Wann ist die Rechtsgrundlage “Vertragserfüllung” die richtige Wahl?
Von Thomas Waetke 28. Oktober 2019Nach Art. 6 Abs. 1 Buchstabe b DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Vertragserfüllung erforderlich ist.
Der Europäische Datenschutzausschuss (EDSA) hat nun seine Endfassung der Leitlinie, die sich mit der Erbringung von Online-Diensten für die betroffenen Personen befassen, veröffentlicht. Aus diesem Papier kann man aber auch allgemeine Anforderungen an diese Rechtsgrundlage herauslesen.
In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung der Erforderlichkeit nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Vielmehr müssen die Grundsätze der Sparsamkeit, Fairness und Transparenz berücksichtigt werden. Maßgeblich ist also nicht der subjektive Wille, sondern die Frage, ob die Datenverarbeitung für die vertraglichen Leistungen tatsächlich notwendig ist. Kreativen Vertragsgestaltungen, um die Daten des Vertragspartners nutzen zu können, ist damit jedenfalls mit Blick auf die Rechtsgrundlage Vertragserfüllung der Boden entzogen. Es hilft demnach auch nicht, die Datenverarbeitung ausdrücklich in den AGB zu verankern: Das allein berechtigt nicht dazu, sich auf die Rechtsgrundlage der Vertragserfüllung stützen zu können.
Und: Wenn der Vertrag beendet ist, ist die Datenverarbeitung auf der Rechtsgrundlage Vertragserfüllung auch beendet. Nach der EDSA-Leitlinie soll es auch nicht möglich sein, die Verarbeitung der personenbezogenen Daten auf eine andere Rechtsgrundlage umzustellen. In solchen Fällen muss man also vorher überlegen, ob nicht andere Rechtsgrundlagen (z.B. die Einwilligung oder das berechtigte Interesse) die geeigneteren Rechtsgrundlage sind.
Nach Auffassung des EDSA können folgende Beispiele schwerlich mit der Rechtsgrundlage Vertragserfüllung verknüpft werden:
- Für eine wie auch immer geartete Service-Verbesserung;
- Online-verhaltensbezogene Werbung sei grundsätzlich kein notwendiges Element für Online-Dienstleistungen, selbst dann nicht, wenn dadruch indirekt die Erbringung der Dienstleistung finanziert würde. Diesbezügliche Cookies etwa bedürfen (nicht nur) nach Ansicht der EDSA einer vorherigen Einwilligung des Betroffenen;
- Die Personalisierung von Inhalten kann zwar zur Vertragserfüllung erforderlich sein. Es kommt dabei aber entscheidend auf die Art der Dienstleistung, die Erwartungen der betroffenen Person auch unter Berücksichtigung der Art und Weise wie der Service beworben werde, sowie auf die Frage an, ob der Service auch ohne Personalisierung erbracht werden könnte.
Auch hier gilt: Natürlich kann man sich alles “schönreden” bzw. einfachreden. Aber: Wenn man sich aus Bequemlichkeitsgründen “einfach so” auf eine Rechtsgrundlage stützt, kann es später sein, dass alle darauf erfolgten Datenverarbeitungen unwirksam sind – und die diesbezüglich “gewonnenen” Daten zu löschen sind.
Ich berate alle Verantwortlichen auf einer Veranstaltung. Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und Herausgeber von EVENTFAQ. Mehr über mich
Profitieren auch Sie von meiner jahrelangen praktischen und theoretischen Erfahrung in Organisation, anwaltlicher Beratung und Durchführung von Veranstaltungen aller Art!
Kontakt: info@eventfaq.de oder Telefon 0721 1205060.
Urheberangabe für das/die Foto(s) (Symbolfoto):
- AGBCheck_quer: © Foto: Prostock-studio stock.adobe.com / Bannergestaltung: kollarneuber.de
- Thomas-Waetke_Profil: © Sebastian Heck
- Unterschrift: © Beckie - Fotolia.com
