Finale Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur Vertragsdatenverarbeitung nach Art. 6 Abs.1 b) DSGVO

Michael Neuber

Der Europäische Datenschutzausschuss hat am 08.Oktober 2019 eine finale Version seiner Leitlinien zur Vertragsdatenverarbeitung (Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects) veröffentlicht. Dem vorausgegangen war eine Konsultation Anfang des Jahres 2019 auf Grundlage eines ersten Entwurfs, zu welchem sich auch der BVDW kritisch geäußert hatte. Die Vorversion könnn Sie HIER anschauen.

Zweifel wurden insbesondere an der Zuständigkeit des EDSA dort erhoben, wo durch die in dem Entwurfs-Papier angelegte Kombination des Prinzips der Datenminimierung mit dem Erfordernis der Notwendigkeit bei vertraglichen Gestaltungen verbindliche Vorgaben gemacht wurden. Der erste Entwurf enthielt zwar die allgemeine und plausible Feststellung, dass neben einer einschlägigen Rechtsgrundlage auch alle anderen Anforderungen des Datenschutzrechts erfüllt sein müssen. Allerdings entsprach bereits das vom EDSA gezeigte Verständnis des Prinzips der Datenminimierung nicht den Realitäten und Notwendigkeiten einer Datenwirtschaft. Zwar ist richtig, dass personenbezogene Daten nur für bestimmte, ausdrückliche und legitime Zwecke erhoben werden dürfen.  Wo Daten Grundlage für Geschäftsmodelle sind, führt eine Minimierung in der von der EDPB verstandenen Weise allerdings zu Vertragsanforderungen, die für die zu erfüllenden Unternehmen unter Umständen unmöglich sind.

An den Positionen des EDSA hat sich indes nichts geändert. Auch in der finalen Version erkennt der EDSA zwar an, dass eine generelle Kompetenz zur Bewertung der Wirksamkeit von Verträgen nicht gegeben ist (Rz. 9).  Mit Blick auf die Frage der Erforderlichkeit einer Datenverarbeitung zur Vertragserfüllung wird aber nach wie vor auf die entsprechenden Statements der Art. 29-Datenschutzgruppe abgestellt:

.. [It] must be interpreted strictly and does notcover situations where the processing is notgenuinely necessary for the performance of a contract, but rather unilaterally imposed on thedata subject by the controller. Also the fact that some processing is covered by a contract doesnot automatically mean that the processing is necessary for its performance. […] Even if theseprocessing activities are specifically mentioned in the small print of the contract, this fact alonedoes not make them ‘necessary’ for the performance of the contract.”

Für die Anwendbarkeit von Art. 6 Abs. 1 b) DSGVO soll es danach nur auf diese Erforderlichkeit ankommen, ansonsten müßten gegebenenfalls andere datenschutzrechtliche Rechtsgrundlagen gefunden werden. Neu ist die Klarstellung, dass Anbieter eine Neubewertung vornehmen müssen, sollten – wie im Digitalen üblich – Neuerungen oder Änderungen der angebotenen Dienste zu Änderungen bei der dafür notwendigen Datenverarbeitungen führen (Rz. 35). Nach Ansicht des EDSA sollen die folgenden Leitfragen maßgeblich sein:

1. Welche Art der Dienstleistung wird der betroffenen Person angeboten? Was sind Ihre Unterscheidungsmerkmale?

2. Was ist der genaue Zweck des Vertrages (d.h. seine Substanz und sein grundlegendes Ziel)?

3. Was sind die wesentlichen Elemente des Vertrages?

4. Was sind die gegenseitigen Perspektiven und Erwartungen der Vertragsparteien? Wie wird die Dienstleistung bei der betroffenen Person beworben oder beworben? Würde ein gewöhnlicher Nutzer dieser Dienstleistung vernünftigerweise erwarten, dass die vorgesehene Verarbeitung stattfindet, um den Vertrag, an dem er beteiligt ist, zu erfüllen?

Ergänzt wurde, dass Datenverarbeitungen, die bei Gewährleistungsfragen- und Abwicklungen eine Rolle spielen, ebenfalls von Art. 6 Abs. 1 b) DSGVO mit umfasst sind (Rz. 39).

Soweit andere Rechtsgrundlagen eine Rolle spielen sollen ist allerdings nach wie vor unklar, wie deren Anforderungen im Kontext von Abwägungen oder Kopplungsverboten (Art. 7 Abs. 4 DSGVO) tatsächlich gangbar erscheinen. Laut EDSA muss jeder Service für sich betrachtet und im Zweifel mit einer eigenen Rechtsgrundlage ausgestattet werden. Wo eine Datenverarbeitung nicht genau für den Zweck sondern das “generelle Geschäftsmodell” des Anbieters in Frage steht, soll Art. 6 Abs. 1 b) DSGVO nicht die richtige Rechtsgrundlage sein können. Dieser Bewertung soll nicht entgegenstehen, dass Anbieter ihre Datenverarbeitungen daneben auch auf eine Einwilligung (Art. 6 Abs. 1 a)) oder das legitime Interesse (Art. 6 Abs. 1 f)) stützen können (Rz. 37).

Nach Beendigung des Vertragsverhältnisses soll es vor dem Hintergrund der Fairness-Gedankens nicht möglich sein, die Verarbeitung der personenbezogenen Daten auf eine andere Rechtsgrundlage umzustellen. Wie in der Vorversion wird klar gestellt, dass Datenverarbeitungen im Vorfeld einer Vertragserfüllung nach Art. 6 Abs. 1 b) DSGVO allein solche sein können, die sich auf den beabsichtigen Vertrag beziehen. Diese Bestimmung gilt damit nicht für unaufgefordertes Marketing oder andere Verarbeitungen, die ausschließlich auf Initiative des für die Datenverarbeitung Verantwortlichen oder auf Verlangen eines Dritten erfolgen.

Am Ende des Dokuments werden – wie in der Vorversion – vier Beispiele für das Anwendungsverständis des EDSA aufgeführt. Eine der für die Datenwirtschaft wichtigsten Fälle wird direkt als erstes angesprochen. Datenverarbeitungen, die der Verbesserung des Angebotes und der Optimierung dienen, sollen nicht erforderlich für die Vertragserfüllung sein. Auch Betrugsprävention soll keine Verarbeitung auf dieser Rechtsgrundlage erlauben.

Etwas ausführlicher wird auf das Thema nutzungsbasierter Online-Werbung eingegangen. Wenig überraschend sieht der EDSA keine Möglichkeit, personalisierte Werbeauslieferungen bei werbefinanzierten Diensten auf die Vertragsgrundlage aus Art. 6 Abs. 1 b) DSGVO zu stellen. Daten gegen Vertragsleistung soll hierbei kein zulässiges Konzept sein (Rz. 54). Dabei wird auch ein Verweis auf die ePrivacy-Anforderungen zur Einwilligung beim Setzen von Cookies gemacht, ohne allerdings auf die kürzlich ergangene Entscheidung des EuGH zu den Anforderungen an eine etwa notwendige Cookie-Einwilligung einzugehen.

Mit Blick auf die Personaliserung von Inhalten sieht es laut EDSA etwas anders aus. Hier wird gesehen, dass Datenverarbeitungen notwendig für die Auslieferung personalisierter Inhalte sein können. Ob eine solche Verarbeitung als ein wesentlicher Aspekt eines Online-Dienstes angesehen werden kann, hängt von der Art der erbrachten Dienstleistung, den Erwartungen der durchschnittlichen betroffenen Person ab, nicht nur im Hinblick auf die Nutzungsbedingungen, sondern auch in Bezug auf die Art und Weise, wie dieser Dienst bei den Nutzern angepriesen wird, und ob der Dienst ohne Personalisierung erbracht werden kann.

Kommentar schreiben