Der Europäische Datenschutzausschuss (EDSA) hat am 16. Oktober 2019 seine überarbeiteten Leitlinien zur sog. Vertragsdatenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. b DSGVO veröffentlicht. Dabei lassen die Leitlinien auch über den Anwendungsfall der Erbringung von Online-Diensten hinaus Rückschlüsse auf die Ansicht des EDSA über die Voraussetzungen einer zulässigen Vertragsdatenverarbeitung zu. Sie sind daher für alle Unternehmen, besonders für alle datenschutzrechtlich Verantwortlichen praxisrelevant, die personenbezogene Daten auf der Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO verarbeiten.

Hintergrund

Die sog. Vertragsdatenverarbeitung ist einer der am häufigsten in Anspruch genommenen Erlaubnistatbestände der DSGVO – zu Recht und auch zu Unrecht: Nach Art. 6 Abs. 1 S. 1 lit. b DSGVO ist die Verarbeitung personenbezogener Daten gerechtfertigt, soweit sie zur Vertragserfüllung oder auf Antrag einer betroffenen Person für das Ergreifen vorvertraglicher Maßnahmen objektiv erforderlich ist. In beiden Alternativen ist das maßgebende Kriterium die objektive Erforderlichkeit dieser Verarbeitung. Aufgrund der unbestimmten Rechtsbegriffe, die diese Norm enthält, sind jedoch die Reichweite und somit die Bedeutung der Ermächtigungsgrundlage bisher unklar.

Wertende Entscheidung zur Erforderlichkeit unter Berücksichtigung der in Art. 5 DSGVO verankerten Datenschutzgrundsätze

Zu der Frage, ob die Verarbeitung objektiv erforderlich ist, stellt der EDSA in seinen Leitlinien klar, dass es nicht allein darauf ankommen könne, was in dem Vertrag zwischen den Parteien vereinbart wurde bzw. im Fall der Vertragsanbahnung vereinbart werden soll. Der Verantwortliche müsse vielmehr eine wertende Entscheidung unter Berücksichtigung der in Art. 5 DSGVO verankerten Datenschutzgrundsätze treffen (z.B. Grundsatz der Datensparsamkeit, Fairness und Transparenz). Unter dem Aspekt der Fairness  (Art. 5 Abs. 1 lit. a DSGVO, Verarbeitung nach Treu und Glauben) müsse besonders auf die angemessenen Erwartungen der betroffenen Person eingegangen werden.

Als Ausgangspunkt jeder Bewertung müsse demnach zunächst der Zweck der Verarbeitung identifiziert werden. Zu berücksichtigen sei hier, dass im Rahmen eines Vertragsverhältnisses unterschiedliche Zwecke gegeben sein können und dass die jeweiligen Zwecke vor dem Hintergrund der Zweckbestimmungs- und Transparenzgrundsätze spezifiziert und der betroffenen Person mitgeteilt werden müssen. Die Erforderlichkeit müsse daher für jeden Zweck der Verarbeitung einzeln bestimmt werden.

Kombinierte, faktenbasierte Bewertung

Unter Verweis auf die Stellungnahme 06/2014 der Art. 20-Datenschutzgruppe (Rdnr. 28 f.) führt der EDSA aus, dass die Beurteilung der Erforderlichkeit eine kombinierte, faktenbasierte Bewertung der Verarbeitung für das jeweilige verfolgte Ziel voraussetze. Es müsse berücksichtigt werden, ob die Verarbeitung im Vergleich zu anderen Optionen zur Erreichung des Zwecks weniger schwer in die Rechte der betroffenen Person eingreife. Sofern es realistische, weniger schwer eingreifende Alternativen gäbe, soll die Verarbeitung nicht erforderlich sein. Hervorgehoben wird, dass Art. 6 Abs. 1 S. 1 lit. b DSGVO nicht als Rechtsgrundlage für lediglich nützliche, jedoch nicht zur Vertragserfüllung objektiv erforderliche Verarbeitungsprozesse dienen könne. Dies gelte auch dann, wenn die Verarbeitung für andere Geschäftszwecke des Verantwortlichen erforderlich sei.

Sofern die Verarbeitung über das zur Erfüllung des Vertrags oder zur Durchführung von vorvertraglichen Maßnahmen objektiv Erforderliche hinausgeht, soll Art. 6 Abs. 1 S. 1 lit. b DSGVO nicht als Rechtsgrundlage für die Verarbeitung herangezogen werden können. Dies schließe jedoch nicht aus, dass diese Teile der Verarbeitung auf einer der anderen Rechtsgrundlagen des Art. 6 DSGVO beruhen können. 

Praktische Orientierungshilfe

Als Orientierungshilfe zur Beantwortung der Frage, ob Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage für die Verarbeitung herangezogen werden kann, soll sich der Verantwortliche demnach die folgenden Kontrollfragen stellen:

• Um was für eine Leistung handelt es sich für die betroffene Person? Worin bestehen ihre  charakteristischen Merkmale?
• Was ist die konkrete Vertragsgrundlage (d.h. was ist das Ziel des Vertrages)?
• Was sind die wesentlichen, relevanten Elemente des Vertrages?
• Was sind die gegenseitigen Perspektiven und Erwartungen der Vertragsparteien? Ggf.: Wie wird die Leistung in dem Angebot gegenüber der betroffenen Person beworben? Würde ein gewöhnlicher Empfänger der Leistung  vernünftigerweise erwarten, dass bei der Art der Leistung die vorgesehene Datenverarbeitung stattfindet, um den Vertrag zu erfüllen?

Umstellung der Rechtsgrundlage nach Beendigung des Vertrags

Ebenfalls für die Praxis relevant ist die Einschätzung der EDSA, dass es dem Grundsatz der Fairness  widerspricht, wenn der Verantwortliche nach Beendigung des Vertrages eine (weitere) Verarbeitung, die ursprünglich auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt wurde, einfach auf eine andere Rechtsgrundlage umstellen könnte. Dementsprechend obliegt es dem Verantwortlichen, vor Beginn der Verarbeitung zu antizipieren, was passiert, wenn der Vertrag einmal beendet ist und dies gleich auch datenschutzrechtlich abzubilden.

Beispiele einer Datenverarbeitung, die nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden kann

In Teil (3) der Leitlinien führt der EDSA einzelne Beispiele an Datenverarbeitungen auf, die nicht durch die Rechtsgrundlage der Vertragsdatenverarbeitung gerechtfertigt werden können. So soll eine Datenverarbeitung zum Zwecke der Verbesserung und Optimierung eines Angebots (z.B. Einsatz von Tracking-Tools, um die Nutzung der Website statistisch zu erfassen und auszuwerten), eine Datenverarbeitung zum Zwecke der Betrugsbekämpfung und eine Datenverarbeitung zum Zwecke personalisierter Werbung grundsätzlich nicht auf die Rechtsgrundlage des Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden können.

Die Leitlinien existieren bisher nur in englischer Sprache und können über folgenden Link abgerufen werden:

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22019-processing-personal-data-under-article-61b_en

European Data Protection Board, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, beschlossen am 08.10.2019, veröffentlicht am 16.10.2019

Stephan Menzemer, Rechtsanwalt
Tom Thaele, Rechtsanwalt
beide Frankfurt a. M.