Leitlinien 2/2019 über die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b GDPR im Zusammenhang mit der Erbringung von ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Dieses Dokument wurde automatisiert von deepl.com übersetzt.
Das englische Originaldokument hat 14 Seiten, aber durch die Formatierung der Fußnoten ist das deutsche
Dokument 11 Seiten länger.
Die Übersetzung scheint gelungen, allerdings fehlt in den umrandeten Praxisbeispielen ein kleiner Teil, den
Hr. Vollmer beigefügt hat.
Leitlinien 2/2019 über die Verarbeitung personenbezogener
Daten gemäß Artikel 6 Absatz 1 Buchstabe b GDPR im
Zusammenhang mit der Erbringung von Online-Diensten für
die betroffenen Personen
Genehmigt am 9. April 2019
Version für die öffentliche
Konsultation
1
Angenommen - Version für die
öffentliche KonsultationINHALTSVERZEICHNIS
1 TEIL 1 - EINFÜHRUNG .........................................................................................................................3
1.1 Hintergrund ................................................................................................................................3
1.2 Umfang dieser Richtlinien ..........................................................................................................5
2 TEIL 2 - ANALYSE VON ARTIKEL 6 ABSATZ 1 B) ...................................................................................7
2.1 Allgemeine Beobachtungen .......................................................................................................7
2.2 Wechselwirkung von Artikel 6 Absatz 1 Buchstabe b) mit anderen gesetzlichen Grundlagen
für die Verarbeitung ...................................................................................................................9
2.3 Anwendungsbereich von Artikel 6 Absatz 1 Buchstabe b) .......................................................11
2.4 Notwendigkeit ..........................................................................................................................11
2.5 Erforderlich für die Erfüllung eines Vertrages mit der betroffenen Person.............................11
2.6 Beendigung des Vertrages........................................................................................................10
2.7 Notwendig für Maßnahmen vor Vertragsabschluss.................................................................12
3 TEIL 3 - ANWENDBARKEIT VON ARTIKEL 6 ABSATZ 1 B) IN SPEZIFISCHEN SITUATIONEN ...............14
3.1 Verarbeitung für die "Serviceverbesserung"............................................................................14
3.2 Verarbeitung zur "Betrugsbekämpfung". .................................................................................14
3.3 Verarbeitung für verhaltensbasierte Online-Werbung ............................................................14
3.4 Verarbeitung zur Personalisierung von Inhalten......................................................................16
2
Angenommen - Version für die
öffentliche KonsultationDer Europäische Datenschutzrat
gestützt auf Artikel 70 Absatz 1 Buchstabe e der Verordnung 2016/679/EU des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG,
HAT DIE FOLGENDEN LEITLINIEN ANGENOMMEN
1 TEIL 1 - EINFÜHRUNG
1.1 Hintergrund
1. Gemäß Artikel 8 der Charta der Grundrechte der Europäischen Union müssen personenbezogene
Daten für bestimmte Zwecke und auf der Grundlage einer gesetzlich festgelegten legitimen
Grundlage fair verarbeitet werden. In diesem Zusammenhang bestimmt Artikel 6 Absatz 1 der
Allgemeinen Datenschutzverordnung1 (GDPR), dass die Verarbeitung nur auf der Grundlage einer
von sechs in Artikel 6 Absatz 1 Buchstaben a) bis f) genannten Bedingungen zulässig ist. Die
Ermittlung der geeigneten Rechtsgrundlage ist von entscheidender Bedeutung. Die für die
Verarbeitung Verantwortlichen müssen die Auswirkungen auf die Rechte der betroffenen Personen
bei der Ermittlung der geeigneten Rechtsgrundlage berücksichtigen, um den Grundsatz der Fairness
uneingeschränkt zu wahren. 2
2. Artikel 6 Absatz 1 Buchstabe b) GDPR bietet eine rechtmäßige Grundlage für die Verarbeitung
personenbezogener Daten, soweit sie "für die Erfüllung eines Vertrags, an dem die betroffene Person
beteiligt ist, erforderlich ist oder um auf Antrag der betroffenen Person vor Vertragsabschluss
Maßnahmen zu ergreifen". 3 Dies unterstützt die durch Artikel 16 der Charta garantierte Freiheit zur
Ausübung eines Geschäftsbetriebs und spiegelt die Tatsache wider, dass die vertraglichen
Verpflichtungen gegenüber der betroffenen Person manchmal nicht ohne die Angabe bestimmter
personenbezogener Daten durch die betroffene Person erfüllt werden können. Wenn die spezifische
Verarbeitung Teil der Lieferung der angeforderten Dienstleistung ist, liegt es im Interesse beider
Parteien, diese Daten zu verarbeiten, da sonst die Dienstleistung nicht erbracht werden könnte und
der Vertrag nicht ausgeführt werden könnte. Die Möglichkeit, sich auf diese oder eine der anderen in
Artikel 6 Absatz 1 genannten Rechtsgrundlagen zu stützen, befreit den für die Datenverarbeitung
Verantwortlichen jedoch nicht von der Einhaltung der anderen Anforderungen des GDPR.
3. Die Artikel 56 und 57 des Vertrags über die Arbeitsweise der Europäischen Union definieren und
regeln den freien Dienstleistungsverkehr innerhalb der Europäischen Union. Es wurden spezifische
EU-Rechtsvorschriften für die "Dienste der Informationsgesellschaft" erlassen. 4 Diese
Dienstleistungen werden definiert als "jede Dienstleistung, die normalerweise gegen Entgelt im
Fernabsatz, auf elektronischem Wege und auf individuellen Wunsch eines Dienstleistungsempfängers
erbracht wird". Diese Definition erstreckt sich auf Dienstleistungen, die nicht direkt von der
Gesellschaft bezahlt werden.
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
3
Angenommen - Version für die
öffentliche Konsultation(Allgemeine Datenschutzverordnung).
2 Insbesondere sollte der für die Verarbeitung Verantwortliche berücksichtigen, dass die Anwendung bestimmter Rechte der
betroffenen Person im Rahmen der GDPR je nach Rechtsgrundlage, auf der die Verarbeitung beruht, unterschiedlich sein kann.
So kann beispielsweise die Verarbeitung nach Artikel 6 Absatz 1 Buchstabe b) das Recht auf Datenübertragbarkeit nach Artikel
20 begründen, würde aber nicht das Recht begründen, der Verarbeitung nach Artikel 21 Absatz 1 GDPR zu widersprechen.
3 Siehe auch Erwägungsgrund 44.
4 Siehe z.B. die Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates und Artikel 8 GDPR.
4
Angenommen - Version für die
öffentliche KonsultationPersonen, die sie erhalten,5 wie z.B. durch Werbung finanzierte Online-Dienste. Die in diesen Leitlinien
verwendeten "Online-Dienste" beziehen sich auf die "Dienste der Informationsgesellschaft".
4. Die Entwicklung des EU-Rechts spiegelt die zentrale Bedeutung von Online-Diensten in der modernen
Gesellschaft wider. Die Verbreitung des ständig verfügbaren mobilen Internets und die weit
verbreitete Verfügbarkeit von angeschlossenen Geräten haben die Entwicklung von Online-Diensten
in Bereichen wie Social Media, E-Commerce, Internet-Suche, Kommunikation und Reisen ermöglicht.
Während einige dieser Dienste durch Nutzerzahlungen finanziert werden, werden andere ohne
Geldleistung des Verbrauchers erbracht, stattdessen durch den Verkauf von Online-Werbeangeboten
finanziert, die es ermöglichen, die betroffenen Personen gezielt anzusprechen. Die Verfolgung des
Nutzerverhaltens für die Zwecke dieser Werbung erfolgt häufig in einer Weise, die dem Nutzer
möglicherweise nicht bekannt ist, und sie ist aus der Art des erbrachten Dienstes nicht unmittelbar
ersichtlich, was es der betroffenen Person in der Praxis fast unmöglich macht, eine Kontrolle über die
Verwendung ihrer Daten auszuüben.
5. Vor diesem Hintergrund hält es der Europäische Datenschutzrat6 (EDPB) für angemessen, Leitlinien
für die vertragliche Notwendigkeit der Verarbeitung personenbezogener Daten im Rahmen von
Online-Diensten zur Verfügung zu stellen, um sicherzustellen, dass diese rechtmäßige Grundlage nur
dann herangezogen wird, wenn dies angemessen ist.
6. Die Artikel-29-Arbeitsgruppe ("WP29") hat sich zuvor in ihrer Stellungnahme zum Begriff der
berechtigten Interessen des für die Datenverarbeitung Verantwortlichen zur vertraglichen
Notwendigkeit gemäß der Richtlinie 95/46/EG geäußert. 7 Im Allgemeinen bleiben diese Leitlinien
relevant für Artikel 6 Absatz 1 Buchstabe b) und die GDPR.
1.2 Umfang dieser Richtlinien
7. Diese Leitlinien befassen sich mit der Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b) auf die
Verarbeitung personenbezogener Daten im Rahmen von Verträgen über Online-Dienste, unabhängig
davon, wie die Dienste finanziert werden. In den Leitlinien werden die Elemente der rechtmäßigen
Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe b GDPR dargelegt und der Begriff der
"Notwendigkeit" berücksichtigt, wie er für "zur Erfüllung eines Auftrags erforderlich" gilt.
8. Die Datenschutzbestimmungen regeln wichtige Aspekte der Interaktion von Online-Diensten mit
ihren Nutzern, aber auch andere Regeln gelten. Die Regulierung von Online-Diensten umfasst
funktionsübergreifende Aufgaben in den Bereichen unter anderem Verbraucherschutzrecht und
Wettbewerbsrecht. Überlegungen zu diesen Rechtsgebieten gehen über den Rahmen dieser
Richtlinien hinaus.
9. Obwohl Artikel 6 Absatz 1 Buchstabe b nur im vertraglichen Zusammenhang anwendbar ist, äußern
diese Leitlinien keine Meinung über die Gültigkeit von Verträgen über Online-Dienste im
Allgemeinen, da dies außerhalb der Zuständigkeit der EDPB liegt. Dennoch müssen Verträge und
Vertragsbedingungen den Anforderungen des Vertragsrechts und, wie im Falle von
Verbraucherverträgen, des Verbraucherschutzrechts entsprechen, damit die Verarbeitung auf der
Grundlage dieser Bedingungen als fair und rechtmäßig gilt.
10. Nachfolgend sind einige allgemeine Anmerkungen zu den Datenschutzgrundsätzen aufgeführt, aber
nicht alle Datenschutzfragen, die sich bei der Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe b)
ergeben können, werden erläutert. Die für die Datenverarbeitung Verantwortlichen müssen stets
sicherstellen, dass sie die in Artikel 5 genannten Datenschutzgrundsätze und alle anderen
Anforderungen der GDPR und gegebenenfalls der ePrivacy-Gesetzgebung einhalten.
5
Angenommen - Version für die
öffentliche Konsultation5 Siehe Erwägungsgrund 18 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über
bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im
Binnenmarkt.
6 Errichtet gemäß Artikel 68 GDPR.
7 Artikel 29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die Datenverarbeitung
Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217). Siehe insbesondere die Seiten 11, 16, 17, 17, 18 und 55.
6
Angenommen - Version für die
öffentliche Konsultation2 TEIL 2 - ANALYSE VON ARTIKEL 6 ABSATZ 1 B)
2.1 Allgemeine Beobachtungen
11. Die rechtmäßige Grundlage für die Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe
b) ist im Zusammenhang mit dem GDPR als Ganzes, den in Artikel 1 genannten Zielen und neben der
Verpflichtung der für die Verarbeitung Verantwortlichen, personenbezogene Daten unter Beachtung
der Datenschutzgrundsätze gemäß Artikel 5 zu verarbeiten, zu betrachten. Dazu gehört die faire und
transparente Verarbeitung personenbezogener Daten sowie die Einhaltung der Zweckbindung und
der Verpflichtungen zur Datenminimierung.
12. Artikel 5 Absatz 1 Buchstabe a) GDPR sieht vor, dass personenbezogene Daten in Bezug auf die
betroffene Person rechtmäßig, fair und transparent verarbeitet werden müssen. Der Grundsatz der
Fairness umfasst unter anderem die Anerkennung der berechtigten Erwartungen8 der betroffenen
Personen, die Prüfung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann, und
die Berücksichtigung der Beziehung und der möglichen Auswirkungen eines Ungleichgewichts
zwischen ihnen und dem für die Verarbeitung Verantwortlichen.
13. Wie bereits erwähnt, müssen Verträge über Online-Dienste aus Gründen der Rechtmäßigkeit nach
dem geltenden Vertragsrecht gültig sein. Ein Beispiel für einen relevanten Faktor ist, ob die
betroffene Person ein Kind ist. In diesem Fall (und abgesehen von der Erfüllung der Anforderungen
der GDPR, einschließlich der für Kinder geltenden "besonderen Schutzmaßnahmen") muss der für die
Datenverarbeitung Verantwortliche sicherstellen, dass sie den einschlägigen nationalen
Rechtsvorschriften über die Fähigkeit von Kindern, Verträge abzuschließen, entsprechen. Um die
Einhaltung der Grundsätze der Fairness und Rechtmäßigkeit zu gewährleisten, muss der
Verantwortliche darüber hinaus andere gesetzliche Anforderungen erfüllen. So kann beispielsweise
für Verbraucherverträge die Richtlinie 93/13/EWG über missbräuchliche Klauseln in
Verbraucherverträgen (die "Richtlinie über unlautere Vertragsbedingungen") gelten. 10 Artikel 6
Absatz 1 Buchstabe b) ist nicht auf Verträge beschränkt, die dem Recht eines EWR-Mitgliedstaats
unterliegen. 11
14. Artikel 5 Absatz 1 Buchstabe b) der GDPR sieht den Grundsatz der Zweckbindung vor, wonach
personenbezogene Daten für bestimmte, ausdrückliche und rechtmäßige Zwecke erhoben und nicht
in einer Weise weiterverarbeitet werden dürfen, die mit diesen Zwecken unvereinbar ist.
15. Artikel 5 Absatz 1 Buchstabe c) sieht grundsätzlich eine Datenminimierung vor, d.h. die Verarbeitung
so wenig Daten wie möglich, um den Zweck zu erreichen. Diese Bewertung ergänzt die
Bedarfsanalysen gemäß Artikel 6 Absatz 1 Buchstaben b) bis f).
16. Sowohl die Zweckbindung als auch die Grundsätze der Datenminimierung sind besonders relevant
bei Verträgen über Online-Dienste, die in der Regel nicht individuell verhandelt werden. Der
technologische Fortschritt ermöglicht es den Verantwortlichen, auf einfache Weise mehr
personenbezogene Daten als je zuvor zu erheben und zu verarbeiten. Infolgedessen besteht die
akute Gefahr, dass die für die Datenverarbeitung Verantwortlichen versuchen, allgemeine
Verarbeitungsbegriffe in die Richtlinie aufzunehmen.
8 Eswird erwartet, dass einige personenbezogene Daten privat oder nur in gewisser Weise verarbeitet werden, und die
Datenverarbeitung sollte für die betroffene Person nicht überraschend sein. In der GDPR wird der Begriff der
"angemessenen Erwartungen" in den Erwägungsgründen 47 und 50 in Bezug auf Artikel 6 Absatz 1 Buchstaben f) und 4
ausdrücklich erwähnt.
9 Siehe Erwägung 38, in der es um Kinder geht, die einen besonderen Schutz in Bezug auf ihre personenbezogenen Daten
7
Angenommen - Version für die
öffentliche Konsultationbenötigen, da sie sich der Risiken, Folgen und Garantien sowie ihrer Rechte in Bezug auf die Verarbeitung
personenbezogener Daten weniger bewusst sind.
10 Eine Vertragsklausel, die nicht individuell ausgehandelt wurde, ist nach der Richtlinie über unlautere
Vertragsbedingungen ungerecht, "wenn sie entgegen dem Erfordernis von Treu und Glauben ein erhebliches
Ungleichgewicht der Rechte und Pflichten der Parteien aus dem Vertrag zum Nachteil des Verbrauchers verursacht". Wie
die Transparenzpflicht in der GDPR schreibt auch die Richtlinie über unlautere Vertragsbedingungen die Verwendung einer
klaren, verständlichen Sprache vor. Die Verarbeitung personenbezogener Daten, die auf einer nach der Richtlinie über
unlautere Vertragsbedingungen als missbräuchliche Klausel beruht, steht im Allgemeinen nicht im Einklang mit der
Anforderung des Artikels 5 Absatz 1 Buchstabe a) GDPR, dass die Verarbeitung rechtmäßig und fair ist.
11 Die GDPR gilt für bestimmte Controller außerhalb des EWR, siehe Artikel 3 GDPR.
8
Angenommen - Version für die
öffentliche KonsultationVerträge, um die mögliche Erhebung und Verwendung von Daten zu maximieren, ohne diese Zwecke
angemessen zu spezifizieren oder Verpflichtungen zur Datenminimierung zu berücksichtigen. WP29
hat zuvor erklärt:
Der Zweck der Erhebung muss klar und eindeutig festgelegt werden: Sie muss detailliert
genug sein, um festzustellen, welche Art von Verarbeitung vorliegt und welche nicht, und um
zu ermöglichen, dass die Einhaltung des Gesetzes bewertet und Datenschutzgarantien
angewendet werden können. Aus diesen Gründen wird ein vager oder allgemeiner Zweck, wie
z.B. "Verbesserung der Benutzerfreundlichkeit", "Marketingzwecke", "IT-Sicherheitszwecke" oder
"Zukunftsforschung", in der Regel - ohne weitere Einzelheiten - nicht den Kriterien der
"Spezifität" entsprechen. 12
2.2 Wechselwirkung von Artikel 6 Absatz 1 Buchstabe b) mit anderen gesetzlichen
Grundlagen für die Verarbeitung
17. Wird die Verarbeitung nicht als "für die Erfüllung eines Auftrags erforderlich" erachtet, d.h. wenn
eine angeforderte Dienstleistung erbracht werden kann, ohne dass die spezifische Verarbeitung
stattfindet, erkennt die EDPB an, dass eine andere Rechtsgrundlage anwendbar sein kann, sofern die
entsprechenden Bedingungen erfüllt sind. Insbesondere kann es unter bestimmten Umständen
zweckmäßiger sein, sich auf eine freiwillig erteilte Zustimmung nach Artikel 6 Absatz 1 Buchstabe a)
zu stützen. In anderen Fällen kann Artikel 6 Absatz 1 Buchstabe f) eine angemessenere
Rechtsgrundlage für die Verarbeitung bieten. Die Rechtsgrundlage muss zu Beginn der Verarbeitung
festgelegt werden, und die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und
14 übermittelt werden, müssen die Rechtsgrundlage angeben.
18. Es ist möglich, dass eine andere Rechtsgrundlage als Artikel 6 Absatz 1 Buchstabe b) dem Ziel der
Verarbeitung besser entspricht oder besser geeignet ist, weil sie die Interessen der Parteien besser
ausgleicht. Die Identifizierung der geeigneten Rechtsgrundlage ist an die Grundsätze der Fairness und
der Zweckbindung gebunden. 13
19. Die Leitlinien der WP29 zur Einwilligung stellen auch klar, dass "ein für die Verarbeitung
Verantwortlicher versucht, personenbezogene Daten zu verarbeiten, die tatsächlich für die Erfüllung
eines Vertrags erforderlich sind, dann ist die Einwilligung nicht die geeignete Rechtsgrundlage".
Umgekehrt ist die EDPB der Auffassung, dass eine Verarbeitung, wenn sie für die Erfüllung eines
Vertrages nicht erforderlich ist, nur dann erfolgen kann, wenn sie auf einer anderen geeigneten
Rechtsgrundlage beruht.
20. Im Einklang mit ihren Transparenzverpflichtungen sollten die Kontrolleure sicherstellen, dass keine
Verwirrung darüber entsteht, was die geltende Rechtsgrundlage ist. Dies ist insbesondere dann
relevant, wenn die geeignete Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe b ist und ein Vertrag über
Online-Dienste von den betroffenen Personen abgeschlossen wird. Je nach den Umständen können
die betroffenen Personen fälschlicherweise den Eindruck erwecken, dass sie bei der Unterzeichnung
eines Vertrags oder der Annahme von Nutzungsbedingungen ihre Einwilligung gemäß Artikel 6 Absatz
1 Buchstabe a) erteilen. Gleichzeitig könnte ein Kontrolleur irrtümlich davon ausgehen, dass die
Unterzeichnung eines Vertrages einer Zustimmung im Sinne von Artikel 6 Absatz 1 Buchstabe a)
entspricht. Es ist wichtig, zwischen dem Abschluss eines Vertrags und der Erteilung der Zustimmung
im Sinne von Artikel 6 Absatz 1 Buchstabe a zu unterscheiden, da diese Konzepte nicht identisch sind
und unterschiedliche Auswirkungen auf die Rechte und Erwartungen der betroffenen Personen
haben.
21. In Bezug auf die Verarbeitung spezieller Kategorien personenbezogener Daten hat die WP29 in den
Richtlinien zur Einwilligung dies ebenfalls beachtet:
9
Angenommen - Version für die
öffentliche KonsultationArtikel 9 Absatz 2 erkennt nicht an, dass "für die Erfüllung eines Vertrags erforderlich" eine
Ausnahme vom allgemeinen Verbot der Verarbeitung bestimmter Datenkategorien darstellt.
Daher sollten die Kontrolleure und die Mitgliedstaaten, die sich mit dieser Situation befassen,
die spezifischen Ausnahmen in Artikel 9 Absatz 2 prüfen.
12 Artikel
29 Stellungnahme der Arbeitsgruppe 03/2013 zur Zweckbegrenzung (WP203), Seite 15-16.
13 Wenn die für die Verarbeitung Verantwortlichen die Ermittlung der geeigneten Rechtsgrundlage im Einklang mit dem
Fairness-Prinzip anstreben, wird dies schwierig sein, wenn sie die Zwecke der Verarbeitung nicht vorher eindeutig festgelegt
haben oder wenn die Verarbeitung personenbezogener Daten über das für die angegebenen Zwecke erforderliche Maß
hinausgeht.
10
Angenommen - Version für die
öffentliche KonsultationUnterabsätze (b) bis (j). Sollte keine der Ausnahmen (b) bis (j) zutreffen, bleibt die Einholung
einer ausdrücklichen Einwilligung nach den Bedingungen für eine gültige Einwilligung im
GDPR die einzig mögliche rechtmäßige Ausnahme zur Verarbeitung dieser Daten. 14
2.3 Anwendungsbereich von Artikel 6 Absatz 1 Buchstabe b)
22. Artikel 6 Absatz 1 Buchstabe b) gilt, wenn eine der beiden folgenden Bedingungen erfüllt ist: Die
betreffende Verarbeitung muss für die Erfüllung eines Vertrags mit einer betroffenen Person objektiv
erforderlich sein, oder die Verarbeitung muss objektiv erforderlich sein, um auf Antrag einer
betroffenen Person vorvertragliche Maßnahmen zu ergreifen.
2.4 Notwendigkeit
23. Die Notwendigkeit der Verarbeitung ist eine Voraussetzung für beide Teile von Artikel 6 Absatz 1
Buchstabe b). Zu Beginn ist darauf hinzuweisen, dass der Begriff "notwendig für die Erfüllung eines
Vertrags" nicht nur eine Bewertung dessen ist, was durch einen Vertrag erlaubt oder in die
Vertragsbedingungen geschrieben ist. Der Begriff der Notwendigkeit hat im Recht der Europäischen
Union eine eigenständige Bedeutung, die den Zielen des Datenschutzrechts entsprechen muss. 15
Daher beinhaltet sie auch die Berücksichtigung des Grundrechts auf Privatsphäre und Schutz
personenbezogener Daten16 sowie der Anforderungen der Datenschutzgrundsätze, insbesondere des
Fairnessprinzips.
24. Ausgangspunkt ist die Identifizierung des Verarbeitungszwecks, und im Rahmen eines
Vertragsverhältnisses kann es eine Vielzahl von Verarbeitungszwecken geben. Diese Zwecke müssen
im Einklang mit den Zweckbestimmungs- und Transparenzverpflichtungen des für die Verarbeitung
Verantwortlichen klar spezifiziert und der betroffenen Person mitgeteilt werden.
25. Die Beurteilung, was "notwendig" ist, beinhaltet eine kombinierte, faktenbasierte Bewertung der
Verarbeitung "für das angestrebte Ziel und ob sie im Vergleich zu anderen Optionen zur Erreichung
desselben Ziels weniger aufdringlich ist". 17 Wenn es realistische, weniger aufdringliche Alternativen
gibt, ist die Verarbeitung nicht "notwendig". 18 Artikel 6 Absatz 1 Buchstabe b) erstreckt sich nicht auf
Verarbeitungen, die für die Erbringung der vertraglichen Leistung oder für die Einleitung
einschlägiger vorvertraglicher Schritte auf Antrag der betroffenen Person nützlich, aber nicht objektiv
notwendig sind, auch wenn sie für andere geschäftliche Zwecke des für die Verarbeitung
Verantwortlichen erforderlich sind.
2.5 Erforderlich für die Erfüllung eines Vertrages mit der betroffenen Person
26. Ein Kontrolleur kann sich bei der Verarbeitung personenbezogener Daten auf Artikel 6 Absatz 1
Buchstabe b berufen, wenn er im Einklang mit seinen Rechenschaftspflichten nach Artikel 5 Absatz 2
feststellen kann, dass die Verarbeitung im Rahmen eines gültigen Vertrags mit der betroffenen
Person erfolgt und dass die Verarbeitung erforderlich ist, damit der jeweilige Vertrag mit der
betroffenen Person erfüllt werden kann. Wo die Kontrolleure nicht nachweisen können
14 Artikel29 Leitlinien der Arbeitsgruppe zur Zustimmung gemäß der Verordnung 2016/679 (WP259), bestätigt durch die EDPB,
Seite 19.
15 Der EuGH stellte in Huber fest, dass es sich "um einen Begriff[Notwendigkeit] handelt, der im Gemeinschaftsrecht eine eigene
unabhängige Bedeutung hat und der so auszulegen ist, dass er das Ziel dieser Richtlinie[Richtlinie 95/46] gemäß Artikel 1 Absatz
1 derselben Richtlinie vollständig widerspiegelt". CJEU, Rechtssache C-524/06, Heinz Huber / Bundesrepublik Deutschland, 18.
Dezember 2008, Abs. 1 Nr. 2. 52.
16 Siehe Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union.
17 Siehe EDPS-Toolkit: Bewertung der Notwendigkeit von Maßnahmen, die das Grundrecht auf den Schutz
personenbezogener Daten einschränken, Seite 5.
18 In Schecke stellte der EuGH fest, dass der Gesetzgeber bei der Prüfung der Notwendigkeit der Verarbeitung
11
Angenommen - Version für die
öffentliche Konsultationpersonenbezogener Daten alternative, weniger einschneidende Maßnahmen berücksichtigen müsse. CJEU, Verbundene
Rechtssachen C-92/09 und C-93/09, Volker und Markus Schecke GbR und Hartmut Eifert / Land Hessen, 9. November 2010.
Dies wurde vom EuGH im Fall Rīgas wiederholt, in dem er feststellte, dass "bei der Bedingung, dass die Verarbeitung
personenbezogener Daten erforderlich ist, zu berücksichtigen ist, dass Ausnahmen und Beschränkungen in Bezug auf den
Schutz personenbezogener Daten nur insoweit gelten dürfen, als dies unbedingt erforderlich ist". CJEU, Rechtssache C-
13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA 'Rīgas satiksme', para. 30.
Für alle Einschränkungen der Ausübung des Rechts auf Privatsphäre und auf Schutz personenbezogener Daten bei der
Verarbeitung personenbezogener Daten ist eine strenge Prüfung erforderlich, siehe EDSB-Toolkit: Bewertung der
Notwendigkeit von Maßnahmen, die das Grundrecht auf den Schutz personenbezogener Daten einschränken, Seite 7.
12
Angenommen - Version für die
öffentliche Konsultationdass (a) ein Vertrag besteht, (b) der Vertrag gemäß den geltenden nationalen Vertragsgesetzen gültig
ist und (c) die Verarbeitung objektiv für die Erfüllung des Vertrags erforderlich ist, sollte der für die
Verarbeitung Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung in Betracht ziehen.
27. Die bloße Bezugnahme oder Erwähnung der Datenverarbeitung in einem Vertrag reicht nicht aus, um
die betreffende Verarbeitung in den Anwendungsbereich von Artikel 6 Absatz 1 Buchstabe b) zu
bringen. Versucht ein für die Verarbeitung Verantwortlicher festzustellen, dass die Verarbeitung auf
der Erfüllung eines Vertrags mit der betroffenen Person beruht, so ist es wichtig zu beurteilen, was
objektiv notwendig ist, um den Vertrag zu erfüllen. Dies wird auch im Hinblick auf Artikel 7 Absatz 4
deutlich, der eine Unterscheidung zwischen Verarbeitungstätigkeiten, die für die Erfüllung eines
Auftrags erforderlich sind, und Bedingungen macht, die die Dienstleistung von bestimmten
Verarbeitungstätigkeiten abhängig machen, die für die Erfüllung des Auftrags eigentlich nicht
erforderlich sind. "Erforderlich für die Erfüllung" erfordert eindeutig mehr als eine
Vertragsbedingung.
28. In diesem Zusammenhang unterstützt die EDPB die zuvor von der WP29 angenommenen Leitlinien
für die gleichwertige Bestimmung der vorherigen Richtlinie, die "für die Erfüllung eines Vertrags mit
der betroffenen Person erforderlich ist":
.... ist streng auszulegen und umfasst nicht Situationen, in denen die Verarbeitung nicht
wirklich für die Erfüllung eines Auftrags erforderlich ist, sondern einseitig von dem für die
Verarbeitung Verantwortlichen der betroffenen Person auferlegt wird. Auch die Tatsache,
dass eine bestimmte Verarbeitung durch einen Vertrag abgedeckt ist, bedeutet nicht
automatisch, dass die Verarbeitung für ihre Ausführung notwendig ist. Auch wenn diese
Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden,
macht sie diese Tatsache allein nicht für die Erfüllung des Vertrages "notwendig". 19
29. Die EDPB erinnert auch an die gleiche WP29-Richtlinie, die lautet:
Hier besteht ein klarer Zusammenhang zwischen der Beurteilung der Notwendigkeit und der
Einhaltung des Zweckbindungsprinzips. Es ist wichtig , die genaue Begründung des Vertrages
zu bestimmen,
d.h. seine Substanz und sein grundlegendes Ziel, da es dagegen ist, dass geprüft wird, ob die
Datenverarbeitung für ihre Leistung notwendig ist. 20
30. Bei der Beurteilung, ob Artikel 6 Absatz 1 Buchstabe b) eine geeignete Rechtsgrundlage für einen
Online-Vertragsdienst ist, sollte dem besonderen Ziel, dem Zweck oder der Zielsetzung des Dienstes
Rechnung getragen werden. Für die Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b) ist es
erforderlich, dass die Verarbeitung objektiv für einen Zweck erforderlich ist, der für die Erbringung
dieser Vertragsleistung an die betroffene Person unerlässlich ist. Dazu gehört auch die Verarbeitung
der Zahlungsdaten zum Zwecke der Abrechnung der Dienstleistung. Der für die Verarbeitung
Verantwortliche sollte nachweisen können, dass der Hauptgegenstand des spezifischen Vertrags mit
der betroffenen Person nicht durchgeführt werden kann, wenn die spezifische Verarbeitung der
betreffenden personenbezogenen Daten nicht stattfindet. Dabei geht es um die Verbindung zwischen
den betreffenden personenbezogenen Daten und den Verarbeitungen und der Erbringung oder
Nichterbringung der vertraglich vereinbarten Leistung.
31. Verträge über digitale Dienste können ausdrückliche Bedingungen enthalten, die unter anderem
zusätzliche Bedingungen für Werbung, Zahlungen oder Cookies enthalten. Ein Vertrag kann die
Kategorien personenbezogener Daten oder Arten von Verarbeitungen, die der für die Verarbeitung
Verantwortliche zur Erfüllung des Vertrags im Sinne von Artikel 6 Absatz 1 Buchstabe b) durchführen
muss, nicht künstlich erweitern.
13
Angenommen - Version für die
öffentliche Konsultation32. Der Kontrolleur sollte in der Lage sein, die Notwendigkeit seiner Verarbeitung mit Bezug auf den
grundlegenden und gegenseitig verstandenen Vertragszweck zu begründen. Dies hängt nicht nur von
der Perspektive des Controllers ab,
19 Artikel 29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die Datenverarbeitung
Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217), Seite 16-17.
20 Ebd., Seite 17.
14
Angenommen - Version für die
öffentliche Konsultationsondern auch eine vernünftige Sichtweise des Betroffenen bei Vertragsabschluss und ob der Vertrag
ohne die betreffende Verarbeitung noch als "erfüllt" angesehen werden kann. Auch wenn der für die
Verarbeitung Verantwortliche der Ansicht ist, dass die Verarbeitung für den Vertragszweck
erforderlich ist, ist es wichtig, dass er die Perspektive einer durchschnittlichen betroffenen Person
sorgfältig prüft, um sicherzustellen, dass ein echtes gegenseitiges Verständnis für den Vertragszweck
besteht.
33. Um zu beurteilen, ob Artikel 6 Absatz 1 Buchstabe b anwendbar ist, können die folgenden Fragen als
Orientierungshilfe dienen:
• Was ist die Art der Dienstleistung für die betroffene Person? Worin bestehen die
Unterscheidungsmerkmale?
• Was ist die genaue Begründung des Vertrages (d.h. seine Substanz und sein grundlegendes
Ziel)?
• Was sind die wesentlichen Bestandteile des Vertrages?
• Welche gegenseitigen Perspektiven und Erwartungen haben die Vertragsparteien? Wie
wird die Dienstleistung bei der betroffenen Person beworben oder beworben? Würde
ein gewöhnlicher Nutzer der Dienstleistung vernünftigerweise erwarten, dass die
vorgesehene Verarbeitung angesichts der Art der Dienstleistung zur Erfüllung des
Vertrags, an dem er beteiligt ist, stattfindet?
34. Ergibt die Beurteilung, was "für die Erfüllung eines Vertrages notwendig ist", die vor Beginn der
Verarbeitung durchgeführt werden muss, dass die beabsichtigte Verarbeitung über das hinausgeht,
was für die Erfüllung eines Vertrages objektiv erforderlich ist, so wird diese zukünftige Verarbeitung
nicht per se rechtswidrig. Wie bereits erwähnt, stellt Artikel 6 klar, dass vor Beginn der Verarbeitung
möglicherweise andere Rechtsgrundlagen zur Verfügung stehen. 21
Beispiel 1
Eine betroffene Person kauft Artikel bei einem Online-Händler. Die betroffene Person möchte mit
Kreditkarte bezahlen und die Produkte zu Hause liefern. Um den Vertrag zu erfüllen, muss der
Einzelhändler die Kreditkarteninformationen und die Rechnungsadresse der betroffenen Person für
Zahlungszwecke und die Hausadresse der betroffenen Person für die Lieferung verarbeiten. Somit ist
Artikel 6 Absatz 1 Buchstabe b) als Rechtsgrundlage für diese Verarbeitungstätigkeiten anwendbar.
Hat sich der Kunde jedoch für den Versand an einen Abholort entschieden, ist die Verarbeitung der
Heimatadresse der betroffenen Person für die Erfüllung des Kaufvertrages nicht mehr erforderlich
und somit eine andere Rechtsgrundlage als Artikel 6 Absatz 1 Buchstabe b erforderlich.
Beispiel 2
Derselbe Online-Händler möchte Profile des Geschmacks und der Lebensweise des Benutzers
erstellen, basierend auf seinen Besuchen auf der Website. Der Abschluss des Kaufvertrages ist nicht
an die Erstellung solcher Profile gebunden. Auch wenn die Profilerstellung im Vertrag ausdrücklich
erwähnt wird, macht es diese Tatsache allein nicht "notwendig" für die Erfüllung des Vertrages.
Wenn der Online-Händler ein solches Profiling durchführen will, muss er sich auf eine andere
Rechtsgrundlage stützen. ... Rechtsgrundlage beziehen.
15
Angenommen - Version für die
öffentliche Konsultation21 Siehe
Artikel 29 Leitlinien der Arbeitsgruppe zur Zustimmung gemäß der Verordnung 2016/679 (WP259), bestätigt durch
die EDPB, Seite 31, in dem es heißt: "Nach der GDPR ist es nicht möglich, zwischen einer gesetzlichen Grundlage und einer
anderen zu wechseln."
16
Angenommen - Version für die
öffentliche Konsultation35. Im Rahmen des Vertragsrechts und gegebenenfalls des Verbraucherrechts steht es den Controllern
frei, ihre Geschäfte, Dienstleistungen und Verträge zu gestalten. In einigen Fällen kann ein für die
Datenverarbeitung Verantwortlicher mehrere einzelne Dienste oder Elemente eines Dienstes mit
unterschiedlichen grundlegenden Zwecken, Merkmalen oder Beweggründen in einem Vertrag
bündeln wollen. Dies kann zu einer "take it or leave it"-Situation für die betroffenen Personen führen,
die möglicherweise nur an einem der Dienste interessiert sind.
36. Im Hinblick auf das Datenschutzrecht müssen die für die Verarbeitung Verantwortlichen
berücksichtigen, dass die vorgesehenen Verarbeitungstätigkeiten auf einer angemessenen
Rechtsgrundlage beruhen müssen. Besteht der Vertrag aus mehreren einzelnen Dienstleistungen
oder Elementen einer Dienstleistung, die tatsächlich vernünftigerweise unabhängig voneinander
erbracht werden können, stellt sich die Frage, inwieweit Artikel 6 Absatz 1 Buchstabe b) als
Rechtsgrundlage dienen kann. Im Einklang mit dem Gerechtigkeitsprinzip sollte die Anwendbarkeit
von Artikel 6 Absatz 1 Buchstabe b) im Zusammenhang mit jeder dieser Dienstleistungen gesondert
geprüft werden, wobei zu prüfen ist, was objektiv notwendig ist, um jede der einzelnen
Dienstleistungen zu erbringen, die die betroffene Person aktiv angefordert oder angemeldet hat.
Diese Bewertung kann ergeben, dass bestimmte Verarbeitungstätigkeiten nicht für die einzelnen von
der betroffenen Person angeforderten Dienstleistungen erforderlich sind, sondern für das
umfassendere Geschäftsmodell des für die Verarbeitung Verantwortlichen. In diesem Fall wird Artikel
6 Absatz 1 Buchstabe b keine Rechtsgrundlage für diese Tätigkeiten sein. Für diese Verarbeitung
können jedoch auch andere Rechtsgrundlagen, wie beispielsweise Artikel 6 Absatz 1 Buchstaben a)
oder f), zur Verfügung stehen, sofern die einschlägigen Kriterien erfüllt sind. Die Beurteilung der
Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b berührt daher nicht die Rechtmäßigkeit des
Vertrags oder die Bündelung von Dienstleistungen als solche.
37. Wie die WP29 bereits festgestellt hat, gilt die Rechtsgrundlage nur für das, was für die Erfüllung eines
Vertrages notwendig ist. 22 Sie gilt daher nicht automatisch für alle weiteren Maßnahmen, die durch
Nichteinhaltung oder alle anderen Vorkommnisse bei der Ausführung eines Vertrages ausgelöst
werden. Bestimmte Maßnahmen können jedoch im Rahmen eines normalen Vertragsverhältnisses
vernünftigerweise vorhergesehen und erforderlich sein, wie z.B. das Versenden von Mahnungen über
ausstehende Zahlungen oder das Wiederherstellen eines Vertrags in Übereinstimmung mit kleineren
Vorfällen und Problemen. Artikel 6 Absatz 1 Buchstabe b) kann die Verarbeitung personenbezogener
Daten umfassen, die im Zusammenhang mit solchen Maßnahmen erforderlich ist. 23
2.6 Beendigung des Vertrages
38. Ein Kontrolleur muss vor Beginn der Verarbeitung die geeignete Rechtsgrundlage für die geplanten
Verarbeitungen ermitteln. Wenn Artikel 6 Absatz 1 Buchstabe b) die Grundlage für einige oder alle
Verarbeitungstätigkeiten bildet, sollte der für die Verarbeitung Verantwortliche vorwegnehmen, was
im Falle der Beendigung dieses Vertrags geschieht. 24
39. Wenn die Verarbeitung personenbezogener Daten auf Artikel 6 Absatz 1 Buchstabe b) beruht und der
Vertrag vollständig gekündigt wird, ist die Verarbeitung dieser Daten für die Erfüllung dieses Vertrags
in der Regel nicht mehr erforderlich, so dass der für die Verarbeitung Verantwortliche die
Verarbeitung einstellen muss. Die betroffene Person hätte ihre personenbezogenen Daten im
Rahmen eines Vertragsverhältnisses angeben können, in dem sie sich darauf verlassen konnte, dass
die Daten nur als notwendiger Teil dieses Verhältnisses verarbeitet werden. Daher ist es in der Regel
ungerecht, auf eine neue Rechtsgrundlage umzusteigen, wenn die ursprüngliche Grundlage nicht
mehr besteht.
10
Angenommen - Version für die
öffentliche Konsultation22 Artikel 29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die
Datenverarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217) Seite 17-18.
23 Die vertragliche Gewährleistung ist Teil der Vertragserfüllung, so dass die Speicherung bestimmter Daten für eine
bestimmte Aufbewahrungsfrist nach Abschluss des Austauschs von Waren/Dienstleistungen/Zahlungen zum Zwecke der
Gewährleistung für die Erfüllung eines Vertrags erforderlich sein kann.
24 Wird ein Vertrag nachträglich für ungültig erklärt, wirkt er sich auf die Rechtmäßigkeit (im Sinne von Artikel 5 Absatz 1
Buchstabe a) der Weiterverarbeitung aus. Sie bedeutet jedoch nicht automatisch, dass die Wahl von Artikel 6 Absatz 1
Buchstabe b) als Rechtsgrundlage falsch war.
11
Angenommen - Version für die
öffentliche Konsultation40. Es gibt jedoch Fälle, in denen es angemessen ist, sich nach Beendigung des Vertrags auf eine neue
Rechtsgrundlage zu stützen - insbesondere kann eine betroffene Person ihre Einwilligung zur
Verarbeitung nach der Beendigung gegeben haben, im Einklang mit den Anforderungen an eine
gültige Einwilligung. 25
41. Gemäß Artikel 17 Absatz 1 Buchstabe a) werden personenbezogene Daten gelöscht, wenn sie für die
Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Dies gilt jedoch nicht, wenn die
Verarbeitung für bestimmte besondere Zwecke erforderlich ist, einschließlich der Erfüllung einer
Rechtspflicht nach Artikel 17 Absatz 3 Buchstabe b) oder der Begründung, Ausübung oder
Verteidigung von Rechtsansprüchen nach Artikel 17 Absatz 3 Buchstabe e). In der Praxis müssen
Controller, wenn sie eine allgemeine Notwendigkeit sehen, Aufzeichnungen für rechtliche Zwecke zu
führen, zu Beginn der Verarbeitung eine Rechtsgrundlage ermitteln und von Anfang an klar
kommunizieren, wie lange sie planen, Aufzeichnungen für diese rechtlichen Zwecke nach Beendigung
eines Vertrages aufzubewahren. In diesem Fall brauchen sie die Daten bei Beendigung des Vertrages
nicht zu löschen.
42. Auf jeden Fall kann es sein, dass die damit verbundenen Verarbeitungstätigkeiten mit getrennten
Zwecken und Rechtsgrundlagen zu Beginn der Verarbeitung identifiziert wurden. Solange diese
Verarbeitungstätigkeiten rechtmäßig bleiben und der für die Verarbeitung Verantwortliche zu Beginn
der Verarbeitung im Einklang mit den Transparenzverpflichtungen des GDPR klar über diese
Tätigkeiten informiert hat, wird es nach Beendigung des Vertrages weiterhin möglich sein,
personenbezogene Daten der betroffenen Person für diese gesonderten Zwecke zu verarbeiten.
Dies führt quasi zwangsläufig zu multiplen Rechtsgrundlagen, denn in vielen Verarbeitungen gibt es
steuerliche Aufbewahrungsfristen.
Beispiel 3
Ein Online-Service bietet einen Abonnement-Service, der jederzeit gekündigt werden kann. Bei
Abschluss eines Dienstleistungsvertrages stellt der für die Verarbeitung Verantwortliche der
betroffenen Person Informationen über die Verarbeitung personenbezogener Daten zur Verfügung.
Der für die Verarbeitung Verantwortliche erklärt unter anderem, dass er, solange der Vertrag
besteht, Daten über die Nutzung der Dienstleistung zur Rechnungsstellung verarbeiten wird. Die
anwendbare Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b), da die Verarbeitung zu
Abrechnungszwecken als objektiv notwendig für die Erfüllung des Vertrages angesehen werden kann.
Bei Beendigung des Vertrages und unter der Annahme, dass keine anhängigen, relevanten
Rechtsansprüche oder gesetzlichen Anforderungen zur Aufbewahrung der Daten bestehen, wird
jedoch die Nutzungshistorie gelöscht.
Darüber hinaus informiert der für die Verarbeitung Verantwortliche die betroffenen Personen
darüber, dass
... darüber, eresnach
dass einenationalem
gesetzliche Recht gesetzlich verpflichtet
Aufbewahrungsfrist ist,Daten
gibt, und die bestimmte
x Jahrepersonenbezogene
aufbewahrt werden.
Daten für Abrechnungszwecke
Die Rechtsgrundlage dafür wärefür eine 6bestimmte
Artikel Anzahl
(1c) und die Datenvon Jahren
dürfen nachaufzubewahren. Die geeignete
Vertragsende archiviert werden.
Rechtsgrundlage
2.7 NotwendigistfürArtikel 6 Absatz vor
Maßnahmen 1 Buchstabe c), und die Aufbewahrung erfolgt auch bei
Vertragsabschluss
Beendigung des Vertrages.
43. Die alternative Voraussetzung für die Anwendung von Artikel 6 Absatz 1 Buchstabe b) ist, wenn die
Verarbeitung erforderlich ist, um auf Antrag der betroffenen Person vor Abschluss eines Vertrages
Maßnahmen zu ergreifen. Diese Bestimmung spiegelt die Tatsache wider, dass eine vorläufige
Verarbeitung personenbezogener Daten vor Vertragsabschluss erforderlich sein kann, um den
tatsächlichen Abschluss dieses Vertrags zu erleichtern.
44. Auf jeden Fall würde diese Bestimmung nicht für unaufgefordertes Marketing oder andere
Verarbeitungen gelten, die ausschließlich auf Initiative des für die Datenverarbeitung
12
Angenommen - Version für die
öffentliche KonsultationVerantwortlichen oder auf Verlangen eines Dritten erfolgen.
25 Artikel 29 Leitlinien der Arbeitsgruppe zur Zustimmung gemäß der Verordnung 2016/679 (WP259), die von der EDPB gebilligt
werden.
13
Angenommen - Version für die
öffentliche KonsultationBeispiel 4
Eine betroffene Person gibt ihre Postleitzahl an, um zu sehen, ob ein bestimmter Dienstanbieter in
ihrem Gebiet tätig ist. Dies kann als eine Verarbeitung angesehen werden, die erforderlich ist, um auf
Antrag der betroffenen Person vor Abschluss eines Vertrages gemäß Artikel 6 Absatz 1 Buchstabe b)
Maßnahmen
... zu ergreifen.
zu reagieren.
Beispiel 5
In einigen Fällen sind die Finanzinstitute nach nationalem Recht verpflichtet, ihre Kunden zu
identifizieren. Dementsprechend verlangt eine Bank vor Abschluss eines Vertrages mit den
betroffenen Personen, dass sie ihre Ausweispapiere einsehen.
In diesem Fall ist die Identifizierung für eine rechtliche Verpflichtung im Namen der Bank
erforderlich, anstatt auf Verlangen der betroffenen Person Maßnahmen zu ergreifen. Daher ist die
geeignete Rechtsgrundlage nicht Artikel 6 Absatz 1 Buchstabe b), sondern Artikel 6 Absatz 1 ...c)
Buchstabe c).
3 TEIL 3 - ANWENDBARKEIT VON ARTIKEL 6 ABSATZ 1 B)
IN SPEZIFISCHEN SITUATIONEN
3.1 Verarbeitung für die "Serviceverbesserung".
45. Online-Dienste sammeln oft detaillierte Informationen darüber, wie Benutzer mit ihrem Dienst
umgehen. In den meisten Fällen kann die Erhebung von organisatorischen Kennzahlen im
Zusammenhang mit einem Dienst oder Details der Benutzerbindung nicht als notwendig für die
Erbringung des Dienstes angesehen werden, da der Dienst ohne Verarbeitung dieser
personenbezogenen Daten erbracht werden könnte. Dennoch kann sich ein Dienstleister auf
alternative gesetzliche Grundlagen für diese Verarbeitung verlassen können, wie z.B. berechtigtes
Interesse oder Zustimmung.
46. Die EDPB ist nicht der Ansicht, dass Artikel 6 Absatz 1 Buchstabe b im Allgemeinen eine angemessene
Rechtsgrundlage für die Verarbeitung zum Zwecke der Verbesserung eines Dienstes oder der
Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes wäre. In den meisten Fällen
schließt ein Nutzer einen Vertrag über die Inanspruchnahme eines bestehenden Dienstes ab.
Während die Möglichkeit von Verbesserungen und Änderungen an einem Dienst routinemäßig in die
Vertragsbedingungen aufgenommen werden kann, kann eine solche Verarbeitung in der Regel nicht
als objektiv notwendig für die Erfüllung des Vertrages mit dem Nutzer angesehen werden.
3.2 Verarbeitung zur "Betrugsbekämpfung".
47. Wie WP29 bereits erwähnt hat,26 kann die Verarbeitung zur Betrugsbekämpfung die Überwachung
und Profilierung von Kunden beinhalten. Nach Ansicht der EDPB ist es wahrscheinlich, dass diese
Verarbeitung über das hinausgeht, was objektiv für die Erfüllung eines Vertrages mit einer
betroffenen Person erforderlich ist. Eine solche Verarbeitung könnte jedoch nach einer anderen
Grundlage in Artikel 6, wie z.B. einer gesetzlichen Verpflichtung oder einem berechtigten Interesse,
noch rechtmäßig sein.
3.3 Verarbeitung für verhaltensbasierte Online-Werbung
14
Angenommen - Version für die
öffentliche Konsultation26 Artikel
29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die
Datenverarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217), Seite 17.
15
Angenommen - Version für die
öffentliche Konsultation48. Online-Verhaltenswerbung und die damit verbundene Verfolgung und Profilierung der betroffenen
Personen wird häufig zur Finanzierung von Online-Diensten eingesetzt. WP29 hat sich zuvor zu einer
solchen Verarbeitung geäußert und erklärt:
[vertragliche Notwendigkeit] ist kein geeigneter Rechtsgrund, um ein Profil des Geschmacks
und der Lebensgewohnheiten des Nutzers auf der Grundlage seines Clickstreams auf einer
Website und der erworbenen Artikel zu erstellen. Der Grund dafür ist, dass der für die
Datenverarbeitung Verantwortliche nicht mit der Durchführung von Profilen beauftragt
wurde, sondern z.B. bestimmte Waren und Dienstleistungen liefert. 27
49. In der Regel stellt verhaltensbasierte Werbung kein notwendiges Element von Online-Diensten dar.
Normalerweise wäre es schwer zu argumentieren, dass der Vertrag nicht erfüllt wurde, weil es keine
verhaltensorientierten Anzeigen gab. Dies wird umso mehr dadurch gestützt, dass die betroffenen
Personen nach Artikel 21 das uneingeschränkte Recht haben, der Verarbeitung ihrer Daten für
Direktmarketingzwecke zu widersprechen.
50. Darüber hinaus kann Artikel 6 Absatz 1 Buchstabe b) keine rechtmäßige Grundlage für
verhaltensorientierte Online-Werbung bieten, nur weil diese Werbung indirekt die Erbringung der
Dienstleistung finanziert. Obwohl diese Verarbeitung die Erbringung einer Dienstleistung
unterstützen kann, ist sie getrennt vom objektiven Zweck des Vertrages zwischen dem Nutzer und
dem Dienstleister und daher für die Erfüllung des betreffenden Vertrages nicht erforderlich.
51. In Anbetracht der Tatsache, dass der Datenschutz ein Grundrecht ist, das durch Artikel 8 der Charta
der Grundrechte garantiert wird, und in Anbetracht der Tatsache, dass eines der Hauptziele der
GDPR darin besteht, den betroffenen Personen die Kontrolle über die sie betreffenden
Informationen zu übertragen, können personenbezogene Daten nicht als handelbare Ware
angesehen werden. Die betroffenen Personen können der Verarbeitung ihrer personenbezogenen
Daten zustimmen, können aber ihre Grundrechte nicht wegtauschen. 28
52. Die EDPB stellt ferner fest, dass gemäß den Anforderungen an den Datenschutz im Internet und der
bestehenden Stellungnahme der WP29 zur verhaltensorientierten Werbung29 und dem Arbeitspapier
02/2013, das Leitlinien für die Erlangung der Zustimmung zu Cookies enthält, die für die Verarbeitung
Verantwortlichen die vorherige Zustimmung der betroffenen Personen einholen müssen, um die für
die Durchführung verhaltensorientierter Werbung erforderlichen Cookies zu setzen.
53. Die EDPB stellt ferner fest, dass die Verfolgung und Profilerstellung von Nutzern mit dem Ziel
durchgeführt werden kann, Gruppen von Personen mit ähnlichen Merkmalen zu identifizieren, um
eine gezielte Werbung für ähnliche Zielgruppen zu ermöglichen. Eine solche Verarbeitung kann nicht
auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b) erfolgen, da es für die Erfüllung des Vertrags
mit dem Nutzer nicht objektiv notwendig ist, die Merkmale und Verhaltensweisen der Nutzer für
Zwecke, die sich auf die Werbung gegenüber anderen Personen beziehen, zu verfolgen und zu
vergleichen. 31
3.4 Verarbeitung zur Personalisierung von Inhalten
54. Die EDPB erkennt an, dass die Personalisierung von Inhalten ein wesentliches oder erwartetes
Element bestimmter Online-Dienste darstellen kann (aber nicht immer) und daher in einigen Fällen
als notwendig für die Erfüllung des Vertrags mit dem Dienstleistungsnehmer angesehen werden
kann. Ob eine solche Verarbeitung als ein wesentlicher Aspekt eines Online-Dienstes angesehen
werden kann, hängt von der Art der erbrachten Dienstleistung ab, den Erwartungen der
durchschnittlichen betroffenen Person im Hinblick nicht nur auf die Nutzungsbedingungen, sondern
auch auf die folgenden Punkte
16
Angenommen - Version für die
öffentliche Konsultation27 Ebd.
28 Neben der Tatsache, dass die Verwendung personenbezogener Daten durch die GDPR geregelt ist, gibt es weitere
Gründe, warum sich die Verarbeitung personenbezogener Daten konzeptionell von der von Geldzahlungen unterscheidet.
So ist beispielsweise Geld zählbar, was bedeutet, dass die Preise auf einem wettbewerbsorientierten Markt verglichen
werden können, und Geldzahlungen können in der Regel nur unter Beteiligung der betroffenen Person erfolgen. Darüber
hinaus können personenbezogene Daten von mehreren Diensten gleichzeitig genutzt werden. Sobald die Kontrolle über die
persönlichen Daten verloren gegangen ist, kann diese nicht unbedingt wiedererlangt werden.
29 Artikel 29 Stellungnahme der Arbeitsgruppe 2/2010 zum Thema Online-Verhaltenswerbung (WP171).
30 Artikel 29 Arbeitsdokument der Arbeitsgruppe 02/2013 mit Leitlinien für die Einholung der Zustimmung zu Cookies
(WP208).
31 Siehe auch Artikel 29 Leitlinien der Arbeitsgruppe über automatisierte individuelle Entscheidungsfindung und
Profilerstellung für die Zwecke der Verordnung 2016/679 (WP251rev.01), die von der EDPB gebilligt wurden, Seite 13.
17
Angenommen - Version für die
öffentliche Konsultationdie Art und Weise, wie der Dienst bei den Nutzern beworben wird und ob der Dienst ohne
Personalisierung bereitgestellt werden kann. Ist die Personalisierung von Inhalten für die Zwecke des
zugrunde liegenden Vertrags objektiv nicht erforderlich, z.B. wenn die Bereitstellung personalisierter
Inhalte dazu bestimmt ist, die Beteiligung der Nutzer an einem Dienst zu erhöhen, aber nicht
integraler Bestandteil der Nutzung des Dienstes ist, sollten die für die Datenverarbeitung
Verantwortlichen gegebenenfalls eine alternative Rechtsgrundlage in Betracht ziehen.
Beispiel 6
Eine Online-Nachrichtenseite bietet den Nutzern einen Nachrichten-Aggregationsdienst an. Der vom
Nutzer gewählte Service besteht darin, den Nutzern maßgeschneiderte Inhalte aus mehreren Online-
Quellen über eine einzige Oberfläche zur Verfügung zu stellen. Dazu werden die Nutzer aufgefordert,
ein Profil ihrer Interessen zu erstellen.
In diesem Fall kann die Personalisierung zum Zwecke der Bereitstellung von Inhalten als objektiv
notwendig für die Erfüllung des Vertrages zwischen dem Unternehmen und dem Nutzer angesehen
werden, da die Funktion des Dienstes unmittelbar mit personalisierten Inhalten zusammenhängt.
Somit kann Artikel 6 Absatz 1 Buchstabe b) eine anwendbare Rechtsgrundlage bilden.
Beispiel 7
Eine Online-Suchmaschine für Hotels überwacht vergangene Buchungen von Nutzern, um ein Profil
ihrer typischen Ausgaben zu erstellen. Dieses Profil wird anschließend verwendet, um dem Benutzer
bei der Rückgabe der Suchergebnisse bestimmte Hotels zu empfehlen. In diesem Fall wäre eine
Profilerstellung des bisherigen Verhaltens und der Finanzdaten des Nutzers für die Erfüllung eines
Vertrages, d.h. die Erbringung von Bewirtungsleistungen auf der Grundlage bestimmter vom Nutzer
angegebener Suchkriterien, nicht objektiv erforderlich. Daher wäre Artikel 6 Absatz 1 Buchstabe b)
auf
... diese
nicht Verarbeitungstätigkeit nicht anwendbar.
anwendbar.
Beispiel 8
Ein Online-Marktplatz ermöglicht es potenziellen Käufern, nach Produkten zu suchen und diese zu
kaufen. Der Marktplatz möchte personalisierte Produktvorschläge anzeigen, die darauf basieren,
welche Angebote die potenziellen Käufer zuvor auf der Plattform angesehen haben, um die
Interaktivität zu erhöhen. Diese Personalisierung ist objektiv nicht notwendig, um den Marktplatz-
Service zu erbringen. Daher kann sich eine solche Verarbeitung personenbezogener Daten nicht auf
Artikel
... 6 Absatz
Artikel 1 Buchstabe b) als Rechtsgrundlage stützen.
6 (1b) basieren.
18
Angenommen - Version für die
öffentliche KonsultationSie können auch lesen
