Leitlinien 2/2019 über die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b GDPR im Zusammenhang mit der Erbringung von ...

 
Leitlinien 2/2019 über die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b GDPR im Zusammenhang mit der Erbringung von ...
Dieses Dokument wurde automatisiert von deepl.com übersetzt.
Das englische Originaldokument hat 14 Seiten, aber durch die Formatierung der Fußnoten ist das deutsche
Dokument 11 Seiten länger.
Die Übersetzung scheint gelungen, allerdings fehlt in den umrandeten Praxisbeispielen ein kleiner Teil, den
Hr. Vollmer beigefügt hat.

Leitlinien 2/2019 über die Verarbeitung personenbezogener
   Daten gemäß Artikel 6 Absatz 1 Buchstabe b GDPR im
Zusammenhang mit der Erbringung von Online-Diensten für
                 die betroffenen Personen

                             Genehmigt am 9. April 2019

                            Version für die öffentliche
                                  Konsultation

                                                                                                    1
Angenommen - Version für die
öffentliche Konsultation
INHALTSVERZEICHNIS
1     TEIL 1 - EINFÜHRUNG .........................................................................................................................3
    1.1      Hintergrund ................................................................................................................................3
    1.2      Umfang dieser Richtlinien ..........................................................................................................5
2     TEIL 2 - ANALYSE VON ARTIKEL 6 ABSATZ 1 B) ...................................................................................7
    2.1      Allgemeine Beobachtungen .......................................................................................................7
    2.2      Wechselwirkung von Artikel 6 Absatz 1 Buchstabe b) mit anderen gesetzlichen Grundlagen
             für die Verarbeitung ...................................................................................................................9
    2.3      Anwendungsbereich von Artikel 6 Absatz 1 Buchstabe b) .......................................................11
    2.4      Notwendigkeit ..........................................................................................................................11
    2.5      Erforderlich für die Erfüllung eines Vertrages mit der betroffenen Person.............................11
    2.6      Beendigung des Vertrages........................................................................................................10
    2.7      Notwendig für Maßnahmen vor Vertragsabschluss.................................................................12
3     TEIL 3 - ANWENDBARKEIT VON ARTIKEL 6 ABSATZ 1 B) IN SPEZIFISCHEN SITUATIONEN ...............14
    3.1      Verarbeitung für die "Serviceverbesserung"............................................................................14
    3.2      Verarbeitung zur "Betrugsbekämpfung". .................................................................................14
    3.3      Verarbeitung für verhaltensbasierte Online-Werbung ............................................................14
    3.4      Verarbeitung zur Personalisierung von Inhalten......................................................................16

                                                                                                                                                      2
Angenommen - Version für die
öffentliche Konsultation
Der Europäische Datenschutzrat

     gestützt auf Artikel 70 Absatz 1 Buchstabe e der Verordnung 2016/679/EU des Europäischen
     Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
     personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG,

     HAT DIE FOLGENDEN LEITLINIEN ANGENOMMEN

     1 TEIL 1 - EINFÜHRUNG
     1.1 Hintergrund
1.   Gemäß Artikel 8 der Charta der Grundrechte der Europäischen Union müssen personenbezogene
     Daten für bestimmte Zwecke und auf der Grundlage einer gesetzlich festgelegten legitimen
     Grundlage fair verarbeitet werden. In diesem Zusammenhang bestimmt Artikel 6 Absatz 1 der
     Allgemeinen Datenschutzverordnung1 (GDPR), dass die Verarbeitung nur auf der Grundlage einer
     von sechs in Artikel 6 Absatz 1 Buchstaben a) bis f) genannten Bedingungen zulässig ist. Die
     Ermittlung der geeigneten Rechtsgrundlage ist von entscheidender Bedeutung. Die für die
     Verarbeitung Verantwortlichen müssen die Auswirkungen auf die Rechte der betroffenen Personen
     bei der Ermittlung der geeigneten Rechtsgrundlage berücksichtigen, um den Grundsatz der Fairness
     uneingeschränkt zu wahren. 2

2.   Artikel 6 Absatz 1 Buchstabe b) GDPR bietet eine rechtmäßige Grundlage für die Verarbeitung
     personenbezogener Daten, soweit sie "für die Erfüllung eines Vertrags, an dem die betroffene Person
     beteiligt ist, erforderlich ist oder um auf Antrag der betroffenen Person vor Vertragsabschluss
     Maßnahmen zu ergreifen". 3 Dies unterstützt die durch Artikel 16 der Charta garantierte Freiheit zur
     Ausübung eines Geschäftsbetriebs und spiegelt die Tatsache wider, dass die vertraglichen
     Verpflichtungen gegenüber der betroffenen Person manchmal nicht ohne die Angabe bestimmter
     personenbezogener Daten durch die betroffene Person erfüllt werden können. Wenn die spezifische
     Verarbeitung Teil der Lieferung der angeforderten Dienstleistung ist, liegt es im Interesse beider
     Parteien, diese Daten zu verarbeiten, da sonst die Dienstleistung nicht erbracht werden könnte und
     der Vertrag nicht ausgeführt werden könnte. Die Möglichkeit, sich auf diese oder eine der anderen in
     Artikel 6 Absatz 1 genannten Rechtsgrundlagen zu stützen, befreit den für die Datenverarbeitung
     Verantwortlichen jedoch nicht von der Einhaltung der anderen Anforderungen des GDPR.

3.   Die Artikel 56 und 57 des Vertrags über die Arbeitsweise der Europäischen Union definieren und
     regeln den freien Dienstleistungsverkehr innerhalb der Europäischen Union. Es wurden spezifische
     EU-Rechtsvorschriften für die "Dienste der Informationsgesellschaft" erlassen. 4 Diese
     Dienstleistungen werden definiert als "jede Dienstleistung, die normalerweise gegen Entgelt im
     Fernabsatz, auf elektronischem Wege und auf individuellen Wunsch eines Dienstleistungsempfängers
     erbracht wird". Diese Definition erstreckt sich auf Dienstleistungen, die nicht direkt von der
     Gesellschaft bezahlt werden.

     1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen
     bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
                                                                                                                       3
     Angenommen - Version für die
     öffentliche Konsultation
(Allgemeine Datenschutzverordnung).
2 Insbesondere sollte der für die Verarbeitung Verantwortliche berücksichtigen, dass die Anwendung bestimmter Rechte der

betroffenen Person im Rahmen der GDPR je nach Rechtsgrundlage, auf der die Verarbeitung beruht, unterschiedlich sein kann.
So kann beispielsweise die Verarbeitung nach Artikel 6 Absatz 1 Buchstabe b) das Recht auf Datenübertragbarkeit nach Artikel
20 begründen, würde aber nicht das Recht begründen, der Verarbeitung nach Artikel 21 Absatz 1 GDPR zu widersprechen.
3 Siehe auch Erwägungsgrund 44.
4 Siehe z.B. die Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates und Artikel 8 GDPR.

                                                                                                                      4
Angenommen - Version für die
öffentliche Konsultation
Personen, die sie erhalten,5 wie z.B. durch Werbung finanzierte Online-Dienste. Die in diesen Leitlinien
      verwendeten "Online-Dienste" beziehen sich auf die "Dienste der Informationsgesellschaft".

4.    Die Entwicklung des EU-Rechts spiegelt die zentrale Bedeutung von Online-Diensten in der modernen
      Gesellschaft wider. Die Verbreitung des ständig verfügbaren mobilen Internets und die weit
      verbreitete Verfügbarkeit von angeschlossenen Geräten haben die Entwicklung von Online-Diensten
      in Bereichen wie Social Media, E-Commerce, Internet-Suche, Kommunikation und Reisen ermöglicht.
      Während einige dieser Dienste durch Nutzerzahlungen finanziert werden, werden andere ohne
      Geldleistung des Verbrauchers erbracht, stattdessen durch den Verkauf von Online-Werbeangeboten
      finanziert, die es ermöglichen, die betroffenen Personen gezielt anzusprechen. Die Verfolgung des
      Nutzerverhaltens für die Zwecke dieser Werbung erfolgt häufig in einer Weise, die dem Nutzer
      möglicherweise nicht bekannt ist, und sie ist aus der Art des erbrachten Dienstes nicht unmittelbar
      ersichtlich, was es der betroffenen Person in der Praxis fast unmöglich macht, eine Kontrolle über die
      Verwendung ihrer Daten auszuüben.

5.    Vor diesem Hintergrund hält es der Europäische Datenschutzrat6 (EDPB) für angemessen, Leitlinien
      für die vertragliche Notwendigkeit der Verarbeitung personenbezogener Daten im Rahmen von
      Online-Diensten zur Verfügung zu stellen, um sicherzustellen, dass diese rechtmäßige Grundlage nur
      dann herangezogen wird, wenn dies angemessen ist.

6.    Die Artikel-29-Arbeitsgruppe ("WP29") hat sich zuvor in ihrer Stellungnahme zum Begriff der
      berechtigten Interessen des für die Datenverarbeitung Verantwortlichen zur vertraglichen
      Notwendigkeit gemäß der Richtlinie 95/46/EG geäußert. 7 Im Allgemeinen bleiben diese Leitlinien
      relevant für Artikel 6 Absatz 1 Buchstabe b) und die GDPR.

      1.2 Umfang dieser Richtlinien
7.    Diese Leitlinien befassen sich mit der Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b) auf die
      Verarbeitung personenbezogener Daten im Rahmen von Verträgen über Online-Dienste, unabhängig
      davon, wie die Dienste finanziert werden. In den Leitlinien werden die Elemente der rechtmäßigen
      Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe b GDPR dargelegt und der Begriff der
      "Notwendigkeit" berücksichtigt, wie er für "zur Erfüllung eines Auftrags erforderlich" gilt.

8.    Die Datenschutzbestimmungen regeln wichtige Aspekte der Interaktion von Online-Diensten mit
      ihren Nutzern, aber auch andere Regeln gelten. Die Regulierung von Online-Diensten umfasst
      funktionsübergreifende Aufgaben in den Bereichen unter anderem Verbraucherschutzrecht und
      Wettbewerbsrecht. Überlegungen zu diesen Rechtsgebieten gehen über den Rahmen dieser
      Richtlinien hinaus.

9.    Obwohl Artikel 6 Absatz 1 Buchstabe b nur im vertraglichen Zusammenhang anwendbar ist, äußern
      diese Leitlinien keine Meinung über die Gültigkeit von Verträgen über Online-Dienste im
      Allgemeinen, da dies außerhalb der Zuständigkeit der EDPB liegt. Dennoch müssen Verträge und
      Vertragsbedingungen den Anforderungen des Vertragsrechts und, wie im Falle von
      Verbraucherverträgen, des Verbraucherschutzrechts entsprechen, damit die Verarbeitung auf der
      Grundlage dieser Bedingungen als fair und rechtmäßig gilt.

10.   Nachfolgend sind einige allgemeine Anmerkungen zu den Datenschutzgrundsätzen aufgeführt, aber
      nicht alle Datenschutzfragen, die sich bei der Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe b)
      ergeben können, werden erläutert. Die für die Datenverarbeitung Verantwortlichen müssen stets
      sicherstellen, dass sie die in Artikel 5 genannten Datenschutzgrundsätze und alle anderen
      Anforderungen der GDPR und gegebenenfalls der ePrivacy-Gesetzgebung einhalten.

                                                                                                            5
      Angenommen - Version für die
      öffentliche Konsultation
5 Siehe Erwägungsgrund 18 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über
bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im
Binnenmarkt.
6 Errichtet gemäß Artikel 68 GDPR.
7 Artikel 29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die Datenverarbeitung

Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217). Siehe insbesondere die Seiten 11, 16, 17, 17, 18 und 55.

                                                                                                                      6
Angenommen - Version für die
öffentliche Konsultation
2 TEIL 2 - ANALYSE VON ARTIKEL 6 ABSATZ 1 B)
      2.1 Allgemeine Beobachtungen
11.   Die rechtmäßige Grundlage für die Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe
      b) ist im Zusammenhang mit dem GDPR als Ganzes, den in Artikel 1 genannten Zielen und neben der
      Verpflichtung der für die Verarbeitung Verantwortlichen, personenbezogene Daten unter Beachtung
      der Datenschutzgrundsätze gemäß Artikel 5 zu verarbeiten, zu betrachten. Dazu gehört die faire und
      transparente Verarbeitung personenbezogener Daten sowie die Einhaltung der Zweckbindung und
      der Verpflichtungen zur Datenminimierung.

12.   Artikel 5 Absatz 1 Buchstabe a) GDPR sieht vor, dass personenbezogene Daten in Bezug auf die
      betroffene Person rechtmäßig, fair und transparent verarbeitet werden müssen. Der Grundsatz der
      Fairness umfasst unter anderem die Anerkennung der berechtigten Erwartungen8 der betroffenen
      Personen, die Prüfung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann, und
      die Berücksichtigung der Beziehung und der möglichen Auswirkungen eines Ungleichgewichts
      zwischen ihnen und dem für die Verarbeitung Verantwortlichen.

13.   Wie bereits erwähnt, müssen Verträge über Online-Dienste aus Gründen der Rechtmäßigkeit nach
      dem geltenden Vertragsrecht gültig sein. Ein Beispiel für einen relevanten Faktor ist, ob die
      betroffene Person ein Kind ist. In diesem Fall (und abgesehen von der Erfüllung der Anforderungen
      der GDPR, einschließlich der für Kinder geltenden "besonderen Schutzmaßnahmen") muss der für die
      Datenverarbeitung Verantwortliche sicherstellen, dass sie den einschlägigen nationalen
      Rechtsvorschriften über die Fähigkeit von Kindern, Verträge abzuschließen, entsprechen. Um die
      Einhaltung der Grundsätze der Fairness und Rechtmäßigkeit zu gewährleisten, muss der
      Verantwortliche darüber hinaus andere gesetzliche Anforderungen erfüllen. So kann beispielsweise
      für Verbraucherverträge die Richtlinie 93/13/EWG über missbräuchliche Klauseln in
      Verbraucherverträgen (die "Richtlinie über unlautere Vertragsbedingungen") gelten. 10 Artikel 6
      Absatz 1 Buchstabe b) ist nicht auf Verträge beschränkt, die dem Recht eines EWR-Mitgliedstaats
      unterliegen. 11

14.   Artikel 5 Absatz 1 Buchstabe b) der GDPR sieht den Grundsatz der Zweckbindung vor, wonach
      personenbezogene Daten für bestimmte, ausdrückliche und rechtmäßige Zwecke erhoben und nicht
      in einer Weise weiterverarbeitet werden dürfen, die mit diesen Zwecken unvereinbar ist.

15.   Artikel 5 Absatz 1 Buchstabe c) sieht grundsätzlich eine Datenminimierung vor, d.h. die Verarbeitung
      so wenig Daten wie möglich, um den Zweck zu erreichen. Diese Bewertung ergänzt die
      Bedarfsanalysen gemäß Artikel 6 Absatz 1 Buchstaben b) bis f).

16.   Sowohl die Zweckbindung als auch die Grundsätze der Datenminimierung sind besonders relevant
      bei Verträgen über Online-Dienste, die in der Regel nicht individuell verhandelt werden. Der
      technologische Fortschritt ermöglicht es den Verantwortlichen, auf einfache Weise mehr
      personenbezogene Daten als je zuvor zu erheben und zu verarbeiten. Infolgedessen besteht die
      akute Gefahr, dass die für die Datenverarbeitung Verantwortlichen versuchen, allgemeine
      Verarbeitungsbegriffe in die Richtlinie aufzunehmen.

      8 Eswird erwartet, dass einige personenbezogene Daten privat oder nur in gewisser Weise verarbeitet werden, und die
      Datenverarbeitung sollte für die betroffene Person nicht überraschend sein. In der GDPR wird der Begriff der
      "angemessenen Erwartungen" in den Erwägungsgründen 47 und 50 in Bezug auf Artikel 6 Absatz 1 Buchstaben f) und 4
      ausdrücklich erwähnt.
      9 Siehe Erwägung 38, in der es um Kinder geht, die einen besonderen Schutz in Bezug auf ihre personenbezogenen Daten

                                                                                                                        7
      Angenommen - Version für die
      öffentliche Konsultation
benötigen, da sie sich der Risiken, Folgen und Garantien sowie ihrer Rechte in Bezug auf die Verarbeitung
personenbezogener Daten weniger bewusst sind.
10 Eine Vertragsklausel, die nicht individuell ausgehandelt wurde, ist nach der Richtlinie über unlautere

Vertragsbedingungen ungerecht, "wenn sie entgegen dem Erfordernis von Treu und Glauben ein erhebliches
Ungleichgewicht der Rechte und Pflichten der Parteien aus dem Vertrag zum Nachteil des Verbrauchers verursacht". Wie
die Transparenzpflicht in der GDPR schreibt auch die Richtlinie über unlautere Vertragsbedingungen die Verwendung einer
klaren, verständlichen Sprache vor. Die Verarbeitung personenbezogener Daten, die auf einer nach der Richtlinie über
unlautere Vertragsbedingungen als missbräuchliche Klausel beruht, steht im Allgemeinen nicht im Einklang mit der
Anforderung des Artikels 5 Absatz 1 Buchstabe a) GDPR, dass die Verarbeitung rechtmäßig und fair ist.
11 Die GDPR gilt für bestimmte Controller außerhalb des EWR, siehe Artikel 3 GDPR.

                                                                                                                     8
Angenommen - Version für die
öffentliche Konsultation
Verträge, um die mögliche Erhebung und Verwendung von Daten zu maximieren, ohne diese Zwecke
      angemessen zu spezifizieren oder Verpflichtungen zur Datenminimierung zu berücksichtigen. WP29
      hat zuvor erklärt:

             Der Zweck der Erhebung muss klar und eindeutig festgelegt werden: Sie muss detailliert
             genug sein, um festzustellen, welche Art von Verarbeitung vorliegt und welche nicht, und um
             zu ermöglichen, dass die Einhaltung des Gesetzes bewertet und Datenschutzgarantien
             angewendet werden können. Aus diesen Gründen wird ein vager oder allgemeiner Zweck, wie
             z.B. "Verbesserung der Benutzerfreundlichkeit", "Marketingzwecke", "IT-Sicherheitszwecke" oder
             "Zukunftsforschung", in der Regel - ohne weitere Einzelheiten - nicht den Kriterien der
             "Spezifität" entsprechen. 12

      2.2 Wechselwirkung von Artikel 6 Absatz 1 Buchstabe b) mit anderen gesetzlichen
          Grundlagen für die Verarbeitung
17.   Wird die Verarbeitung nicht als "für die Erfüllung eines Auftrags erforderlich" erachtet, d.h. wenn
      eine angeforderte Dienstleistung erbracht werden kann, ohne dass die spezifische Verarbeitung
      stattfindet, erkennt die EDPB an, dass eine andere Rechtsgrundlage anwendbar sein kann, sofern die
      entsprechenden Bedingungen erfüllt sind. Insbesondere kann es unter bestimmten Umständen
      zweckmäßiger sein, sich auf eine freiwillig erteilte Zustimmung nach Artikel 6 Absatz 1 Buchstabe a)
      zu stützen. In anderen Fällen kann Artikel 6 Absatz 1 Buchstabe f) eine angemessenere
      Rechtsgrundlage für die Verarbeitung bieten. Die Rechtsgrundlage muss zu Beginn der Verarbeitung
      festgelegt werden, und die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und
      14 übermittelt werden, müssen die Rechtsgrundlage angeben.

18.   Es ist möglich, dass eine andere Rechtsgrundlage als Artikel 6 Absatz 1 Buchstabe b) dem Ziel der
      Verarbeitung besser entspricht oder besser geeignet ist, weil sie die Interessen der Parteien besser
      ausgleicht. Die Identifizierung der geeigneten Rechtsgrundlage ist an die Grundsätze der Fairness und
      der Zweckbindung gebunden. 13

19.   Die Leitlinien der WP29 zur Einwilligung stellen auch klar, dass "ein für die Verarbeitung
      Verantwortlicher versucht, personenbezogene Daten zu verarbeiten, die tatsächlich für die Erfüllung
      eines Vertrags erforderlich sind, dann ist die Einwilligung nicht die geeignete Rechtsgrundlage".
      Umgekehrt ist die EDPB der Auffassung, dass eine Verarbeitung, wenn sie für die Erfüllung eines
      Vertrages nicht erforderlich ist, nur dann erfolgen kann, wenn sie auf einer anderen geeigneten
      Rechtsgrundlage beruht.

20.   Im Einklang mit ihren Transparenzverpflichtungen sollten die Kontrolleure sicherstellen, dass keine
      Verwirrung darüber entsteht, was die geltende Rechtsgrundlage ist. Dies ist insbesondere dann
      relevant, wenn die geeignete Rechtsgrundlage Artikel 6 Absatz 1 Buchstabe b ist und ein Vertrag über
      Online-Dienste von den betroffenen Personen abgeschlossen wird. Je nach den Umständen können
      die betroffenen Personen fälschlicherweise den Eindruck erwecken, dass sie bei der Unterzeichnung
      eines Vertrags oder der Annahme von Nutzungsbedingungen ihre Einwilligung gemäß Artikel 6 Absatz
      1 Buchstabe a) erteilen. Gleichzeitig könnte ein Kontrolleur irrtümlich davon ausgehen, dass die
      Unterzeichnung eines Vertrages einer Zustimmung im Sinne von Artikel 6 Absatz 1 Buchstabe a)
      entspricht. Es ist wichtig, zwischen dem Abschluss eines Vertrags und der Erteilung der Zustimmung
      im Sinne von Artikel 6 Absatz 1 Buchstabe a zu unterscheiden, da diese Konzepte nicht identisch sind
      und unterschiedliche Auswirkungen auf die Rechte und Erwartungen der betroffenen Personen
      haben.

21.   In Bezug auf die Verarbeitung spezieller Kategorien personenbezogener Daten hat die WP29 in den
      Richtlinien zur Einwilligung dies ebenfalls beachtet:
                                                                                                    9
      Angenommen - Version für die
      öffentliche Konsultation
Artikel 9 Absatz 2 erkennt nicht an, dass "für die Erfüllung eines Vertrags erforderlich" eine
             Ausnahme vom allgemeinen Verbot der Verarbeitung bestimmter Datenkategorien darstellt.
             Daher sollten die Kontrolleure und die Mitgliedstaaten, die sich mit dieser Situation befassen,
             die spezifischen Ausnahmen in Artikel 9 Absatz 2 prüfen.

12 Artikel
         29 Stellungnahme der Arbeitsgruppe 03/2013 zur Zweckbegrenzung (WP203), Seite 15-16.
13 Wenn  die für die Verarbeitung Verantwortlichen die Ermittlung der geeigneten Rechtsgrundlage im Einklang mit dem
Fairness-Prinzip anstreben, wird dies schwierig sein, wenn sie die Zwecke der Verarbeitung nicht vorher eindeutig festgelegt
haben oder wenn die Verarbeitung personenbezogener Daten über das für die angegebenen Zwecke erforderliche Maß
hinausgeht.

                                                                                                                          10
Angenommen - Version für die
öffentliche Konsultation
Unterabsätze (b) bis (j). Sollte keine der Ausnahmen (b) bis (j) zutreffen, bleibt die Einholung
                   einer ausdrücklichen Einwilligung nach den Bedingungen für eine gültige Einwilligung im
                   GDPR die einzig mögliche rechtmäßige Ausnahme zur Verarbeitung dieser Daten. 14

      2.3 Anwendungsbereich von Artikel 6 Absatz 1 Buchstabe b)
22.   Artikel 6 Absatz 1 Buchstabe b) gilt, wenn eine der beiden folgenden Bedingungen erfüllt ist: Die
      betreffende Verarbeitung muss für die Erfüllung eines Vertrags mit einer betroffenen Person objektiv
      erforderlich sein, oder die Verarbeitung muss objektiv erforderlich sein, um auf Antrag einer
      betroffenen Person vorvertragliche Maßnahmen zu ergreifen.

      2.4 Notwendigkeit
23.   Die Notwendigkeit der Verarbeitung ist eine Voraussetzung für beide Teile von Artikel 6 Absatz 1
      Buchstabe b). Zu Beginn ist darauf hinzuweisen, dass der Begriff "notwendig für die Erfüllung eines
      Vertrags" nicht nur eine Bewertung dessen ist, was durch einen Vertrag erlaubt oder in die
      Vertragsbedingungen geschrieben ist. Der Begriff der Notwendigkeit hat im Recht der Europäischen
      Union eine eigenständige Bedeutung, die den Zielen des Datenschutzrechts entsprechen muss. 15
      Daher beinhaltet sie auch die Berücksichtigung des Grundrechts auf Privatsphäre und Schutz
      personenbezogener Daten16 sowie der Anforderungen der Datenschutzgrundsätze, insbesondere des
      Fairnessprinzips.

24.   Ausgangspunkt ist die Identifizierung des Verarbeitungszwecks, und im Rahmen eines
      Vertragsverhältnisses kann es eine Vielzahl von Verarbeitungszwecken geben. Diese Zwecke müssen
      im Einklang mit den Zweckbestimmungs- und Transparenzverpflichtungen des für die Verarbeitung
      Verantwortlichen klar spezifiziert und der betroffenen Person mitgeteilt werden.

25.   Die Beurteilung, was "notwendig" ist, beinhaltet eine kombinierte, faktenbasierte Bewertung der
      Verarbeitung "für das angestrebte Ziel und ob sie im Vergleich zu anderen Optionen zur Erreichung
      desselben Ziels weniger aufdringlich ist". 17 Wenn es realistische, weniger aufdringliche Alternativen
      gibt, ist die Verarbeitung nicht "notwendig". 18 Artikel 6 Absatz 1 Buchstabe b) erstreckt sich nicht auf
      Verarbeitungen, die für die Erbringung der vertraglichen Leistung oder für die Einleitung
      einschlägiger vorvertraglicher Schritte auf Antrag der betroffenen Person nützlich, aber nicht objektiv
      notwendig sind, auch wenn sie für andere geschäftliche Zwecke des für die Verarbeitung
      Verantwortlichen erforderlich sind.

      2.5 Erforderlich für die Erfüllung eines Vertrages mit der betroffenen Person
26.   Ein Kontrolleur kann sich bei der Verarbeitung personenbezogener Daten auf Artikel 6 Absatz 1
      Buchstabe b berufen, wenn er im Einklang mit seinen Rechenschaftspflichten nach Artikel 5 Absatz 2
      feststellen kann, dass die Verarbeitung im Rahmen eines gültigen Vertrags mit der betroffenen
      Person erfolgt und dass die Verarbeitung erforderlich ist, damit der jeweilige Vertrag mit der
      betroffenen Person erfüllt werden kann. Wo die Kontrolleure nicht nachweisen können

      14 Artikel29 Leitlinien der Arbeitsgruppe zur Zustimmung gemäß der Verordnung 2016/679 (WP259), bestätigt durch die EDPB,
      Seite 19.
      15 Der EuGH stellte in Huber fest, dass es sich "um einen Begriff[Notwendigkeit] handelt, der im Gemeinschaftsrecht eine eigene

      unabhängige Bedeutung hat und der so auszulegen ist, dass er das Ziel dieser Richtlinie[Richtlinie 95/46] gemäß Artikel 1 Absatz
      1 derselben Richtlinie vollständig widerspiegelt". CJEU, Rechtssache C-524/06, Heinz Huber / Bundesrepublik Deutschland, 18.
      Dezember 2008, Abs. 1 Nr. 2. 52.
      16 Siehe Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union.
      17 Siehe EDPS-Toolkit: Bewertung der Notwendigkeit von Maßnahmen, die das Grundrecht auf den Schutz

      personenbezogener Daten einschränken, Seite 5.
      18 In Schecke stellte der EuGH fest, dass der Gesetzgeber bei der Prüfung der Notwendigkeit der Verarbeitung

                                                                                                                               11
      Angenommen - Version für die
      öffentliche Konsultation
personenbezogener Daten alternative, weniger einschneidende Maßnahmen berücksichtigen müsse. CJEU, Verbundene
Rechtssachen C-92/09 und C-93/09, Volker und Markus Schecke GbR und Hartmut Eifert / Land Hessen, 9. November 2010.
Dies wurde vom EuGH im Fall Rīgas wiederholt, in dem er feststellte, dass "bei der Bedingung, dass die Verarbeitung
personenbezogener Daten erforderlich ist, zu berücksichtigen ist, dass Ausnahmen und Beschränkungen in Bezug auf den
Schutz personenbezogener Daten nur insoweit gelten dürfen, als dies unbedingt erforderlich ist". CJEU, Rechtssache C-
13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA 'Rīgas satiksme', para. 30.
Für alle Einschränkungen der Ausübung des Rechts auf Privatsphäre und auf Schutz personenbezogener Daten bei der
Verarbeitung personenbezogener Daten ist eine strenge Prüfung erforderlich, siehe EDSB-Toolkit: Bewertung der
Notwendigkeit von Maßnahmen, die das Grundrecht auf den Schutz personenbezogener Daten einschränken, Seite 7.

                                                                                                                             12
Angenommen - Version für die
öffentliche Konsultation
dass (a) ein Vertrag besteht, (b) der Vertrag gemäß den geltenden nationalen Vertragsgesetzen gültig
      ist und (c) die Verarbeitung objektiv für die Erfüllung des Vertrags erforderlich ist, sollte der für die
      Verarbeitung Verantwortliche eine andere Rechtsgrundlage für die Verarbeitung in Betracht ziehen.

27.   Die bloße Bezugnahme oder Erwähnung der Datenverarbeitung in einem Vertrag reicht nicht aus, um
      die betreffende Verarbeitung in den Anwendungsbereich von Artikel 6 Absatz 1 Buchstabe b) zu
      bringen. Versucht ein für die Verarbeitung Verantwortlicher festzustellen, dass die Verarbeitung auf
      der Erfüllung eines Vertrags mit der betroffenen Person beruht, so ist es wichtig zu beurteilen, was
      objektiv notwendig ist, um den Vertrag zu erfüllen. Dies wird auch im Hinblick auf Artikel 7 Absatz 4
      deutlich, der eine Unterscheidung zwischen Verarbeitungstätigkeiten, die für die Erfüllung eines
      Auftrags erforderlich sind, und Bedingungen macht, die die Dienstleistung von bestimmten
      Verarbeitungstätigkeiten abhängig machen, die für die Erfüllung des Auftrags eigentlich nicht
      erforderlich sind. "Erforderlich für die Erfüllung" erfordert eindeutig mehr als eine
      Vertragsbedingung.

28.   In diesem Zusammenhang unterstützt die EDPB die zuvor von der WP29 angenommenen Leitlinien
      für die gleichwertige Bestimmung der vorherigen Richtlinie, die "für die Erfüllung eines Vertrags mit
      der betroffenen Person erforderlich ist":

              .... ist streng auszulegen und umfasst nicht Situationen, in denen die Verarbeitung nicht
              wirklich für die Erfüllung eines Auftrags erforderlich ist, sondern einseitig von dem für die
              Verarbeitung Verantwortlichen der betroffenen Person auferlegt wird. Auch die Tatsache,
              dass eine bestimmte Verarbeitung durch einen Vertrag abgedeckt ist, bedeutet nicht
              automatisch, dass die Verarbeitung für ihre Ausführung notwendig ist. Auch wenn diese
              Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden,
              macht sie diese Tatsache allein nicht für die Erfüllung des Vertrages "notwendig". 19

29.   Die EDPB erinnert auch an die gleiche WP29-Richtlinie, die lautet:

              Hier besteht ein klarer Zusammenhang zwischen der Beurteilung der Notwendigkeit und der
              Einhaltung des Zweckbindungsprinzips. Es ist wichtig , die genaue Begründung des Vertrages
              zu bestimmen,
              d.h. seine Substanz und sein grundlegendes Ziel, da es dagegen ist, dass geprüft wird, ob die
              Datenverarbeitung für ihre Leistung notwendig ist. 20

30.   Bei der Beurteilung, ob Artikel 6 Absatz 1 Buchstabe b) eine geeignete Rechtsgrundlage für einen
      Online-Vertragsdienst ist, sollte dem besonderen Ziel, dem Zweck oder der Zielsetzung des Dienstes
      Rechnung getragen werden. Für die Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b) ist es
      erforderlich, dass die Verarbeitung objektiv für einen Zweck erforderlich ist, der für die Erbringung
      dieser Vertragsleistung an die betroffene Person unerlässlich ist. Dazu gehört auch die Verarbeitung
      der Zahlungsdaten zum Zwecke der Abrechnung der Dienstleistung. Der für die Verarbeitung
      Verantwortliche sollte nachweisen können, dass der Hauptgegenstand des spezifischen Vertrags mit
      der betroffenen Person nicht durchgeführt werden kann, wenn die spezifische Verarbeitung der
      betreffenden personenbezogenen Daten nicht stattfindet. Dabei geht es um die Verbindung zwischen
      den betreffenden personenbezogenen Daten und den Verarbeitungen und der Erbringung oder
      Nichterbringung der vertraglich vereinbarten Leistung.

31.   Verträge über digitale Dienste können ausdrückliche Bedingungen enthalten, die unter anderem
      zusätzliche Bedingungen für Werbung, Zahlungen oder Cookies enthalten. Ein Vertrag kann die
      Kategorien personenbezogener Daten oder Arten von Verarbeitungen, die der für die Verarbeitung
      Verantwortliche zur Erfüllung des Vertrags im Sinne von Artikel 6 Absatz 1 Buchstabe b) durchführen
      muss, nicht künstlich erweitern.
                                                                                                             13
      Angenommen - Version für die
      öffentliche Konsultation
32.   Der Kontrolleur sollte in der Lage sein, die Notwendigkeit seiner Verarbeitung mit Bezug auf den
      grundlegenden und gegenseitig verstandenen Vertragszweck zu begründen. Dies hängt nicht nur von
      der Perspektive des Controllers ab,

      19 Artikel 29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die Datenverarbeitung
      Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217), Seite 16-17.
      20 Ebd., Seite 17.

                                                                                                                             14
      Angenommen - Version für die
      öffentliche Konsultation
sondern auch eine vernünftige Sichtweise des Betroffenen bei Vertragsabschluss und ob der Vertrag
      ohne die betreffende Verarbeitung noch als "erfüllt" angesehen werden kann. Auch wenn der für die
      Verarbeitung Verantwortliche der Ansicht ist, dass die Verarbeitung für den Vertragszweck
      erforderlich ist, ist es wichtig, dass er die Perspektive einer durchschnittlichen betroffenen Person
      sorgfältig prüft, um sicherzustellen, dass ein echtes gegenseitiges Verständnis für den Vertragszweck
      besteht.

33.   Um zu beurteilen, ob Artikel 6 Absatz 1 Buchstabe b anwendbar ist, können die folgenden Fragen als
      Orientierungshilfe dienen:

              •    Was ist die Art der Dienstleistung für die betroffene Person? Worin bestehen die
                   Unterscheidungsmerkmale?

              •    Was ist die genaue Begründung des Vertrages (d.h. seine Substanz und sein grundlegendes
                   Ziel)?

              •    Was sind die wesentlichen Bestandteile des Vertrages?

              •    Welche gegenseitigen Perspektiven und Erwartungen haben die Vertragsparteien? Wie
                   wird die Dienstleistung bei der betroffenen Person beworben oder beworben? Würde
                   ein gewöhnlicher Nutzer der Dienstleistung vernünftigerweise erwarten, dass die
                   vorgesehene Verarbeitung angesichts der Art der Dienstleistung zur Erfüllung des
                   Vertrags, an dem er beteiligt ist, stattfindet?

34.   Ergibt die Beurteilung, was "für die Erfüllung eines Vertrages notwendig ist", die vor Beginn der
      Verarbeitung durchgeführt werden muss, dass die beabsichtigte Verarbeitung über das hinausgeht,
      was für die Erfüllung eines Vertrages objektiv erforderlich ist, so wird diese zukünftige Verarbeitung
      nicht per se rechtswidrig. Wie bereits erwähnt, stellt Artikel 6 klar, dass vor Beginn der Verarbeitung
      möglicherweise andere Rechtsgrundlagen zur Verfügung stehen. 21

      Beispiel 1

      Eine betroffene Person kauft Artikel bei einem Online-Händler. Die betroffene Person möchte mit
      Kreditkarte bezahlen und die Produkte zu Hause liefern. Um den Vertrag zu erfüllen, muss der
      Einzelhändler die Kreditkarteninformationen und die Rechnungsadresse der betroffenen Person für
      Zahlungszwecke und die Hausadresse der betroffenen Person für die Lieferung verarbeiten. Somit ist
      Artikel 6 Absatz 1 Buchstabe b) als Rechtsgrundlage für diese Verarbeitungstätigkeiten anwendbar.

      Hat sich der Kunde jedoch für den Versand an einen Abholort entschieden, ist die Verarbeitung der
      Heimatadresse der betroffenen Person für die Erfüllung des Kaufvertrages nicht mehr erforderlich
      und somit eine andere Rechtsgrundlage als Artikel 6 Absatz 1 Buchstabe b erforderlich.

      Beispiel 2

      Derselbe Online-Händler möchte Profile des Geschmacks und der Lebensweise des Benutzers
      erstellen, basierend auf seinen Besuchen auf der Website. Der Abschluss des Kaufvertrages ist nicht
      an die Erstellung solcher Profile gebunden. Auch wenn die Profilerstellung im Vertrag ausdrücklich
      erwähnt wird, macht es diese Tatsache allein nicht "notwendig" für die Erfüllung des Vertrages.
      Wenn der Online-Händler ein solches Profiling durchführen will, muss er sich auf eine andere
      Rechtsgrundlage stützen.                                ... Rechtsgrundlage beziehen.

                                                                                                           15
      Angenommen - Version für die
      öffentliche Konsultation
21 Siehe
       Artikel 29 Leitlinien der Arbeitsgruppe zur Zustimmung gemäß der Verordnung 2016/679 (WP259), bestätigt durch
die EDPB, Seite 31, in dem es heißt: "Nach der GDPR ist es nicht möglich, zwischen einer gesetzlichen Grundlage und einer
anderen zu wechseln."

                                                                                                                            16
Angenommen - Version für die
öffentliche Konsultation
35.   Im Rahmen des Vertragsrechts und gegebenenfalls des Verbraucherrechts steht es den Controllern
      frei, ihre Geschäfte, Dienstleistungen und Verträge zu gestalten. In einigen Fällen kann ein für die
      Datenverarbeitung Verantwortlicher mehrere einzelne Dienste oder Elemente eines Dienstes mit
      unterschiedlichen grundlegenden Zwecken, Merkmalen oder Beweggründen in einem Vertrag
      bündeln wollen. Dies kann zu einer "take it or leave it"-Situation für die betroffenen Personen führen,
      die möglicherweise nur an einem der Dienste interessiert sind.

36.   Im Hinblick auf das Datenschutzrecht müssen die für die Verarbeitung Verantwortlichen
      berücksichtigen, dass die vorgesehenen Verarbeitungstätigkeiten auf einer angemessenen
      Rechtsgrundlage beruhen müssen. Besteht der Vertrag aus mehreren einzelnen Dienstleistungen
      oder Elementen einer Dienstleistung, die tatsächlich vernünftigerweise unabhängig voneinander
      erbracht werden können, stellt sich die Frage, inwieweit Artikel 6 Absatz 1 Buchstabe b) als
      Rechtsgrundlage dienen kann. Im Einklang mit dem Gerechtigkeitsprinzip sollte die Anwendbarkeit
      von Artikel 6 Absatz 1 Buchstabe b) im Zusammenhang mit jeder dieser Dienstleistungen gesondert
      geprüft werden, wobei zu prüfen ist, was objektiv notwendig ist, um jede der einzelnen
      Dienstleistungen zu erbringen, die die betroffene Person aktiv angefordert oder angemeldet hat.
      Diese Bewertung kann ergeben, dass bestimmte Verarbeitungstätigkeiten nicht für die einzelnen von
      der betroffenen Person angeforderten Dienstleistungen erforderlich sind, sondern für das
      umfassendere Geschäftsmodell des für die Verarbeitung Verantwortlichen. In diesem Fall wird Artikel
      6 Absatz 1 Buchstabe b keine Rechtsgrundlage für diese Tätigkeiten sein. Für diese Verarbeitung
      können jedoch auch andere Rechtsgrundlagen, wie beispielsweise Artikel 6 Absatz 1 Buchstaben a)
      oder f), zur Verfügung stehen, sofern die einschlägigen Kriterien erfüllt sind. Die Beurteilung der
      Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b berührt daher nicht die Rechtmäßigkeit des
      Vertrags oder die Bündelung von Dienstleistungen als solche.

37.   Wie die WP29 bereits festgestellt hat, gilt die Rechtsgrundlage nur für das, was für die Erfüllung eines
      Vertrages notwendig ist. 22 Sie gilt daher nicht automatisch für alle weiteren Maßnahmen, die durch
      Nichteinhaltung oder alle anderen Vorkommnisse bei der Ausführung eines Vertrages ausgelöst
      werden. Bestimmte Maßnahmen können jedoch im Rahmen eines normalen Vertragsverhältnisses
      vernünftigerweise vorhergesehen und erforderlich sein, wie z.B. das Versenden von Mahnungen über
      ausstehende Zahlungen oder das Wiederherstellen eines Vertrags in Übereinstimmung mit kleineren
      Vorfällen und Problemen. Artikel 6 Absatz 1 Buchstabe b) kann die Verarbeitung personenbezogener
      Daten umfassen, die im Zusammenhang mit solchen Maßnahmen erforderlich ist. 23

      2.6 Beendigung des Vertrages
38.   Ein Kontrolleur muss vor Beginn der Verarbeitung die geeignete Rechtsgrundlage für die geplanten
      Verarbeitungen ermitteln. Wenn Artikel 6 Absatz 1 Buchstabe b) die Grundlage für einige oder alle
      Verarbeitungstätigkeiten bildet, sollte der für die Verarbeitung Verantwortliche vorwegnehmen, was
      im Falle der Beendigung dieses Vertrags geschieht. 24

39.   Wenn die Verarbeitung personenbezogener Daten auf Artikel 6 Absatz 1 Buchstabe b) beruht und der
      Vertrag vollständig gekündigt wird, ist die Verarbeitung dieser Daten für die Erfüllung dieses Vertrags
      in der Regel nicht mehr erforderlich, so dass der für die Verarbeitung Verantwortliche die
      Verarbeitung einstellen muss. Die betroffene Person hätte ihre personenbezogenen Daten im
      Rahmen eines Vertragsverhältnisses angeben können, in dem sie sich darauf verlassen konnte, dass
      die Daten nur als notwendiger Teil dieses Verhältnisses verarbeitet werden. Daher ist es in der Regel
      ungerecht, auf eine neue Rechtsgrundlage umzusteigen, wenn die ursprüngliche Grundlage nicht
      mehr besteht.

                                                                                                           10
      Angenommen - Version für die
      öffentliche Konsultation
22  Artikel 29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die
Datenverarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217) Seite 17-18.
23 Die vertragliche Gewährleistung ist Teil der Vertragserfüllung, so dass die Speicherung bestimmter Daten für eine

bestimmte Aufbewahrungsfrist nach Abschluss des Austauschs von Waren/Dienstleistungen/Zahlungen zum Zwecke der
Gewährleistung für die Erfüllung eines Vertrags erforderlich sein kann.
24 Wird ein Vertrag nachträglich für ungültig erklärt, wirkt er sich auf die Rechtmäßigkeit (im Sinne von Artikel 5 Absatz 1

Buchstabe a) der Weiterverarbeitung aus. Sie bedeutet jedoch nicht automatisch, dass die Wahl von Artikel 6 Absatz 1
Buchstabe b) als Rechtsgrundlage falsch war.

                                                                                                                        11
Angenommen - Version für die
öffentliche Konsultation
40.   Es gibt jedoch Fälle, in denen es angemessen ist, sich nach Beendigung des Vertrags auf eine neue
      Rechtsgrundlage zu stützen - insbesondere kann eine betroffene Person ihre Einwilligung zur
      Verarbeitung nach der Beendigung gegeben haben, im Einklang mit den Anforderungen an eine
      gültige Einwilligung. 25

41.   Gemäß Artikel 17 Absatz 1 Buchstabe a) werden personenbezogene Daten gelöscht, wenn sie für die
      Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Dies gilt jedoch nicht, wenn die
      Verarbeitung für bestimmte besondere Zwecke erforderlich ist, einschließlich der Erfüllung einer
      Rechtspflicht nach Artikel 17 Absatz 3 Buchstabe b) oder der Begründung, Ausübung oder
      Verteidigung von Rechtsansprüchen nach Artikel 17 Absatz 3 Buchstabe e). In der Praxis müssen
      Controller, wenn sie eine allgemeine Notwendigkeit sehen, Aufzeichnungen für rechtliche Zwecke zu
      führen, zu Beginn der Verarbeitung eine Rechtsgrundlage ermitteln und von Anfang an klar
      kommunizieren, wie lange sie planen, Aufzeichnungen für diese rechtlichen Zwecke nach Beendigung
      eines Vertrages aufzubewahren. In diesem Fall brauchen sie die Daten bei Beendigung des Vertrages
      nicht zu löschen.

42.   Auf jeden Fall kann es sein, dass die damit verbundenen Verarbeitungstätigkeiten mit getrennten
      Zwecken und Rechtsgrundlagen zu Beginn der Verarbeitung identifiziert wurden. Solange diese
      Verarbeitungstätigkeiten rechtmäßig bleiben und der für die Verarbeitung Verantwortliche zu Beginn
      der Verarbeitung im Einklang mit den Transparenzverpflichtungen des GDPR klar über diese
      Tätigkeiten informiert hat, wird es nach Beendigung des Vertrages weiterhin möglich sein,
      personenbezogene Daten der betroffenen Person für diese gesonderten Zwecke zu verarbeiten.
      Dies führt quasi zwangsläufig zu multiplen Rechtsgrundlagen, denn in vielen Verarbeitungen gibt es
      steuerliche Aufbewahrungsfristen.

      Beispiel 3

      Ein Online-Service bietet einen Abonnement-Service, der jederzeit gekündigt werden kann. Bei
      Abschluss eines Dienstleistungsvertrages stellt der für die Verarbeitung Verantwortliche der
      betroffenen Person Informationen über die Verarbeitung personenbezogener Daten zur Verfügung.

      Der für die Verarbeitung Verantwortliche erklärt unter anderem, dass er, solange der Vertrag
      besteht, Daten über die Nutzung der Dienstleistung zur Rechnungsstellung verarbeiten wird. Die
      anwendbare Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b), da die Verarbeitung zu
      Abrechnungszwecken als objektiv notwendig für die Erfüllung des Vertrages angesehen werden kann.
      Bei Beendigung des Vertrages und unter der Annahme, dass keine anhängigen, relevanten
      Rechtsansprüche oder gesetzlichen Anforderungen zur Aufbewahrung der Daten bestehen, wird
      jedoch die Nutzungshistorie gelöscht.

      Darüber hinaus informiert der für die Verarbeitung Verantwortliche die betroffenen Personen
      darüber,   dass
      ... darüber,    eresnach
                   dass    einenationalem
                                gesetzliche Recht   gesetzlich verpflichtet
                                            Aufbewahrungsfrist               ist,Daten
                                                                  gibt, und die   bestimmte
                                                                                       x Jahrepersonenbezogene
                                                                                               aufbewahrt werden.
      Daten   für Abrechnungszwecke
      Die Rechtsgrundlage    dafür wärefür eine 6bestimmte
                                        Artikel              Anzahl
                                                  (1c) und die Datenvon   Jahren
                                                                       dürfen nachaufzubewahren.   Die geeignete
                                                                                    Vertragsende archiviert werden.
      Rechtsgrundlage
      2.7     NotwendigistfürArtikel 6 Absatz vor
                               Maßnahmen         1 Buchstabe    c), und die Aufbewahrung erfolgt auch bei
                                                     Vertragsabschluss
      Beendigung des Vertrages.
43.   Die alternative Voraussetzung für die Anwendung von Artikel 6 Absatz 1 Buchstabe b) ist, wenn die
      Verarbeitung erforderlich ist, um auf Antrag der betroffenen Person vor Abschluss eines Vertrages
      Maßnahmen zu ergreifen. Diese Bestimmung spiegelt die Tatsache wider, dass eine vorläufige
      Verarbeitung personenbezogener Daten vor Vertragsabschluss erforderlich sein kann, um den
      tatsächlichen Abschluss dieses Vertrags zu erleichtern.

44.   Auf jeden Fall würde diese Bestimmung nicht für unaufgefordertes Marketing oder andere
      Verarbeitungen gelten, die ausschließlich auf Initiative des für die Datenverarbeitung

                                                                                                             12
      Angenommen - Version für die
      öffentliche Konsultation
Verantwortlichen oder auf Verlangen eines Dritten erfolgen.

25 Artikel   29 Leitlinien der Arbeitsgruppe zur Zustimmung gemäß der Verordnung 2016/679 (WP259), die von der EDPB gebilligt
werden.

                                                                                                                       13
Angenommen - Version für die
öffentliche Konsultation
Beispiel 4

       Eine betroffene Person gibt ihre Postleitzahl an, um zu sehen, ob ein bestimmter Dienstanbieter in
       ihrem Gebiet tätig ist. Dies kann als eine Verarbeitung angesehen werden, die erforderlich ist, um auf
       Antrag der betroffenen Person vor Abschluss eines Vertrages gemäß Artikel 6 Absatz 1 Buchstabe b)
       Maßnahmen
      ...            zu ergreifen.
          zu reagieren.

      Beispiel 5

      In einigen Fällen sind die Finanzinstitute nach nationalem Recht verpflichtet, ihre Kunden zu
      identifizieren. Dementsprechend verlangt eine Bank vor Abschluss eines Vertrages mit den
      betroffenen Personen, dass sie ihre Ausweispapiere einsehen.

      In diesem Fall ist die Identifizierung für eine rechtliche Verpflichtung im Namen der Bank
      erforderlich, anstatt auf Verlangen der betroffenen Person Maßnahmen zu ergreifen. Daher ist die
      geeignete Rechtsgrundlage nicht Artikel 6 Absatz 1 Buchstabe b), sondern Artikel 6 Absatz 1 ...c)
      Buchstabe c).

      3 TEIL 3 - ANWENDBARKEIT VON ARTIKEL 6 ABSATZ 1 B)
        IN SPEZIFISCHEN SITUATIONEN
      3.1 Verarbeitung für die "Serviceverbesserung".
45.   Online-Dienste sammeln oft detaillierte Informationen darüber, wie Benutzer mit ihrem Dienst
      umgehen. In den meisten Fällen kann die Erhebung von organisatorischen Kennzahlen im
      Zusammenhang mit einem Dienst oder Details der Benutzerbindung nicht als notwendig für die
      Erbringung des Dienstes angesehen werden, da der Dienst ohne Verarbeitung dieser
      personenbezogenen Daten erbracht werden könnte. Dennoch kann sich ein Dienstleister auf
      alternative gesetzliche Grundlagen für diese Verarbeitung verlassen können, wie z.B. berechtigtes
      Interesse oder Zustimmung.

46.   Die EDPB ist nicht der Ansicht, dass Artikel 6 Absatz 1 Buchstabe b im Allgemeinen eine angemessene
      Rechtsgrundlage für die Verarbeitung zum Zwecke der Verbesserung eines Dienstes oder der
      Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes wäre. In den meisten Fällen
      schließt ein Nutzer einen Vertrag über die Inanspruchnahme eines bestehenden Dienstes ab.
      Während die Möglichkeit von Verbesserungen und Änderungen an einem Dienst routinemäßig in die
      Vertragsbedingungen aufgenommen werden kann, kann eine solche Verarbeitung in der Regel nicht
      als objektiv notwendig für die Erfüllung des Vertrages mit dem Nutzer angesehen werden.

      3.2 Verarbeitung zur "Betrugsbekämpfung".
47.   Wie WP29 bereits erwähnt hat,26 kann die Verarbeitung zur Betrugsbekämpfung die Überwachung
      und Profilierung von Kunden beinhalten. Nach Ansicht der EDPB ist es wahrscheinlich, dass diese
      Verarbeitung über das hinausgeht, was objektiv für die Erfüllung eines Vertrages mit einer
      betroffenen Person erforderlich ist. Eine solche Verarbeitung könnte jedoch nach einer anderen
      Grundlage in Artikel 6, wie z.B. einer gesetzlichen Verpflichtung oder einem berechtigten Interesse,
      noch rechtmäßig sein.

      3.3 Verarbeitung für verhaltensbasierte Online-Werbung

                                                                                                          14
      Angenommen - Version für die
      öffentliche Konsultation
26 Artikel
        29 Stellungnahme der Arbeitsgruppe 06/2014 zum Begriff der berechtigten Interessen des für die
Datenverarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (WP217), Seite 17.

                                                                                                         15
Angenommen - Version für die
öffentliche Konsultation
48.   Online-Verhaltenswerbung und die damit verbundene Verfolgung und Profilierung der betroffenen
      Personen wird häufig zur Finanzierung von Online-Diensten eingesetzt. WP29 hat sich zuvor zu einer
      solchen Verarbeitung geäußert und erklärt:

             [vertragliche Notwendigkeit] ist kein geeigneter Rechtsgrund, um ein Profil des Geschmacks
             und der Lebensgewohnheiten des Nutzers auf der Grundlage seines Clickstreams auf einer
             Website und der erworbenen Artikel zu erstellen. Der Grund dafür ist, dass der für die
             Datenverarbeitung Verantwortliche nicht mit der Durchführung von Profilen beauftragt
             wurde, sondern z.B. bestimmte Waren und Dienstleistungen liefert. 27

49.   In der Regel stellt verhaltensbasierte Werbung kein notwendiges Element von Online-Diensten dar.
      Normalerweise wäre es schwer zu argumentieren, dass der Vertrag nicht erfüllt wurde, weil es keine
      verhaltensorientierten Anzeigen gab. Dies wird umso mehr dadurch gestützt, dass die betroffenen
      Personen nach Artikel 21 das uneingeschränkte Recht haben, der Verarbeitung ihrer Daten für
      Direktmarketingzwecke zu widersprechen.

50.   Darüber hinaus kann Artikel 6 Absatz 1 Buchstabe b) keine rechtmäßige Grundlage für
      verhaltensorientierte Online-Werbung bieten, nur weil diese Werbung indirekt die Erbringung der
      Dienstleistung finanziert. Obwohl diese Verarbeitung die Erbringung einer Dienstleistung
      unterstützen kann, ist sie getrennt vom objektiven Zweck des Vertrages zwischen dem Nutzer und
      dem Dienstleister und daher für die Erfüllung des betreffenden Vertrages nicht erforderlich.

51.   In Anbetracht der Tatsache, dass der Datenschutz ein Grundrecht ist, das durch Artikel 8 der Charta
      der Grundrechte garantiert wird, und in Anbetracht der Tatsache, dass eines der Hauptziele der
      GDPR darin besteht, den betroffenen Personen die Kontrolle über die sie betreffenden
      Informationen zu übertragen, können personenbezogene Daten nicht als handelbare Ware
      angesehen werden. Die betroffenen Personen können der Verarbeitung ihrer personenbezogenen
      Daten zustimmen, können aber ihre Grundrechte nicht wegtauschen. 28

52.   Die EDPB stellt ferner fest, dass gemäß den Anforderungen an den Datenschutz im Internet und der
      bestehenden Stellungnahme der WP29 zur verhaltensorientierten Werbung29 und dem Arbeitspapier
      02/2013, das Leitlinien für die Erlangung der Zustimmung zu Cookies enthält, die für die Verarbeitung
      Verantwortlichen die vorherige Zustimmung der betroffenen Personen einholen müssen, um die für
      die Durchführung verhaltensorientierter Werbung erforderlichen Cookies zu setzen.

53.   Die EDPB stellt ferner fest, dass die Verfolgung und Profilerstellung von Nutzern mit dem Ziel
      durchgeführt werden kann, Gruppen von Personen mit ähnlichen Merkmalen zu identifizieren, um
      eine gezielte Werbung für ähnliche Zielgruppen zu ermöglichen. Eine solche Verarbeitung kann nicht
      auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b) erfolgen, da es für die Erfüllung des Vertrags
      mit dem Nutzer nicht objektiv notwendig ist, die Merkmale und Verhaltensweisen der Nutzer für
      Zwecke, die sich auf die Werbung gegenüber anderen Personen beziehen, zu verfolgen und zu
      vergleichen. 31

      3.4 Verarbeitung zur Personalisierung von Inhalten
54.   Die EDPB erkennt an, dass die Personalisierung von Inhalten ein wesentliches oder erwartetes
      Element bestimmter Online-Dienste darstellen kann (aber nicht immer) und daher in einigen Fällen
      als notwendig für die Erfüllung des Vertrags mit dem Dienstleistungsnehmer angesehen werden
      kann. Ob eine solche Verarbeitung als ein wesentlicher Aspekt eines Online-Dienstes angesehen
      werden kann, hängt von der Art der erbrachten Dienstleistung ab, den Erwartungen der
      durchschnittlichen betroffenen Person im Hinblick nicht nur auf die Nutzungsbedingungen, sondern
      auch auf die folgenden Punkte

                                                                                                        16
      Angenommen - Version für die
      öffentliche Konsultation
27 Ebd.
28 Neben der Tatsache, dass die Verwendung personenbezogener Daten durch die GDPR geregelt ist, gibt es weitere
Gründe, warum sich die Verarbeitung personenbezogener Daten konzeptionell von der von Geldzahlungen unterscheidet.
So ist beispielsweise Geld zählbar, was bedeutet, dass die Preise auf einem wettbewerbsorientierten Markt verglichen
werden können, und Geldzahlungen können in der Regel nur unter Beteiligung der betroffenen Person erfolgen. Darüber
hinaus können personenbezogene Daten von mehreren Diensten gleichzeitig genutzt werden. Sobald die Kontrolle über die
persönlichen Daten verloren gegangen ist, kann diese nicht unbedingt wiedererlangt werden.
29 Artikel 29 Stellungnahme der Arbeitsgruppe 2/2010 zum Thema Online-Verhaltenswerbung (WP171).
30 Artikel 29 Arbeitsdokument der Arbeitsgruppe 02/2013 mit Leitlinien für die Einholung der Zustimmung zu Cookies

(WP208).
31 Siehe auch Artikel 29 Leitlinien der Arbeitsgruppe über automatisierte individuelle Entscheidungsfindung und

Profilerstellung für die Zwecke der Verordnung 2016/679 (WP251rev.01), die von der EDPB gebilligt wurden, Seite 13.

                                                                                                                17
Angenommen - Version für die
öffentliche Konsultation
die Art und Weise, wie der Dienst bei den Nutzern beworben wird und ob der Dienst ohne
Personalisierung bereitgestellt werden kann. Ist die Personalisierung von Inhalten für die Zwecke des
zugrunde liegenden Vertrags objektiv nicht erforderlich, z.B. wenn die Bereitstellung personalisierter
Inhalte dazu bestimmt ist, die Beteiligung der Nutzer an einem Dienst zu erhöhen, aber nicht
integraler Bestandteil der Nutzung des Dienstes ist, sollten die für die Datenverarbeitung
Verantwortlichen gegebenenfalls eine alternative Rechtsgrundlage in Betracht ziehen.

Beispiel 6

Eine Online-Nachrichtenseite bietet den Nutzern einen Nachrichten-Aggregationsdienst an. Der vom
Nutzer gewählte Service besteht darin, den Nutzern maßgeschneiderte Inhalte aus mehreren Online-
Quellen über eine einzige Oberfläche zur Verfügung zu stellen. Dazu werden die Nutzer aufgefordert,
ein Profil ihrer Interessen zu erstellen.

In diesem Fall kann die Personalisierung zum Zwecke der Bereitstellung von Inhalten als objektiv
notwendig für die Erfüllung des Vertrages zwischen dem Unternehmen und dem Nutzer angesehen
werden, da die Funktion des Dienstes unmittelbar mit personalisierten Inhalten zusammenhängt.
Somit kann Artikel 6 Absatz 1 Buchstabe b) eine anwendbare Rechtsgrundlage bilden.

 Beispiel 7

 Eine Online-Suchmaschine für Hotels überwacht vergangene Buchungen von Nutzern, um ein Profil
 ihrer typischen Ausgaben zu erstellen. Dieses Profil wird anschließend verwendet, um dem Benutzer
 bei der Rückgabe der Suchergebnisse bestimmte Hotels zu empfehlen. In diesem Fall wäre eine
 Profilerstellung des bisherigen Verhaltens und der Finanzdaten des Nutzers für die Erfüllung eines
 Vertrages, d.h. die Erbringung von Bewirtungsleistungen auf der Grundlage bestimmter vom Nutzer
 angegebener Suchkriterien, nicht objektiv erforderlich. Daher wäre Artikel 6 Absatz 1 Buchstabe b)
 auf
...   diese
    nicht   Verarbeitungstätigkeit nicht anwendbar.
          anwendbar.

Beispiel 8

Ein Online-Marktplatz ermöglicht es potenziellen Käufern, nach Produkten zu suchen und diese zu
kaufen. Der Marktplatz möchte personalisierte Produktvorschläge anzeigen, die darauf basieren,
welche Angebote die potenziellen Käufer zuvor auf der Plattform angesehen haben, um die
Interaktivität zu erhöhen. Diese Personalisierung ist objektiv nicht notwendig, um den Marktplatz-
Service zu erbringen. Daher kann sich eine solche Verarbeitung personenbezogener Daten nicht auf
Artikel
...      6 Absatz
    Artikel        1 Buchstabe b) als Rechtsgrundlage stützen.
            6 (1b) basieren.

                                                                                                   18
Angenommen - Version für die
öffentliche Konsultation
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren