Welche Datenverarbeitung ist im Zuge der Vertragserfüllung erforderlich?

Fachbeitrag

Nach Art. 6 Abs. 1 lit.b DSGVO ist die Verarbeitung von personenbezogenen Daten rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Der folgende Beitrag beschäftigt sich mit dem Kriterium der Erforderlichkeit.

Eindeutige Fälle der Vertragserfüllung gem. Art. 6 I b) DSGVO

Will man online ein Produkt bestellen und bezahlen, dann ist die Verarbeitung verschiedener Datenkategorien notwendig. Ohne den Namen, die Adresse und die Zahlungsdaten des Bestellers kann das Paket mit dem bestellten Produkt nicht auf den Weg zum Besteller gebracht werden. Eine Einwilligung zur Verarbeitung dieser personenbezogenen Daten muss der Verkäufer nicht einholen, denn die Verarbeitung dieser Daten ist zur Erfüllung des Kaufvertrags gem. Art. 6 Abs.1 lit.b DSGVO erforderlich. Klingt logisch und nachvollziehbar: Der Verkäufer braucht diese Daten, sonst bekommt er sein Geld nicht und hat zudem keine Ahnung wohin er die Ware schicken soll.

Bestimmung der Erforderlichkeit nicht immer einfach

Lässt sich die Erforderlichkeit immer so einfach bestimmen? Ein anderes Beispiel: Eine „kostenlose“ App ermöglicht es dem Nutzer durch eine grafische Visualisierung ein zerkratztes Display seines Smartphones vorzutäuschen. Über weitere Funktionen verfügt die App nicht. Damit der Nutzer die App verwenden kann, muss er allerdings Zugriff auf seine Standortdaten und sein Adressbuch einräumen. Ist der Zugriff auf diese Daten „erforderlich“? Instinktiv würde man mit „Nein“ antworten, denn für eine grafische Visualisierung, die zerbrochenes Glas vortäuscht, sind keinerlei personenbezogene Daten des Nutzers notwendig.

Ändert sich an dieser Einschätzung etwas, wenn aus den vom Nutzer akzeptierten Nutzungsbedingungen klar, deutlich und nicht überraschend hervorgeht, dass der Nutzer die Leistung der App nur gegen eine Gegenleistung – seine Standort- und Adressbuchdaten – erhält? Genau an diesem Punkt zeigt sich das Problem bei der Bestimmung der Erforderlichkeit. Beurteilt man die Erforderlichkeit danach was typischerweise zum Vertragsinhalt eines bestimmten Vertrags gehört oder ist die Erforderlichkeit am konkreten Regelungsgehalt eines Vertrags zu ermitteln?

Kriterium: Kern des Vertrags

In der Literatur wird vertreten, dass Beurteilungsgrundlage für die Frage der Erforderlichkeit die vertragscharakteristische Leistung des jeweiligen Schuldverhältnisses sei. Man fragt also nach dem Zweck des Schuldverhältnisses und sucht den sachlichen Zusammenhang zu der beabsichtigten Datenverarbeitung. Bei einfachen Kauf- oder Werkverträgen lässt sich die vertragscharakteristische Leistung zweifelsohne ermitteln und eine trennscharfe Abgrenzung danach, ob in diesem Zusammenhang die Verarbeitung personenbezogener Daten „erforderlich ist“, scheint möglich.

Allerdings dürfte die Ermittlung der typischen Vertragscharakteristika häufig schwierig werden, da die Vertragsautonomie der Vertragsausgestaltung fast keine Grenzen setzt. Es kann zivilrechtlich nahezu alles vereinbart werden und häufig sind sehr komplexe Vertragskonstruktionen, sowie typengemischte Verträge anzutreffen. Bei jedem Vertrag den „Kern“ zu extrahieren, um davon ausgehend die Erforderlichkeit der Datenverarbeitung zu bestimmen, ist nahezu unmöglich. Diesem Ansatz fehlen deshalb klare Kriterien, um „Erforderliches“ von „Nicht-Erforderlichem“ zu trennen.

Kriterium: Konkreter Regelungsgehalt des Vertrags

Aufgrund der Schwierigkeiten bei der Ermittlung des Wesenskerns von Verträgen setzt eine andere Auffassung zur Bestimmung der Erforderlichkeit am konkreten Regelungsgehalt der Verträge an. Geben die konkret vereinbarten Klauseln einen bestimmten Verarbeitungszweck her, dann sind diese Verarbeitungen auch „erforderlich“. Denn die auf europäischer Ebene anerkannte Vertragsfreiheit, ermöglicht es jedermann Verträge abzuschließen, die sowohl im Hinblick auf die Vertragsparteien, als auch bezüglich des Vertragsgegenstandes frei bestimmt werden können. Grenzen bilden dabei allein zwingende gesetzliche Vorschriften, gesetzliche Verbote und die guten Sitten. Damit können die Vertragsparteien die „Erforderlichkeit“ im datenschutzrechtlichen Sinne selbst gestalten und steuern. Sie unterliegen dabei allein den vorstehend genannten Grenzen der Privatautonomie.

Diesem Ansatz scheint auch die Datenschutzkonferenz („DSK“) in ihrem Kurzpapier zur Verarbeitung personenbezogener Daten für Werbung zu folgen, indem sie klarstellt, dass bei „kostenlosen“ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung zu einer werblichen Nutzung ihrer Daten „bezahlen“, die vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsschluss „klar“ und „deutlich“ dargestellt werden muss. Es bestehe dann „keine Notwendigkeit mehr für eine Einwilligung“.

Kritik: Fehlender Schutz vor „untergejubelter“ Datenverarbeitung

Kritisiert wird dieser Ansatz, weil er es einem Verantwortlichen ermöglichen könnte, nahezu jede Datenverarbeitung, bei entsprechender Vertragsgestaltung über die Erforderlichkeit zur Durchführung eines Vertrags zu rechtfertigen. Es könnten einem somit Datenverarbeitungen „untergejubelt“ werden. Allerdings wohnt dieses grundsätzliche Risiko jedem Vertragsschluss inne. Kein Vertragspartner wird davor geschützt einen unvorteilhaften Vertrag abzuschließen. Wird den Parteien bei Vertragsschluss jeweils hinreichend transparent vermittelt „was“ sie austauschen und „womit“ sie bezahlen, dann ist eine freie Entscheidung des Einzelnen aufgrund ausreichender einer Tatsachenbasis möglich.

Ob man also für die Nutzung einer App mit Standortdaten „bezahlt“ oder nicht, ist eine autonome Entscheidung. Das Datenschutzrecht hat hier nicht die Aufgabe in die Privatautonomie einzugreifen und zu verhindern, dass bestimmte „Daten gegen Service Modelle“ angeboten werden. Die Grenzen, die es im Hinblick auf die Vertragsfreiheit gibt, finden sich im Zivilrecht und nicht im Datenschutzrecht. Würden also beispielsweise Strom- und Wasseranbieter oder öffentliche Verkehrsbetriebe ihre Leistungen nur gegen eine umfassende Preisgabe von Gesundheitsdaten anbieten, dann würde hier bereits das Zivilrecht „den Riegel vorschieben“.

Wer hat die besseren Argumente?

Die besseren Argumente sprechen im Ergebnis dafür, die Erforderlichkeit der Datenverarbeitung für die Erfüllung eines Vertrags stets an den konkret vereinbarten Klauseln zu ermitteln. Unter Beachtung der vorstehend genannten zivilrechtlichen Grenzen und bei einer hinreichend transparenten Ausgestaltungen von Vertrags- und Nutzungsbedingungen verhindert dieser Ansatz Unklarheiten und trägt der Privatautonomie angemessen Rechnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

8 Kommentare zu diesem Beitrag

  1. Vielen Dank für den informativen Kommentar. Ich vermisse aber einen Hinweis auf das Kopplungsverbot in Art. 7 Abs. 4, dem ja ihr beschriebener Fall schon sehr nahe kommt.

    • Auf das Koppelungsverbot wurde bewusst nicht eingegangen, um den Rahmen dieses Beitrags nicht zu sprengen.
      Denn – wie Sie zu Recht anmerken – ist dieser Aspekt im Zusammenhang mit der Auslegung des Erforderlichkeitsbegriffs sehr spannend und müsste ausführlich diskutiert werden.
      Folgt man der Auffassung, die bei der Auslegung der „Erforderlichkeit“ auf den konkreten Regelungsgehalt abstellt, dann wird der Anwendungsbereich von Art. 7 Abs.4 DSGVO sehr klein.
      In diesem Zusammenhang wäre dann auch eine Betrachtung der Frage interessant, ob Art. 7 Abs.4 DSGVO tatsächlich ein „Verbot“ enthält oder ob es sich nicht vielmehr (lediglich) um eine Prüf- bzw. Rechnungstragungspflicht handelt.

  2. Art.6 Abs. 1 lit. b) DSGVO spricht aber lediglich von „Vertrag“ und nicht von Schuldverhältnis.

    Dies ist wichtig: Einerseits kann ein Schuldverhältnis nach deutschem Recht mehr als ein Vertrag im Sinne von (mindestens) zwei korrespondierenden Willenserklärungen darstellen (insofern ist der Begriff zu weit). Andererseits kann „Vertrag“ in der DSGVO mehr als ein Schuldverhältnis nach deutschem Recht bedeuten, weil dieser Begriff autonom auszulegen ist (insofern ist der Begriff zu eng).

    Abzustellen ist daher nicht auf ein Schuldverhältnis, sondern auf einen Vertrag im Sinne der DSGVO. (Dies wird in der Mehrheit der Fälle ein Schuldverhältnis nach deutschem Recht sein. Jedoch erlaubt nicht jedes Schuldverhältnis die Verarbeitung nach Art. 6 Abs. 1 lit. b) DSGVO.)

    • Vielen Dank für diese Anmerkungen.
      Wir sind gespannt, wie sich der Europäische Datenschutzausschuss zur Auslegung von Art. 6 Abs.1 lit.b DSGVO positioniert.
      Ein Papier zu diesem Thema steht noch aus.

  3. Wie sieht es den mit Verträge ganz anderer Natur aus? Ich bin in einem Verein der Ferienfreizeiten ausrichtet (Über eine Woche). Wir wollen ,um die Sicherheit unserer Teilnehmer zu gewährleisten, deren sicherheitsrelevanten Gesundheitsdaten abfragen (Asthma, Epilepsie, etc.). Wir brauchen diese Angaben um für die Gesundheit der Teilnehmer zu sorgen (sowohl Erwachsene als auch Minderjährige). Ist so etwas nicht auch Teil der Vertragserfüllung? Immerhin gehe ich doch bei einer Ferienfreizeit davon aus, dass auch für so etwas Sorge getragen wird.

    • Wir bitten um Ihr Verständnis, dass wir im Rahmen dieses Blogs nicht auf konkrete Einzelfragen eingehen können.
      Allgemein gilt: Soweit es um die Verarbeitung von Gesundheitsdaten geht, sind die besonderen Anforderungen von Art. 9 DSGVO zu berücksichtigen.
      Für die Verarbeitung von Gesundheitsdaten im Verein kommt dann insbesondere eine Einwilligung gem. Art. 9 Abs.2 lit.a. DSGVO in Betracht.

  4. Die Formulierung in diesem Abschnitt ist widersprüchlich: „Diesem Ansatz scheint auch die Datenschutzkonferenz („DSK“) in ihrem Kurzpapier zur Verarbeitung personenbezogener Daten für Werbung zu folgen, indem sie klarstellt, dass bei „kostenlosen“ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung zu einer werblichen Nutzung ihrer Daten „bezahlen“, die vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsschluss „klar“ und „deutlich“ dargestellt werden muss. Es bestehe dann „keine Notwendigkeit mehr für eine Einwilligung“.“
    Müsste es nicht vielmehr heißen Zustimmung = Annahme des Vertrages und datenschutzrechtliche Einwilligung? Ansonsten könnte man meinen, dass Zustimmung mit der datenschutzrechtlichen EWE gleichzusetzen ist.

    • Es handelt sich dabei um die von der DSK gewählte Formulierung aus dem verlinkten Kurzpapier.
      Die Formulierung ist etwas „kryptisch“. Wir verstehen sie dahingehend, dass die „Leistung“ mit der „Zustimmung zu einer werblichen Nutzung“ als Gegenleistung bezahlt wird. Und dann keine Einwilligung mehr für die Verarbeitung der personenbezogenen Daten zur werblichen Nutzung notwendig ist.
      Diese Aussage lässt allerdings das Wettbewerbsrecht (§ 7 UWG) außer Betracht, danach ist gerade für Werbung per Telefon und E-Mail regelmäßig eine Einwilligung erforderlich.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.