Zum Inhalt springen Zur Navigation springen
Online-Dienste: Vertrag als Rechtsgrundlage für die Datenverarbeitung

Online-Dienste: Vertrag als Rechtsgrundlage für die Datenverarbeitung

Artikel von Dr. Datenschutz·28. Mai 2019

Insbesondere Online-Dienste schrecken nicht davor zurück, massenhaft Daten ihrer Nutzer zu erheben. Der Europäisches Datenschutzausschuss (EDSA) hat am 9. April Leitlinien zur Datenverarbeitung gemäß Art. 6 Abs. 1 b) DSGVO im Rahmen der Bereitstellung von Online-Diensten erlassen. Diese Leitlinien stellen wir Ihnen im Folgenden vor.

Die Tücken der Online-Dienste

Die meisten Online-Dienste werden scheinbar kostenlos angeboten. Eine Gebühr wird bei den Nutzern nur selten erhoben. Oftmals zahlen die Nutzer mit ihren personenbezogenen Daten und werden anschließend mit gezielten Werbemaßnahmen überflutet und beeinflusst. Die Entwicklung der technischen Möglichkeiten erlaubt es den Anbietern von Online-Diensten, das Nutzerverhalten immer präziser zu verfolgen. Der EDSA hat Leitlinien erlassen, in welchen genau festgelegt wird, wann die Verarbeitung personenbezogener Daten bei Online-Diensten für die Vertragsdurchführung (oder für die Durchführung vorvertraglicher Maßnahmen) erforderlich ist.

Voraussetzung für die Datenverarbeitung bei Online-Diensten nach Art. 6 Abs. 1 b) DSGVO

Gemäß Art. 6 Abs. 1 b) DSGVO ist die Verarbeitung rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Damit eine Datenverarbeitung zulässig ist, muss also

  1. eine Anfrage der betroffenen Person zur Durchführung einer vorvertraglichen Maßnahme vorliegen

oder

  1. ein nach dem nationalen Recht gültiges Vertragsverhältnis zwischen dem Anbieter des Online-Dienstes (ein Dienst der Informationsgesellschaft Art. 4 Nr. 25 DSGVO) und dem Betroffenen bestehen
  2. und die Verarbeitung muss zur Durchführung des Vertrages oder zur Durchführung der vorvertraglichen Maßnahme erforderlich sein.

Besondere Schwierigkeiten bereitet vor allem die letzte Voraussetzung und hierbei insbesondere das Kriterium „erforderlich“. Die unterschiedlichen Ansätze, die bei der Bestimmung der Erforderlichkeit verfolgt werden, können Sie hier nachlesen.

Erforderlichkeit der Datenverarbeitung

Der EDSA hat sich ausführlich mit dem Begriff der Erforderlichkeit der Datenverarbeitung für die Vertragsdurchführung bei Online-Diensten auseinandergesetzt. Es werden explizit Kriterien genannt zur Bestimmung, wann eine solche Erforderlichkeit vorliegt.

Allein der Vertragsinhalt ist nicht entscheidend

Es ist nicht allein ausreichend an Hand des Inhalts der einzelnen Vertragsklauseln zu bewerten, welche Datenverarbeitung für die Vertragsdurchführung erforderlich ist. Ansonsten könnten Online-Händler die Kategorien der personenbezogenen Daten oder den Umfang, welcher für die Vertragserfüllung nach Art. 6 Abs. 1 b) DSGVO erforderlich ist, künstlich ausweiten. Die Aufnahme von Profiling im Vertrag reicht beispielsweise allein nicht aus, damit die Verarbeitung von Daten über das Nutzerverhalten für die Vertragsdurchführung erforderlich ist.

Objektive Erforderlichkeit

Der EDSA stellt auf die objektive Erforderlichkeit ab und schlägt bei der Bewertung einen „kombinierten und faktenbasierten“ Ansatz vor. Einerseits müsse geprüft werden, ob die Datenverarbeitung für das angestrebte Ziel erforderlich ist und andererseits, ob es andere weniger einschneidende Optionen gibt, um dasselbe Ziel zu erreichen. Nur wenn der Zweck der Datenverarbeitung für die Erbringung der Vertragsleistung unerlässlich ist, ist die Erforderlichkeit zu bejahen. Dies ist zumindest immer dann der Fall, sofern die Hauptleistung des Vertrages ohne die Erhebung der personenbezogenen Daten nicht erbracht werden kann.

Mehrere Zwecke

Besteht ein Vertrag aus mehreren und in vernünftigerweise unabhängig voneinander zu erbringenden Dienstleistungen, so müssen diese bei der Beurteilung der Erforderlichkeit grundsätzlich voneinander getrennt betrachtet werden. Sind bestimmte Verarbeitungstätigkeiten nicht für die konkrete Dienstleistung erforderlich, könnten diese alternativ auf eine andere Rechtsgrundlage, z.B. das berechtigte Interesse (Art. 6 Abs. 1 f) DSGVO) oder die Einwilligung (Art. 6 Abs. 1 a) DSGVO) gestützt werden. Hierbei ist darauf zu achten, dass ein Onlinehändler eindeutig festlegen muss, auf welche Rechtsgrundlage die Verarbeitung gestützt wird. Denn an die einzelnen Rechtsgrundlagen sind verschiedene Anforderungen und Auswirkungen auf die Rechte der Betroffenen geknüpft.

Wann ist nun konkret eine Verarbeitung für die Durchführung des Vertrags erforderlich?

Der EDSA nennt weitere Beispiele für und gegen die Anwendbarkeit von Art. 6 Abs. 1 b) DSGVO:

Verbesserung von Online-Diensten

Der EDSA stellt klar, dass in den meisten Fällen die Verbesserung von Online-Diensten nicht für die Durchführung des Vertragsverhältnisses erforderlich ist. Begründet wird dies damit, dass der Betroffene in der Regel einen Vertrag über die bestehenden Dienste abschließt.

Verhaltensbasierte Online-Werbung

Ebenso ist grundsätzlich für die Vertragserfüllung keine Analyse des Nutzerverhaltens für gezielte Online-Werbung erforderlich. Allein die indirekte Finanzierung der Dienstleistungen durch verhaltensbasierte Online-Werbung reicht für die Annahme der Erforderlichkeit nicht aus. Wichtig ist, dass hat der EDSA ausdrücklich betont, dass der Schutz personenbezogener Daten ein Grundrecht ist. Daher könne man also einer Verarbeitung ausdrücklich zustimmen, personenbezogene Daten seien aber keine handelbare oder eintauschbare Ware.

Datenverarbeitung zur Personalisierung von Inhalten

Bei der Personalisierung von Inhalten erklärt der EDSA, dass die Datenverarbeitung wesentliche oder zu erwartende Elemente der Online-Dienstleistung darstellen können. Wann dies der Fall sei, hänge von der Art der Dienstleistung ab sowie den Erwartungen der Betroffenen, welche sich nicht nur aus den Nutzungsbedingungen ergeben, sondern auch daraus, wie der Dienst beworben werde und ob der Dienst auch ohne die Personalisierung bereitgestellt werden könne. Demnach ist die personalisierte News Aggregation beispielsweise für die Vertragsdurchführung erforderlich. Denn hier besteht die Dienstleistung gerade in der Versendung von Inhalten, die auf die Interessen des Nutzers zugeschnitten sind. In der Leitlinie finden sich weitere Beispiele.

Auswirkungen auf die Praxis

Es ist erfreulich, dass der EDSA sich mit der Datenverarbeitung gestützt auf Art. 6 Abs. 1 b) DSGVO im Rahmen von Online-Dienste auseinandersetzt. Für die Praxis bietet die Richtlinie eine Hilfestellung, insbesondere bei der Bewertung der Erforderlichkeit. Dass die Datenverarbeitung für verhaltensbasierte Online-Werbung und für die Verbesserung von Diensten grundsätzlich nicht unter Art. 6 Abs. 1 b) DSGVO fällt, ist zwar nicht unbedingt neu. Die Positionierung des EDSA ist dennoch begrüßenswert, um Rechtssicherheit zu schaffen und ausufernde Geschäftsmodelle mit Daten einzudämmen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.