dafür einen Account angelegt hatten. Das Bußgeld belief sich hier auf fünf Millionen Euro.
Seit Kurzem ist das erste Tool zur zentralen Steuerung und automatischen Beantwortung von individuellen Cookie-Präferenzen in Deutschland am Start. Das PIMS (Personal Information Management System) soll eine manuelle Auswahl auf jeder einzelnen Website überflüssig machen und ist zunächst nur in Google Chrome verfügbar. Der sogenannte „Consenter“ wurde durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit mit Wirkung zum 17.10.2025 auf Grundlage der Rechtsverordnung nach § 26 Abs. 2 TDDDG anerkannt und steht seitdem im öffentlichen Register. Gemäß §26 Abs. 2 TDDDG soll die Bundesregierung regeln, welche Anforderungen an nutzerfreundliche und wettbewerbskonforme Verfahren ein Dienst zur Einwilligungsverwaltung erfüllen muss, um anerkannt zu werden, nach welchem Verfahren die Anerkennung erfolgen soll, und welche technischen und organisatorischen Maßnahmen erforderlich sind, damit die Einwilligungseinstellungen nach §25 Abs. 1 TDDDG berücksichtigt werden können.
Niedersachsen arbeitet gerade an einem neuen Polizeigesetz – natürlich soll auch dort allerhand KI zum Einsatz kommen, die das Schicksal von Menschen dramatisch beeinflussen kann und auch zwangsläufig jede Menge Unbeteiligte betrifft: Live-Gesichtserkennung, Verhaltensscanner, Abgleich von Gesichtern oder Stimmen mit öffentlich zugänglichen Informationen aus dem Internet, verknüpft mit den Daten von beschlagnahmten oder mit Staatstrojanern infizierten Handys sowie Audio- und Video-Material, das heimlich in Wohnungen aufgenommen wurde. Also datenbank- und fallübergreifende Datenanalyse nach bester Palantir-Art, obwohl der AI-Act die dafür notwendigen Datenbanken eigentlich verbietet.
Normalerweise muss die Polizei jedes Mal einen Richter fragen, ob sie eine bestimmte Person zur automatisierten Fahndung ausschreiben darf, bei „Gefahr im Verzug“ allerdings nicht: Zur Gefahrenabwehr, zum Verhindern von Terrorismus und anderen Straftaten, wenn die Polizei keinen anderen Weg sieht, dann soll sie eigenmächtig auf KI zurückgreifen können. Die Polizei soll auch machen dürfen, was z.B. Journalisten dürfen – dies vor dem Hintergrund, dass Podcaster mithilfe von KI die ehemalige RAF-Terroristin Daniela Klette aufgespürt hatten und nicht die Polizei. Individuelle Nutzer wie Journalisten sind nicht für die korrekte Datenverarbeitung einer Plattform verantwortlich. Als Teil der Exekutive ist die Polizei jedoch an Gesetze gebunden und darf bisher keine KI verwenden und schon gar nicht große Gesichtsdatenbanken aufbauen oder sich in diese einkaufen.
Neben KI liegen natürlich auch Drohnen voll im Trend: Die Polizei soll sie zur mobilen Videoüberwachung einsetzen dürfen – bei Großveranstaltungen könnten so auch Momentaufnahmen nach verdächtigen Bewegungsmustern und gesuchten Gesichtern durchforstet werden. Wie genau die Betroffenen hierüber informiert werden sollen (Schilder?), ist noch unklar. Drohnen sollen auch heimlich in Wohnungen filmen oder diese abhören dürfen und in Videobildern nach bestimmten Gegenständen wie zum Beispiel Waffen suchen können. Die Drohnenregeln sind vollkommenes Neuland in der Polizeigesetzgebung und an so vielen Stellen ist europäisches Recht, Bundesgesetze und die Rechtsprechung des Bundesverfassungsgerichts zu beachten, dass mit einer Verabschiedung erst im Jahr 2027 gerechnet wird.
Auch in Bremen wird gerade das Polizeigesetz reformiert, um den heimlichen Einsatz von Videodrohnen zu ermöglichen – mit jeweils immer höheren Eingriffsschwellen: zunächst darf zur Beurteilung der Lage nur live mitgehört werden, danach darf dann auch aufgezeichnet werden und bei Bedarf folgt dann ein verdeckter Einsatz; dem muss in der Regel ein Richter zustimmen. Auch die Hürden für die Videoüberwachung im öffentlichen Raum sollen gesenkt werden. Bisher muss ein Ort eine hohe Kriminalitätsbelastung aufweisen, um ihn überwachen zu dürfen. In Zukunft soll es dagegen ausreichen, dass die örtlichen Verhältnisse Straftaten „erwartbar“ machen; es reicht also, wenn man annimmt, dass dort irgendwann mal etwas passiert. Wann Videoüberwachung legitim ist, kann so nach dem Gusto der zuständigen Polizeikräfte entschieden werden und steht nicht mehr auf einer faktischen, zahlenbasierten Grundlage.
Mit Verhaltensscannern wiederum experimentieren die Bremer Straßenbahnen: Bereits seit April 2025 gibt es in einigen Bahnen KI-gestützte Videoüberwachung, die erkennen soll, wie Menschen handeln, um so bei aggressivem und bedrohlichem Verhalten anzuschlagen und die Leitstelle zu informieren, die dann bei Bedarf (menschliche) Unterstützung ordert. Bis Ende 2026 soll jede dritte Bahn und Bus in Bremen mit „AI Watch“ ausgestattet sein. Auf einem unabhängigen Computer werden dann die Videobilder der Innenkameras in Echtzeit und ausschließlich innerhalb des Fahrzeugs analysiert. Dafür wurde die KI u.a. mit eigens gestellten Kurzfilmen trainiert – fast vier Stunden Material, um potenzielle Gefahrensituationen zu erkennen. So können z.B. Handgreiflichkeiten oder aggressives Verhalten im Fahrzeug zuverlässig ausgemacht werden. Immerhin werden die Fahrgäste vor der Übergabe an die KI verpixelt, die Live-Videoaufnahmen werden nicht gespeichert und auch nicht zum Training der KI verwendet – aus Datenschutzgründen.