Praxishandbuch DSGVO

III. Die Rechenschaftspflicht

28

Die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO bedeutet, dass der Verantwortliche die Einhaltung der Grundsätze aus Art. 5 Abs. 1 DSGVO auch nachweisen kann.59

29

Aus dem Grundsatz folgt i.R.v. Art. 5 Abs. 2 Hs. 1 DSGVO zunächst, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze aus Art. 5 Abs. 1 DSGVO eingehalten werden. Dabei muss der Verantwortliche insbesondere die Anforderungen aus Art. 24 DSGVO umsetzen:60 Art. 24 Abs. 1 DSGVO bestimmt dabei, dass Art und Umfang der bereitzustellenden Maßnahmen anhand einer Risikoanalyse festzumachen sind und diese Maßnahmen überprüft und aktualisiert werden müssen. Zusätzlich wird in Art. 24 Abs. 2 DSGVO auf den Anspruch an ein umfassendes Datenschutzmanagement61 hingewiesen.

30

Die Nachweispflicht fordert eine Dokumentation der Verarbeitung und derjenigen Maßnahmen, durch die die Grundsätze jeweils eingehalten werden. Besonders im Zusammenhang mit aufsichtsbehördlichen Überprüfungen erlangt die Pflicht Bedeutung: Gemäß Art. 58 Abs. 1 lit. a DSGVO können Aufsichtsbehörden den Verantwortlichen zur Bereitstellung von entsprechenden Informationen anweisen.62 Soweit der Verantwortliche die Einhaltung der Grundsätze aus Art. 5 Abs. 1 lit. a–f DSGVO nicht nachweisen kann, stellt dies eine Verletzung der Nachweispflicht aus Art. 5 Abs. 2 Hs. 2 DSGVO dar.63

Praxishinweis

Es empfiehlt sich eine genaue Überprüfung, ob hinreichende Maßnahmen zur Einhaltung der Verpflichtung ergriffen wurden. Ein Verstoß gegen die Nachweispflicht ist gemäß Art. 83 Abs. 5 lit. a DSGVO mit einem Bußgeld von bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes bewährt.

Die genaue Form des Nachweises der Einhaltung der Rechenschaftspflicht gibt Art. 5 Abs. 2 DSGVO nicht vor. Folgende beispielhafte Maßnahmen sind grundsätzlich als Nachweise geeignet:

 – Einträge im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO;

 – eine Datenschutz-Folgeabschätzung gemäß Art. 35 Abs. 7 DSGVO;

 – im Falle einer Verarbeitung auf Basis einer Einwilligung nach Art. 7 Abs. 1 DSGVO ein Eintrag in einer Datenbank oder eine unterschriebene Fassung der Erklärung;

 – im Falle einer Verarbeitung auf Basis berechtigter Interessen eine schriftlich dokumentierte Interessenabwägung;

 – interne Anweisungen (der Mitarbeiter) oder Richtlinien in Bezug auf konkrete Verarbeitungen;

 – Kopien von Auftragsverarbeitungsverträgen;

 – Dokumentationen von Datenschutzprüfungen/Audits, z.B. ausgefüllte Fragebögen, abgehakte Checklisten.

31

Die Rechenschaftspflicht führt im Rahmen eines zivilrechtlichen Schadensersatzverfahrens nach Art. 82 DSGVO jedoch nicht zu einer Beweislastumkehr.64 Vielmehr gelten die allgemeinen Beweislastregeln und Darlegungsgrundsätze nach nationalem Recht, was ebenfalls für potenzielle sekundäre Darlegungslasten gilt – d.h. in Deutschland muss der Anspruchsteller (Betroffener) grundsätzlich alle schadensersatzbegründende Merkmale darlegen bzw. beweisen.65

59 Taeger/Gabel/Voigt, DSGVO Art. 5 Rn. 40. 60 Ausführlich zur Datenschutzorganisation siehe Kap. 11; Kühling/Buchner/Herbst, DSGVO Art. 5 Rn. 78. 61 Siehe hierzu Kap. 10. 62 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 79. 63 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 79. 64 Siehe auch OLG Innsbruck, Urt. v. 13.2.2020 – 1 R 182/19b Ziff. II.4. 65 Taeger/Moos, DSRITB 2020, 451, 452.

Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten

Übersicht

I. Überblick über die einschlägigen Regelungen der DSGVO

1

Dem Grundsatz des Verarbeitungsverbots mit Erlaubnisvorbehalt folgend, dürfen personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf Basis einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich entweder aus der DSGVO selbst, dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergeben kann.1

2

In diesem Kapitel werden daher die in der DSGVO sowie die im BDSG normierten Anforderungen an die Zulässigkeit der Verarbeitung personenbezogener Daten erläutert, insbesondere die Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten direkt auf die DSGVO oder das BDSG gestützt werden kann,2 sowie die Anforderungen an eine wirksame Einwilligung der betroffenen Person.3

3

Die einschlägigen Regelungen zur Zulässigkeit der Verarbeitung personenbezogener Daten befinden sich vor allem in den Art. 6–11 DSGVO.

4

Die zentrale Vorschrift in der DSGVO im Hinblick auf die Zulässigkeit der Verarbeitung von personenbezogenen Daten ist Art. 6 DSGVO nebst den korrespondierenden Erwägungsgründen 40, 41 und 44–50. So muss nach Art. 6 Abs. 1 DSGVO mindestens eine der dort aufgeführten Bedingungen erfüllt sein, damit der jeweils Verantwortliche personenbezogene Daten verarbeiten darf. Zu diesen Bedingungen zählen z.B. die Einwilligung (lit. a), die Verarbeitung zu Zwecken der Erfüllung eines Vertrages (lit. b) und die Verarbeitung zu Zwecken der Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (lit. f).4 Einige dieser Bedingungen werden in den nachfolgenden Art. 7–11 DSGVO dann noch weiter spezifiziert, so z.B. die Voraussetzungen an eine wirksame Einwilligung in den Art. 7 und 8 DSGVO.

5

Des Weiteren enthält Art. 6 DSGVO auch die Vorgaben für die Zweckänderung. Möchte also ein Verantwortlicher für einen bestimmten Zweck erhobene personenbezogene Daten für einen anderen (neuen) Zweck verarbeiten, muss er die Anforderungen des Art. 6 Abs. 4 DSGVO einhalten.

6

Wie schon die Datenschutzrichtlinie 95/46/EG und das BDSG a.F. unterscheidet die DSGVO zwischen „normalen“ personenbezogenen Daten und Daten, die aufgrund ihrer Sensibilität und des ihnen innewohnenden Diskriminierungspotenzials besonders strikten Verarbeitungsvoraussetzungen unterliegen.5 Diese sind im Grundsatz in Art. 9 DSGVO sowie in den korrespondierenden Erwägungsgründen 51–56 geregelt.6 Sie sind weitaus strikter als die in Art. 6 Abs. 1 DSGVO statuierten Voraussetzungen für die Verarbeitung „normaler“ personenbezogener Daten.7 So kann die Verarbeitung besonderer Kategorien personenbezogener Daten – die in Art. 9 Abs. 1 DSGVO spezifiziert werden – z.B. nicht wie die Verarbeitung „normaler“ personenbezogener Daten auf Grundlage einer Interessenabwägung erfolgen.8

7

Art. 10 DSGVO, zu dem es keinen korrespondierenden Erwägungsgrund gibt, enthält Sonderregelungen für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln, die die generellen Vorgaben des Art. 6 Abs. 1 DSGVO ergänzen.9

8

Art. 11 DSGVO und der korrespondierende Erwägungsgrund 57 DSGVO beinhalten schließlich noch ergänzende Regelungen für den Fall, dass ein Verantwortlicher personenbezogene Daten verarbeitet, die betroffene Person (selbst) aber nicht identifizieren kann bzw. nicht (mehr) muss, um den mit der Datenverarbeitung verfolgten Zweck zu erreichen.10

9

Art. 85–91 DSGVO enthalten zudem noch spezielle Vorschriften für besondere Verarbeitungssituationen, wobei die Vorschriften zur Datenverarbeitung im Beschäftigungskontext (Art. 88 DSGVO), zur Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken (Art. 85 DSGVO) sowie die Vorgaben zu Garantien und Ausnahmen in Bezug auf die Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (Art. 89 DSGVO) am praxisrelevantesten sein dürften.

10

Teilweise enthalten die genannten Vorschriften der DSGVO auch Öffnungsklauseln, die es dem jeweiligen EU-Mitgliedstaat und/oder der EU unter den dort genannten Voraussetzungen erlauben, Regelungen zu erlassen, die die DSGVO insoweit ergänzen.11 In Deutschland hat der Gesetzgeber von vielen dieser Öffnungsklauseln Gebrauch gemacht. Die wichtigsten nationalen Regelungen zur Zulässigkeit der Datenverarbeitung befinden sich in Deutschland im BDSG und dort in den §§ 22–31 BDSG. Allerdings enthalten auch noch eine Vielzahl anderer Gesetze (einzelne) Vorschriften hierzu, z.B. die Sozialgesetzbücher, die Landesdatenschutzgesetze, das Gesundheitsdiagnostikgesetz etc. Diese regeln größtenteils aber (nur) spezielle Situationen, in denen personenbezogene Daten verarbeitet werden oder die Datenverarbeitung durch bestimmte Verantwortliche erfolgt. Da die für die Unternehmenspraxis wichtigsten Fälle (abschließend) in der DSGVO und ggf. ergänzend im BDSG geregelt werden, konzentriert sich dieses Kapitel im Folgenden auf diese Regelungen.

1 Art. 6 Abs. 1 DSGVO und Erwägungsgrund 40; siehe hierzu auch Kap. 4 Rn. 4ff. 2 Siehe Rn. 11ff. 3 Siehe Rn. 243ff. 4 Siehe ausführlich Rn. 11ff. 5 Siehe Art. 8 der Datenschutzrichtlinie 95/46/EG und § 3 Abs. 9 BDSG a.F. 6 Weit überwiegend wird vertreten, dass für die Verarbeitung besonderer Kategorien personenbezogener Daten neben den Anforderungen des Art. 9 DSGVO auch die Anforderungen des Art. 6 Abs. 1 DSGVO zu erfüllen sind, siehe ausführlich Rn. 170ff. 7 Siehe ausführlich Rn. 11ff. 8 Siehe ausführlich Rn. 159ff. 9 Siehe ausführlich Rn. 209ff. 10 Siehe ausführlich Rn. 215ff. 11 Siehe ausführlich zur Regelungssystematik im Datenschutzrecht und zur Funktionsweise der Öffnungsklauseln in der DSGVO Kap. 1 Rn. 7ff.

II. Gesetzliche Erlaubnisvorschriften

11

Im Folgenden sollen nun die in der Datenverarbeitungspraxis von Unternehmen wichtigsten Rechtsgrundlagen, die in der DSGVO oder im BDSG enthalten sind und auf deren Grundlage sich die Verarbeitung personenbezogener Daten stützen lässt, näher erläutert werden.

1. Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung oder zur Durchführung vorvertraglicher Maßnahmen

12

Einer der wichtigsten Zwecke, für den in der Praxis personenbezogene Daten verarbeitet werden, ist die Begründung, Durchführung und Beendigung von Verträgen – und dies nicht nur, wenn die Verarbeitung von personenbezogenen Daten der wesentliche Gegenstand der Leistungserbringung ist. So ist es in den meisten Fällen allein schon erforderlich zu wissen, wer die Vertragsparteien sind; personenbezogene Daten können erforderlich sein, um die Vertragsparameter bestimmen zu können (so z.B. bei Versicherungsverträgen) etc.

13

Vor diesem Hintergrund enthält die DSGVO – wie auch schon die Datenschutzrichtlinie 95/46/EG – eine Erlaubnisvorschrift, die die Verarbeitung personenbezogener Daten im Rahmen einer Vertragsbeziehung zu rechtfertigen vermag. So besagt Art. 6 Abs. 1 lit. b DSGVO, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn die „Verarbeitung [...] für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen“.

14

Mithin enthält diese Vorschrift zwei voneinander zu unterscheidende Erlaubnistatbestände, die alternativ nebeneinander stehen:

 1. Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist.

 2. Die Verarbeitung ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.

Leitlinien des Europäischen Datenschutzausschusses

15

Der Europäische Datenschutzausschuss12 hat Leitlinien für die Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO im Zusammenhang mit der Erbringung von Onlinediensten gegenüber betroffenen Personen veröffentlicht.13 Zwar beziehen sich diese Leitlinien insbesondere auf Onlinedienste. Doch lassen sich gerade die allgemeinen Ausführungen zu Art. 6 Abs. 1 lit. b DSGVO auch auf die „Offline-Welt“ übertragen.

16

Unternehmen, die personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeiten wollen, ist zu empfehlen, die Leitlinien des Europäischen Datenschutzausschusses aufmerksam durchzuarbeiten und – wenn möglich – diese auch zu befolgen. Zwar besitzt der Europäische Datenschutzausschuss keine Kompetenz, die DSGVO rechtsverbindlich auszulegen, so dass durchaus auch eine Abweichung von diesen Leitlinien datenschutzrechtlich zulässig oder gar geboten sein kann, zumal die Datenschutzaufsichtsbehörden insbesondere nach dem Inkrafttreten der DSGVO relativ strenge Positionen vertreten. Die Kompetenz, die DSGVO rechtsverbindlich auszulegen, verbleibt bei den Gerichten, insbesondere dem EuGH, die nicht an die Leitlinien des Europäischen Datenschutzausschusses gebunden sind. Doch ist mit großer Sicherheit davon auszugehen, dass die deutschen Datenschutzaufsichtsbehörden – ebenso wie die Behörden in den anderen EU-Mitgliedstaaten – die DSGVO grundsätzlich so auslegen und anwenden werden, wie es der Europäische Datenschutzausschuss in den jeweiligen Leitlinien ausgeführt hat, zumal diese eine gewisse Bindungswirkung gegenüber den nationalen Datenschutzaufsichtsbehörden entfalten.14 Somit besteht eine beträchtliche Rechtssicherheit, dass zumindest die Datenschutzaufsichtsbehörden eine Datenverarbeitung nicht beanstanden werden, soweit sich das verantwortliche Unternehmen dabei an die Leitlinien und anderen Vorgaben des Europäischen Datenschutzausschusses gehalten hat.

17

Möchte ein Unternehmen hingegen von den Leitlinien des Europäischen Datenschutzausschusses abweichen, sollte dies datenschutzrechtlich zuvor geprüft und die tatsächlichen Gründe sowie die rechtlichen Argumente hierfür dokumentiert werden.

a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung

18

Der Begriff der Vertragserfüllung ist weit zu verstehen und nicht mit dem zivilrechtlichen Begriff der Vertragserfüllung gleichzusetzen. Vielmehr umfasst der Begriff der Vertragserfüllung i.S.d. Art. 6 Abs. 1 lit. b DSGVO bereits den Vertragsabschluss selbst, der der eigentlichen Vertragserfüllung zeitlich vorgelagert ist.15 Auch wenn dies in der Literatur teilweise vertreten wird, gehören die Anbahnung und die Verhandlung eines Vertrages nicht zur Vertragserfüllung i.S.d. Art. 6 Abs. 1 lit. b DSGVO.16 So unterscheidet die DSGVO in Art. 6 Abs. 1 lit. b DSGVO zwischen der Durchführung vorvertraglicher Maßnahmen einerseits und der Vertragserfüllung andererseits und legt hierfür unterschiedliche Verarbeitungsvoraussetzungen fest. Vor diesem Hintergrund müssen die fraglichen Datenverarbeitungsaktivitäten nach hier vertretener Ansicht zumindest unmittelbar mit dem Vertragsabschluss im Zusammenhang stehen, damit sie auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO gestützt werden können – dies ist bei der Anbahnung und der Verhandlung eines Vertrages aber eben nicht der Fall.17

19

Weiterhin umfasst der Begriff der Vertragserfüllung die Herbeiführung des vertraglich geschuldeten Leistungserfolgs,18 die Vertragsänderung, die Abwicklung des Vertrages, also auch die Anfechtung, Beendigung bzw. Kündigung und die sonstige Ausübung eines Gestaltungsrechts, sowie die Erfüllung von Nebenpflichten und sekundären Pflichten, allen voran von Mängelgewährleistungsansprüchen.19

Leitlinien des Europäischen Datenschutzausschusses

20

Nach Auffassung des Europäischen Datenschutzausschusses („EDSA“) vermag Art. 6 Abs. 1 lit. b DSGVO grundsätzlich keine Datenverarbeitung nach vollständiger Beendigung des Vertrages zu rechtfertigen, z.B. zu Zwecken der Erfüllung von Aufbewahrungspflichten.20 Hierfür sei regelmäßig eine andere Rechtsgrundlage erforderlich. Die Speicherung zur Erfüllung von Aufbewahrungspflichten muss nach Ansicht des EDSA demzufolge z.B. i.d.R. auf Art. 6 Abs. 1 lit. c DSGVO („Erfüllung einer rechtlichen Verpflichtung“) i.V.m. mit der nationalen Rechtsvorschrift gestützt werden, die die jeweilige Aufbewahrungspflicht begründet (z.B. § 257 HGB und § 147 AO). Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem durch die Kündigung ausgelösten Verwaltungsaufwand, wie z.B. der Rücksendung von Waren oder Rückzahlungen, könne hingegen auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.21

21

Außerdem sei es nach Auffassung des EDSA generell unzulässig, zu einer neuen Rechtsgrundlage „zu wechseln“, wenn die Datenverarbeitung nicht mehr auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann, weil die betroffene Person ihre Daten ggf. nur deshalb zur Verfügung gestellt habe, weil sie davon ausgegangen sei, dass deren Verarbeitung ein notwendiger Teil der Vertragsbeziehung sei.22 Ausnahmsweise sei es allerdings zulässig, Daten für bestimmte spezifische Zwecke auch nach Vertragsbeendigung weiterzuverarbeiten, so z.B. zur Erfüllung von Aufbewahrungspflichten oder Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. In diesem Fall müssten Verantwortliche hierfür eine (gesonderte) Rechtsgrundlage bestimmen und die betroffenen Personen vor Beginn der Datenverarbeitung über diese Datenverarbeitung und die Dauer der weiteren Aufbewahrung im Einklang mit den Transparenzanforderungen der DSGVO (insb. aus Art. 13 bzw. 14 DSGVO) informieren.23

22

Unklar bleibt, ob es sich bei dieser Information nach Auffassung des EDSA um ein konstitutives Zulässigkeitserfordernis handelt, also die Weiterverarbeitung nach Beendigung des Vertrages nur dann zulässig ist, wenn der Verantwortliche die betroffene Person hierüber vor Beginn der Verarbeitung informiert hat. Eine solche Auslegung wäre nach hier vertretener Meinung allerdings nicht mit Art. 6 DSGVO vereinbar, zumal die Erfüllung der Informationspflichten gem. Art. 13 bzw. Art. 14 DSGVO nach hier vertretener Ansicht keine Rechtmäßigkeitsvoraussetzung für die Datenverarbeitung ist.24

23

Aber auch gegen die restriktive Auffassung des EDSA an sich, dass eine Datenverarbeitung nach Beendigung eines Vertrages nur ausnahmsweise auf eine andere Rechtsgrundlage gestützt werden könne, wenn Art. 6 Abs. 1 lit. b DSGVO diese nicht mehr zu rechtfertigen vermag, bestehen nach hier vertretener Auffassung zumindest ernsthafte Zweifel, da die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nach hier vertretener Meinung gleichberechtigt nebeneinanderstehen25 und die Auffassung des EDSA auch nur schwer mit der Erlaubnis in Einklang zu bringen ist, personenbezogene Daten unter den in Art. 6 Abs. 4 DSGVO statuierten Voraussetzungen zu einem anderen Zweck weiterzuverarbeiten.

24

Achtung: Von den geschilderten Fällen zu unterscheiden ist – wohl auch nach Ansicht des EDSA – die Verarbeitung personenbezogener Daten zu Zwecken der Gewährleistung. So dürfen personenbezogene Daten zu diesem Zweck auch dann noch auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, wenn die Hauptleistungspflichten, z.B. die Erbringung der jeweiligen Dienste gegen Bezahlung eines Entgelts, bereits vollständig erfüllt wurden, da auch die Gewährleistung selbst einen Teil der Vertragserfüllung darstellt. So kann wohl auch nach Auffassung des EDSA die (weitere) Speicherung bestimmter Daten zu diesem Zweck für eine bestimmte Speicherfrist nach dem Austausch von Waren/Diensten/Zahlungen für die Vertragserfüllung erforderlich sein.26 Zwar verwendet der EDSA den Begriff der „vertraglichen Garantie“ (in der englischsprachigen Fassung: „contractual warranty“), doch ergibt sich nach hier vertretener Lesart aus dem Zusammenhang, dass hiermit wohl (auch) die Gewährleistung gemeint ist. Weitere Konkretisierungen im Hinblick auf die (nach seiner Ansicht) in diesem Zusammenhang zulässige Aufbewahrungszeit und etwa erforderliche (zusätzliche) Voraussetzungen für die weitere Aufbewahrung der Daten nimmt der EDSA nicht vor.

25

Nach hier vertretener Ansicht sprechen aber gute Gründe dafür, dass die weitere Aufbewahrung der relevanten Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO bis zum Ablauf der maßgeblichen Gewährleistungsfrist zulässig ist.27 Im Rahmen von Kaufverträgen gilt nach § 438 Abs. 1 Nr. 3 BGB für Mängelgewährleistungsansprüche z.B. in der Regel eine zweijähre Verjährungsfrist, die mit der Ablieferung der Sache beginnt. Andernfalls ließe sich die Aufbewahrung dieser Daten bis zum Ende der Gewährleistungsfrist wohl nur noch auf Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf Basis einer Interessenabwägung) stützen oder der Verantwortliche müsste die Daten ggf. sogar vorher löschen.28 Es darf jedoch nach hier vertretener Ansicht nicht von ggf. entgegenstehenden Interessen der betroffenen Person abhängig sein, ob der Verantwortliche Daten zu diesem Zweck verarbeiten und gespeichert halten darf oder nicht. So kann sich der Verantwortliche ggf. nicht mehr effektiv verteidigen, wenn z.B. ein Kunde nach einer gewissen Zeit noch (unberechtigte) Gewährleistungsansprüche gegen ihn geltend macht, ihm aber keine entsprechenden Daten zu dem (abgewickelten) Geschäft mehr vorliegen.

26

Außerdem kann es nach hier vertretener Ansicht auch nach Beendigung des Vertrages noch zulässig sein, eine Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO zu stützen, wenn diese zur Erfüllung nachvertraglicher Sorgfaltspflichten erforderlich ist.29

27

Aus dem eindeutigen und klaren Wortlaut der Norm folgt zudem, dass eine Datenverarbeitung nur dann auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO gestützt werden kann, wenn ein Vertrag abgeschlossen wird/wurde. Entscheidend hierfür und Art. 6 Abs. 1 lit. b DSGVO zu Grunde liegend ist, dass sich die betroffene Person willentlich dazu entschieden hat, in eine (zivilrechtliche) Rechtsbeziehung mit dem Verantwortlichen zu treten.30 Hieraus folgt, dass der Begriff des „Vertrags“ i.S.d. Art. 6 Abs. 1 lit. b DSGVO so auszulegen ist, dass er auch rechtsgeschäftsähnliche Schuldverhältnisse (wie z.B. Gefälligkeitsverhältnisse, mitgliedschaftliche Beziehungen oder die Teilnahme an einem Preisausschreiben) umfasst.31 Allerdings ist der in der Praxis wohl wichtigste Fall der Datenverarbeitung im Rahmen eines rechtsgeschäftsähnlichen Schuldverhältnisses die Datenverarbeitung im Rahmen eines vorvertraglichen Schuldverhältnisses i.S.d. § 311 Abs. 2 BGB. Eben diese Datenverarbeitung ist in Art. 6 Abs. 1 lit. b Alt. 2 DSGVO gesondert geregelt und nur unter den dort genannten Voraussetzungen erlaubt.32

28

Bei einseitigen Schuldverhältnissen (wie z.B. der Auslobung oder dem Testament) ist zu unterscheiden: Wird das einseitige Schuldverhältnis durch die betroffene Person selbst begründet, handelt es sich nach hier vertretener Auffassung um einen Vertrag i.S.d. Art. 6 Abs. 1 lit. b DSGVO, da das Schuldverhältnis auf deren willentlicher Entscheidung beruht.33

29

Wird das einseitige Schuldverhältnis hingegen von einer anderen Person begründet, ist Art. 6 Abs. 1 lit. b DSGVO nach hier vertretener Auffassung i.d.R. nicht anwendbar – dies gilt zumindest dann, wenn die betroffene Person nicht frei entscheiden konnte, ob es in dieses Rechtsgeschäft (faktisch) mit „einbezogen“ wird.34 In diesem Fall kann die Datenverarbeitung aber ggf. durch andere Rechtsvorschriften erlaubt werden, z.B. durch Art. 6 Abs. 1 lit. f DSGVO („Verarbeitung auf Basis einer Interessenabwägung“).

30

Datenverarbeitungen im Rahmen von gesetzlichen Schuldverhältnissen können nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, ggf. aber auf andere Erlaubnisnormen wie vor allem Art. 6 Abs. 1 lit. f DSGVO.35

Leitlinien des Europäischen Datenschutzausschusses

31

Der Europäische Datenschutzausschuss verlangt in seinen Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO – grundsätzlich zu Recht –, dass der Vertrag, zu dessen Erfüllung die Datenverarbeitung erfolgt, wirksam sein muss.36 Um in diesem Zusammenhang seine Pflichten aus Art. 5 Abs. 2 DSGVO zu erfüllen, muss der Verantwortliche nach Ansicht des Europäischen Datenschutzausschusses sowohl die Existenz als auch die Wirksamkeit des Vertrages nachweisen.37

32

Des Weiteren muss die betroffene Person eine Partei des jeweiligen Vertrages sein, damit die Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann. Nicht ausreichend ist es daher nach dem eindeutigen Wortlaut der Vorschrift, wenn zwei Parteien einen Vertrag abschließen, der die betroffene Person begünstigt, diese an dem Vertrag aber ansonsten nicht beteiligt ist. Demgegenüber ist es nicht erforderlich, dass auch der Verantwortliche Partei des Vertrages mit der betroffenen Person ist. Vielmehr kann der Vertrag, für den die Datenverarbeitung erforderlich ist, auch zwischen der betroffenen Person und einer anderen Person bzw. einem anderen Unternehmen geschlossen worden sein. Somit kann diese Vorschrift auch Datenverarbeitungen durch einen Verantwortlichen erlauben, dem eine bestimmte Aufgabe im Rahmen der Vertragserfüllung vom Vertragspartner der betroffenen Person übertragen wurde und in diesem Zusammenhang Daten dieser Person im Wege der Funktionsübertragung verarbeitet.38

Beispiele

Auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO können z.B. in der Regel Datenverarbeitungen im Rahmen der folgenden Aktivitäten gestützt werden:

 – Ausfertigen eines Vertrages,

 – Vertragsmanagement,

 – Erbringung der vertraglich geschuldeten Leistungen,

 – Erfüllung von Gewährleistungsansprüchen,

 – Vertragsabwicklung,

 – Vertragsbeendigung.

Nicht auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO können in der Regel z.B. Datenverarbeitungen im Rahmen der folgenden Aktivitäten gestützt werden:

 – Vertragsverhandlungen,

 – Verträge, an denen die betroffene Person nicht beteiligt ist.