Praxishandbuch DSGVO

b) Verarbeitung personenbezogener Daten zu Zwecken der Durchführung vorvertraglicher Maßnahmen

33

Die zweite Alternative im Rahmen des Art. 6 Abs. 1 lit. b DSGVO erlaubt die Verarbeitung personenbezogener Daten zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Hierdurch werden nach dem Erwägungsgrund 44 insbesondere Datenverarbeitungsaktivitäten erfasst, die für den geplanten Abschluss eines Vertrages erforderlich sind. Dies sind typischerweise Anfragen und Anträge im Rahmen des Vertragsanbahnungsverhältnisses.39 So kann z.B. die Angabe verschiedener persönlicher Daten bereits vor Vertragsabschluss erforderlich sein, damit die vertraglichen Leistungen berechnet werden können (z.B. bei einem Versicherungsvertrag) oder damit der Vertragspartner entscheiden kann, ob er einen Vertrag mit der betroffenen Person schließt oder nicht (so kann z.B. auch eine Bonitätsabfrage ggf. auf Art. 6 Abs. 1 lit. b Alt. 2 DSGVO gestützt werden).40

34

Auch wenn zu dem Zeitpunkt der Datenverarbeitung noch nicht feststehen kann, ob am Ende tatsächlich ein Vertrag geschlossen wird oder nicht, muss die Maßnahme, in deren Rahmen die Daten verarbeitet werden, aber auf den Abschluss eines Vertrages zielen.41 Reine Informationsanfragen fallen daher nicht in den Anwendungsbereich dieser Vorschrift.

35

Zudem muss die vorvertragliche Maßnahme auf Anfrage der betroffenen Person erfolgen, so z.B. im Rahmen einer Anfrage der betroffenen Partei über Vertragskonditionen. Eine taugliche Anfrage kann jede Initiative der betroffenen Person sein; eine Willenserklärung der betroffenen Person ist hierfür nicht erforderlich.42 Nicht zulässig ist es hingegen auf Basis dieser Vorschrift, wenn ein Verantwortlicher auf eigenen Entschluss Daten über potenzielle Kunden verarbeitet und sie dann ggf. zu Werbezwecken sogar anspricht.43

36

Art. 6 Abs. 1 lit. b Alt. 2 DSGVO erfordert nicht, dass der Verantwortliche der zukünftige Vertragspartner ist. Auch die Anfrage der betroffenen Person muss sich nach dem Wortlaut der Vorschrift nicht direkt an den Verantwortlichen gerichtet haben. Somit kann diese Vorschrift auch Datenverarbeitungen durch einen Verantwortlichen erlauben, der für den potenziellen Vertragspartner der betroffenen Person vorvertragliche Maßnahmen erbringt und in diesem Zusammenhang Daten dieser Person im Wege der Funktionsübertragung verarbeitet.44

c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke

37

Weitere Voraussetzung dafür, dass eine Datenverarbeitung auf eine der beiden Erlaubnisalternativen des Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann, ist, dass die Datenverarbeitung für den jeweiligen Zweck auch erforderlich ist.

aa) „Erforderlichkeit“ einer Datenverarbeitung allgemein

38

Ob eine Datenverarbeitung für den jeweiligen Zweck erforderlich ist, lässt sich ganz generell anhand der Datenschutzgrundsätze gem. Art. 5 DSGVO ermitteln. So müssen – dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO folgend – personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

39

Auch wenn dieser Grundsatz keine Legaldefinition des Begriffs der „Erforderlichkeit“ beinhaltet, lassen sich aus ihm dessen wesentliche Elemente entnehmen: Zunächst ist der Begriff objektiv zu bestimmen; die personenbezogenen Daten müssen also objektiv dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Mithin schließt der Erforderlichkeitsgrundsatz auch im Rahmen der DSGVO eine Datenerhebung „ins Blaue hinein“ aus. Allerdings ist es dem Verantwortlichen unbenommen, die Zwecke einer Datenverarbeitung – im Rahmen des gesetzlich Erlaubten – selbst festzulegen und damit den zulässigen Umfang der Datenverarbeitung maßgeblich zu bestimmen.

40

Entscheidend für die Erforderlichkeit einer Datenverarbeitung ist also, ob sie für den verfolgten Zweck objektiv geboten ist (dann erforderlich) oder nicht (dann nicht erforderlich). Damit eine Datenverarbeitung für den verfolgten Zweck objektiv geboten ist, muss zwischen der beabsichtigten Datenverarbeitung und dem Datenverarbeitungszweck ein unmittelbarer sachlicher Zusammenhang bestehen.45 Ein solcher Zusammenhang ist jedenfalls dann gegeben, wenn der verfolgte Zweck ohne die Datenverarbeitung nicht erreicht werden könnte. Umstritten ist, ob Datenverarbeitungen auch dann als erforderlich anzusehen sind, wenn sie (nur) objektiv sinnvoll oder objektiv tauglich sind, um den verfolgten Zweck zu erreichen.46

Achtung

Der EuGH hat im Hinblick auf die Erforderlichkeit einer Datenverarbeitung gem. Art. 7 lit. f Datenschutzrichtlinie 95/46/EG („Verarbeitung auf Basis einer Interessenabwägung“) entschieden, dass sich die Ausnahmen und Einschränkungen im Hinblick auf den Schutz personenbezogener Daten gem. Art. 8 und Art. 7 GrCG auf das absolut Notwendige beschränken müssen.47 Teilweise wird dies in der datenschutzrechtlichen Literatur dahingehend ausgelegt, dass eine Datenverarbeitung für den verfolgten Zweck auch auf Basis der DSGVO ganz generell nur dann erforderlich sei, wenn ohne sie der Zweck nicht (rechtmäßig) erreicht werden könnte.48 Dies entspricht wohl auch dem Verständnis des Europäischen Datenschutzausschusses.49 Zudem scheint der EuGH die Erforderlichkeit der Datenverarbeitung an deren Verhältnismäßigkeit zu knüpfen.50

41

Unklar ist zudem, ob die Erforderlichkeit einer Datenverarbeitung nach der DSGVO und insbesondere ihrem Art. 5 Abs. 1 lit. c DSGVO auch bedingt, dass es keine Alternative zu der bestehenden/geplanten (Gestaltung der) Datenverarbeitung gibt, mit der der verfolgte Zweck ebenso erreicht werden könnte, bei der aber zugleich weniger Daten oder diese weniger „intensiv“ verarbeitet werden.51 Eine ausdrückliche Regelung hierzu beinhaltet die DSGVO jedenfalls nicht.

42

Nach hier vertretener Auffassung lässt eine „mildere“ Alternative die Erforderlichkeit einer bestehenden/geplanten Datenverarbeitung nur dann entfallen, wenn die Einführung/Durchführung dieser Alternative dem Verantwortlichen objektiv zuzumuten ist.52 So besagt der korrespondierende Erwägungsgrund zu Art. 5 DSGVO – Erwägungsgrund 39 –, dass personenbezogene Daten nur verarbeitet werden dürfen sollten, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Zwar erfasst diese Regelung ausdrücklich wohl nur die Frage, ob überhaupt personenbezogene Daten zu einem bestimmten Zweck verarbeitet werden dürfen oder nicht. Doch wenn Erwägungsgrund 39 festlegt, dass ein Verantwortlicher auch dann (überhaupt) personenbezogene Daten verarbeiten dürfen sollte, wenn er den Zweck auch ohne die Verarbeitung personenbezogener Daten erreichen könnte, ihm dies aber (nur) nicht zumutbar ist, muss auch die Verarbeitung von „mehr“ personenbezogenen Daten zulässig sein, wenn einem Verantwortlichen eine weniger „intensive“ Alternative nicht zumutbar ist. Mit anderen Worten: Wenn Erwägungsgrund 39 die Frage, ob überhaupt personenbezogene Daten verarbeitet werden dürfen, mit einem objektiven Zumutbarkeitskriterium für den Verantwortlichen verknüpft, muss dies auch für den Umfang der Datenverarbeitung gelten.

43

Welche Kriterien bei der Prüfung,53 ob eine schonendere Alternative für den Verantwortlichen objektiv zumutbar ist, zu berücksichtigen sind, bemisst sich nach dem jeweiligen Einzelfall. I. d. R. werden nach hier vertretener Ansicht u.a. die folgenden Kriterien zu berücksichtigen sein: (zusätzlicher/ersparter) Aufwand für den Verantwortlichen, der mit der Einführung/Durchführung dieser Alternative verbunden ist (z.B. an Zeit, Arbeit und Kosten), (nach-/vorteilhafte) Folgen der Alternative für den Verantwortlichen, die Bedeutung der Datenverarbeitung/des Verarbeitungszwecks für den Verantwortlichen, Vor- und Nachteile für die betroffenen Personen, insb. inwieweit die Alternative datenschutzschonender ist54 etc. Bei der Prüfung ist nach hier vertretener Ansicht die grundsätzliche Organisationsform und Arbeitsweise des Verantwortlichen zugrunde zu legen und dann nach den Gesamtumständen im Einzelfall zu beurteilen, ob eine schonendere Alternative objektiv zumutbar wäre.55

Achtung

Der EuGH hat – wie oben bereits dargestellt – im Hinblick auf die Erforderlichkeit einer Datenverarbeitung gem. Art. 7 lit. f Datenschutzrichtlinie 95/46/EG („Verarbeitung auf Basis einer Interessenabwägung“) entschieden, dass sich die Ausnahmen und Einschränkungen im Hinblick auf den Schutz personenbezogener Daten gem. Art. 8 und Art. 7 GrCG auf das absolut Notwendige beschränken müssen.56 Mithin sei nach Auffassung des EuGH zu prüfen, ob das berechtigte Interesse, also der verfolgte Zweck, vernünftigerweise ebenso wirksam mit weniger in die Grundrechte und Grundfreiheiten der betroffenen Person, vor allem nach Art. 7 und 8 GRCh, eingreifenden Mitteln erreicht werden könne.57 Nach hier vertretener Lesart kann aus diesen und den sich daran anschließenden Ausführungen aber nicht entnommen werden, dass – wenn es derartige Mittel gibt – diese nach Ansicht des EuGH auch zwingend unter allen Umständen eingesetzt werden müssen, damit die Datenverarbeitung erforderlich sein kann. Unter welchen Umständen eine Pflicht dazu nach Auffassung des EuGH besteht, geht nach hiesigem Verständnis aus dem Urteil nicht hervor, da es für Ausführungen hierzu auch keinen Anlass gab.58 Eine generelle Pflicht, zwingend das jeweils „schonendste“ Mittel einzusetzen, würde nach hier vertretener Ansicht jedenfalls gegen den (allgemeinen) Verhältnismäßigkeitsgrundsatz (vgl. hierzu z.B. Erwägungsgrund 4 S. 2, Art. 52 Abs. 1 S. 2 GRCh) und ggf. auch gegen die unternehmerische Freiheit nach Art. 16 GRCh verstoßen.

Leitlinien des Europäischen Datenschutzausschusses

44

Auch wenn der Europäische Datenschutzausschuss sich in seinen Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO schwerpunktmäßig mit der Frage der Erforderlichkeit einer Datenverarbeitung beschäftigt, bleibt es unklar, ob die europäischen Datenschutzaufsichtsbehörden einen ähnlichen wie den hier vertretenen oder einen strengeren Ansatz verfolgen.59

45

So führt der Europäische Datenschutzausschuss aus, dass in einem ersten Schritt auf objektiver Basis die jeweils durch eine Datenverarbeitung verfolgten Zwecke zu bestimmen seien. Im Anschluss daran sei in einem zweiten Schritt zu prüfen, ob realistische, weniger eingreifende Mittel existieren, um das jeweils verfolgte Ziel zu erreichen. Ist dies der Fall, ist die Datenverarbeitung nach Ansicht des Europäischen Datenschutzausschusses nicht erforderlich.60

46

Existieren schonendere Alternativen, müssen Verantwortliche nach hier vertretener Lesart der Leitlinien diese also nur dann einführen, wenn sie auch „realistisch“ sind. Leider enthalten die Leitlinien keine Hinweise darauf, wann eine schonendere Alternative „realistisch“ ist. Ganz generell verweist der Europäische Datenschutzausschuss in diesem Zusammenhang an vielen Stellen auf ein Toolkit des Europäischen Datenschutzbeauftragten zur Beurteilung der Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken.61 Doch richtet sich dieses Toolkit an die EU-Organe und beschäftigt sich zuvorderst mit der Frage, unter welchen Voraussetzungen Maßnahmen erforderlich sind, die das Recht auf Schutz personenbezogener Daten gem. Art. 8 GRCh einschränken. Deshalb lassen sich diese Ausführungen nach hier vertretener Ansicht zumindest nicht unmittelbar auf die vorliegende Frage übertragen.

46a

Darüber hinaus hat sich der Europäische Datenschutzausschuss auch im Rahmen seiner Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte mit der Erforderlichkeit einer Datenverarbeitung beschäftigt – und zwar im Hinblick auf die Videoüberwachung auf Basis von Art. 6 Abs. 1 lit. f DSGVO. Allerdings gehen nach hier vertretener Lesart auch aus diesen Leitlinien die genauen Voraussetzungen, unter denen ein Verantwortlicher nach Auffassung des EDSA eine schonendere Alternative einsetzen muss, nicht eindeutig hervor. Zwar könnte eventuell geschlussfolgert werden, dass der EDSA dort die Auffassung vertritt, dass ein Verantwortlicher (nur) dann schonendere Alternativen einsetzen muss, wenn diese „vernünftig“ sind.62 Doch bleibt es jedenfalls offen, wann schonendere Alternativen nach Ansicht des EDSA „vernünftig“ sind.

46b

Um zu ermitteln, ob im Einzelfall (überhaupt) weniger eingreifende, „schonendere“ Alternativen zu der bestehenden/geplanten Datenverarbeitung existieren, sollten Unternehmen vor diesem Hintergrund jedenfalls prüfen, ob die verfolgten Zwecke auch durch die Verarbeitung nicht-personenbezogener Daten, von weniger Daten,63 von weniger granularen oder von aggregierten Daten,64 von pseudonymisierten Daten,65 eine weniger „eingreifende“ Art und/oder eine geringere Frequenz der Datenverarbeitung66 erreicht werden könnten. Außerdem sollten Unternehmen, die Daten aus anderen Quellen erheben (wollen), prüfen, inwieweit eine Erhebung der personenbezogenen Daten bei der betroffenen Person möglich ist.67 Ebenso sollte untersucht werden, inwiefern die einzusetzende/eingesetzte Technologie state-of-the-art im Hinblick auf Datenvermeidung und -minimierung ist.68 In Abhängigkeit vom jeweiligen Einzelfall können aber auch noch andere Faktoren eine Rolle spielen.69

46c

Existieren weniger eingreifende, „schonendere“ Alternativen, bedeutet das nach hier vertretener Ansicht – wie oben erläutert – aber nicht automatisch, dass diese auch (anstelle der bestehenden/geplanten Datenverarbeitung) eingeführt werden müssen, damit die Datenverarbeitung erforderlich für den jeweils verfolgten Zweck sein kann. Eine solche Pflicht besteht nach hiesiger Auffassung nur unter den oben in Rn. 42f. genannten Bedingungen – insbesondere muss die Einführung/Durchführung der schonenderen Alternative dem Verantwortlichen objektiv zumutbar sein. Zur Reduzierung etwaiger Haftungsrisiken, wenn Datenschutzaufsichtsbehörden oder Gerichte der hier vertretenen Auffassung nicht vollumfänglich folgen sollten, ist Unternehmen – insbesondere vor dem Hintergrund des oben dargestellten Urteils des EuGH – aber zu empfehlen, den hier verfolgten Ansatz jedenfalls nicht „bis zum Anschlag“ auszureizen und wichtige/kritische Datenverarbeitungen ggf. mit den zuständigen Datenschutzaufsichtsbehörden abzustimmen.70

46d

Auf jeden Fall sollte sichergestellt werden, dass der Kreis der Personen, die Zugriff auf die personenbezogenen Daten erhalten, auf diejenigen beschränkt ist, die in Ausübung ihrer Aufgaben auf diese Daten zugreifen müssen.71

Praxishinweis

Unternehmen sollten insbesondere vor dem Hintergrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO die Prüfung von (schonenderen) Alternativen dokumentieren, ebenso wie die Gründe, warum das Unternehmen sich im Ergebnis für eine bestimmte Gestaltung der Datenverarbeitung entschieden hat und ggf. mögliche, schonendere Alternativen nicht eingeführt wurden/werden konnten.

46e

Sind personenbezogene Daten für den Zweck, für den sie verarbeitet werden, nicht mehr erforderlich, dürfen Verantwortliche sie für diesen grundsätzlich nicht mehr verarbeiten. Sofern die Daten nicht noch zulässigerweise für einen anderen Zweck verarbeitet werden dürfen, sind sie nach Maßgabe von Art. 17 DSGVO grundsätzlich zu löschen.72

bb) Erforderlichkeit einer Datenverarbeitung für die in Art. 6 Abs. 1 lit. b DSGVO genannten Zwecke

47

Auf den Fall der Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. b DSGVO angewandt, haben die generellen Ausführungen zur Erforderlichkeit einer Datenverarbeitung die folgenden Konsequenzen: Welche Daten auf welche Weise auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO im konkreten Einzelfall verarbeitet werden dürfen, folgt maßgeblich aus den konkreten Inhalten des (beabsichtigten) Vertrages. Für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, ist die Datenverarbeitung erforderlich, wenn sie zur Erfüllung der Pflichten oder der Wahrnehmung von Rechten aus dem Vertrag objektiv geboten ist.73 Jedenfalls werden die Kontaktdaten der Vertragsparteien für die Erfüllung eines solchen Vertrages erforderlich sein, ebenso wie die Daten über den wesentlichen Inhalt des Vertrages und die zur Kontrolle der ordnungsgemäßen Abwicklung (z.B. Rechnungsstellung und Lieferung) erforderlichen Daten.74 Darüber hinaus kann im Einzelfall aber noch die Verarbeitung einer Vielzahl weiterer Daten für den genanten Zweck erforderlich sein, so z.B. von Bonitätsabfragen, sofern eine Partei ein Kreditrisiko übernimmt, Bankdaten oder Lieferadressen.75

Leitlinien des Europäischen Datenschutzausschusses

48

Der Europäische Datenschutzausschuss („EDSA“) hat sich in seinen Leitlinien zur Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO schwerpunktmäßig mit der Frage der Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung auseinandergesetzt. Demnach müsse die Datenverarbeitung objektiv für den grundlegenden und einvernehmlich durch den Verantwortlichen und die betroffene Person anerkannten Vertragszweck erforderlich sein, damit sie auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann. Entscheidend sei das gemeinsame Verständnis vom wesentlichen Vertragszweck.76 Zur Ermittlung dieses Zwecks könnten u.a. die folgenden Kriterien dienen: 1. Art und besondere Merkmale der vertraglichen Leistungen, 2. Beweggründe und wesentliche Elemente des Vertrages, 3. Erwartungen der Vertragsparteien und 4. vernünftige Erwartungen einer durchschnittlichen betroffenen Person.77 Erforderlich sei die Datenverarbeitung, wenn der Vertrag – unter Zugrundelegung dieses Vertragszwecks – ohne die Datenverarbeitung nicht erfüllt werden könne.78

49

Somit vertritt der EDSA wohl grundsätzlich ein (sehr) restriktives Verständnis von der Erforderlichkeit einer Datenverarbeitung für die Erfüllung eines Vertrages, welches nach hier vertretener Ansicht vor dem Hintergrund der obigen Ausführungen zur Erforderlichkeit einer Datenverarbeitung auch zu streng ist – und für viele Unternehmen, die Daten auf dieser Grundlage verarbeiten, zu Schwierigkeiten führen dürfte. Dennoch sollten Unternehmen die Leitlinien des EDSA aus Gründen der Haftungsvermeidung – soweit wie möglich – einhalten, da der EDSA die DSGVO zwar nicht rechtsverbindlich auszulegen vermag, aber davon auszugehen ist, dass zumindest die (nationalen) Datenschutzaufsichtsbehörden den Ausführungen des EDSA folgen werden.

50

Ein (gewisser) Raum zum Argumentieren könnte sich für Praktiker aber aus den Ausführungen des EDSA ergeben, wie das gemeinsame Verständnis vom wesentlichen Vertragszweck zu ermitteln sei. Dieses hänge nicht nur von der Sicht des Verantwortlichen, sondern auch von der angemessenen Sicht einer durchschnittlichen betroffenen Person bei Vertragsschluss ab. Für die angemessene Sicht einer durchschnittlichen betroffenen Person kann es nach Ansicht des EDSA wohl auch eine Rolle spielen, wie ein Dienst angepriesen und beworben wird. Es sei mithin die Frage zu stellen, ob ein normaler Nutzer des Dienstes vernünftigerweise erwarten würde, dass in Anbetracht der Art des Dienstes die geplante Datenverarbeitung erfolgt, um den Vertrag zu erfüllen, dessen Vertragspartei er ist.79 Vor dem Hintergrund dieser Ausführungen könnte es für Verantwortliche ggf. in einem gewissen (engen) Rahmen möglich sein, die Person so zu informieren bzw. zu bewerben, dass es ihrer Vorstellung/Erwartung entspricht, dass eine bestimmte Datenverarbeitung vernünftigerweise auch unter Berücksichtigung der Natur des Dienstes erfolgt – und damit ggf. argumentiert werden kann, dass die Datenverarbeitung auch unter Anlegung der strengen Maßstäbe des EDSA auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann.

51

Außerdem können sich gewisse Ansatzpunkte für Praktiker auch dadurch bieten, dass der EDSA sein grundsätzlich strenges Verständnis von der Erforderlichkeit an einer Stelle wohl etwas großzügiger handhabt. Zwar könne Art. 6 Abs. 1 lit. b DSGVO nur Datenverarbeitungen rechtfertigen, die erforderlich für die Erfüllung eines Vertrages sind, wohingegen die Vorschrift nicht automatisch alle sonstigen Aktivitäten rechtfertigen könne, die durch die Nichterfüllung ausgelöst würden. Ebenso finde sie nicht automatisch auf alle anderen Vorkommnisse im Rahmen der Erfüllung des Vertrages Anwendung. Allerdings könnten bestimmte Aktivitäten vernünftigerweise im Rahmen einer normalen Vertragsbeziehung vorhersehbar und erforderlich sein und auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, wie z.B. die Versendung von offiziellen Mahnungen oder die Speicherung von Daten für eine bestimmte Zeit zu Zwecken der Gewährleistung.80 Diese Liste an Beispielen ist aber nicht abschließend. Mithin können Unternehmen ggf. auch bei anderen Datenverarbeitungen argumentieren, dass sie die (strengen) Vorgaben des EDSA einhalten, weil diese vernünftigerweise im Rahmen einer normalen Vertragsbeziehung vorhersehbar und erforderlich sind.

52

Nicht ausreichend, um sich auf Art. 6 Abs. 1 lit. b DSGVO berufen zu können, sei es nach den weiteren Ausführen des EDSA hingegen, wenn der Verantwortliche die Datenverarbeitung in dem jeweiligen Vertrag, z.B. in den Nutzungsbedingungen, regele, diese aber für die eigentliche Vertragserfüllung nicht erforderlich, sondern nur nützlich für den Verantwortlichen (und ggf. dessen Geschäftmodell) ist.81 So sollte der Verantwortliche im Rahmen eines Onlinedienstes z.B. nachweisen können, inwieweit der Hauptgegenstand des Einzelvertrages mit der betroffenen Person tatsächlich nicht erfüllt werden kann, wenn die jeweilige Datenverarbeitung nicht erfolgen würde.82 Wenn mehrere verschiedene Dienste, die eigentlich auch einzeln/getrennt voneinander erbracht werden könnten, in einem Vertrag zusammengefasst würden, müsse zudem für jeden einzelnen dieser Dienste separat geprüft werden, ob die Datenverarbeitung für den einzelnen von der betroffenen Person aktiv gewünschten Dienst erforderlich ist oder nicht. Soweit dies nicht der Fall ist, könne die Datenverarbeitung nur auf eine andere Rechtsgrundlage als Art. 6 Abs. 1 lit. b DSGVO gestützt werden.83

53

In diesem Zusammenhang beschäftigt sich der EDSA auch konkret mit einigen relevanten Fallgruppen. So soll im Rahmen von Onlinediensten die Verarbeitung personenbezogener Daten zu Zwecken der Bildung von Profilen über die Vorlieben und den Lebensstil des Webseitenbesuchers, zu Zwecken der Verbesserung des Dienstes, zur Betrugsprävention und im Rahmen des Online Behavioral Advertising84 i.d.R. nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden können, wohingegen die Datenverarbeitung zu Zwecken der Personalisierung von Angeboten unter gewissen Umständen auf diese Rechtsvorschrift gestützt werden können soll.85

54

Allerdings sind die Ausführungen des EDSA auch an dieser Stelle mit einiger Vorsicht anzuwenden, zumal sie – wie oben bereits erläutert – teilweise sehr strenge Positionen enthalten, die nicht allesamt den hier vertretenen Ansichten entsprechen. So sind sie (zum Teil auch notwendigerweise) sehr abstrakt, vage und pauschal gehalten, gerade im Hinblick auf die soeben erwähnten Fallgruppen. Die Leitlinien entbinden einen Verantwortlichen daher nicht von einer Prüfung des jeweiligen Einzelfalls. Auf der anderen Seite kann vor diesem Hintergrund eine konkrete Datenverarbeitung – auch trotz gegenteiliger Ausführungen in den Leitlinien – zulässig sein, und zwar nicht nur, weil die Leitlinien keinen verbindlichen Charakter haben,86 sondern auch, weil im Einzelfall bestimmte Umstände vorliegen, die ein Abweichen von den (pauschalen) Leitlinien rechtfertigen.

Praxishinweis

Ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, bestimmt sich also maßgeblich auch anhand der Gestaltung des jeweiligen Dienstes bzw. Produkts und den vertraglichen Rechten und Pflichten. Möchte ein Unternehmen Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeiten, sind insbesondere die Beschreibung des Dienstes bzw. des Produktes sowie die vertraglichen Rechte und Pflichten so zu formulieren, dass sie die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. b DSGVO ermöglichen. Dies stellt einerseits eine Herausforderung dar, zumal die bloße Beschreibung von Datenverarbeitungen im Vertrag zumindest nach Ansicht der europäischen Datenschutzaufsichtsbehörden diese nicht zu rechtfertigen vermag. Dennoch ergeben sich hier für Unternehmen – trotz der genannten Einschränkungen – gewisse Gestaltungsspielräume. Außerdem kann es ggf. sinnvoll/notwendig sein, dass das Unternehmen betroffene Personen vor dem Hintergrund der Ausführungen unter Rn. 50 vor dem Vertragsschluss über „besondere Eigenschaften“ des Produktes/Dienstes informiert bzw. diese bewirbt, so dass damit verbundene Datenverarbeitungen von der betroffenen Person schon bei Vertragsschluss auch unter Berücksichtigung der Natur des Dienstes erwartet werden.

55

Sollten bestimmte Daten oder Datenverarbeitungen für die Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen nicht erforderlich in dem vorgenannten Sinne sein, kann der Verantwortliche aber gleichwohl ein berechtigtes Interesse an deren Verarbeitung haben, woraufhin die Datenverarbeitung ggf. auf Art. 6 Abs. 1 lit. f („Verarbeitung auf Basis einer Interessenabwägung“) DSGVO gestützt werden kann.

Praxishinweis

Bei der Gestaltung von Datenverarbeitungsprozessen ist aus Gründen der Rechts- und Investitionssicherheit – auch vor dem Hintergrund von Art. 25 Abs. 1 DSGVO – zu empfehlen, einen möglichst datenschonenden Ansatz zu wählen. Zudem ist damit zu rechnen, dass sich auch zukünftig Gerichte mit dieser Frage beschäftigen werden. Diese Rechtsprechung sollte genau beobachtet und – soweit diese einschlägig und belastbar ist – eingehalten werden.