Nope, steht tatsächlich genau so in der DSGVO (Art. 6 Abs. 1f)

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Ausdenken darf man sich als Firma diese Interessen auch nicht einfach so. Es gibt dazu einen Abschnitt im Anhang der DSGVO, der das genauer erläutert. Man muss auf jeden Fall genau begründen können, warum ein berechtigtes Interesse vorliegt. Im Grunde sollen unter diesen Begriff alle Datenverarbeitungen, die nicht für den bestimmten Zweck (für den du als User den Service benutzt) gebraucht werden, aber trotzdem für die Aufrechterhaltung des Services notwendig sind. Trotzdem gibt es keine Themenbegrenzung, weshalb das, was Firmen als berechtigtes Interesse bezeichhnen, oft sehr willkürlich erschient. Ich kenne von meiner Arbeit z.B. folgende Dinge, die darunter fallen können:

• IT-Sicherheit (z.B. das Lokalisieren von IP-Adressen gegen Spam/DDoS )
• Vermeidung von Betrug (z.B. durch Weitergabe von Kundendaten an die Schufa)
• “Direktmarketing” (d.h. Adresssammlung fürs Zuschicken von postalischer nicht-personalisierter Werbung)