12.03.2020

Datenverarbeitung zur Vertragserfüllung: Die Überzeugungskraft der EDSA-Methodik zur Bestimmung der Erforderlichkeit

Portrait von Kirsten Bock
Kirsten Bock

Die Verarbeitung personenbezogener Daten bedarf stets einer Rechtsgrundlage. Art. 6 Abs. 1 lit b DSGVO bietet dem Verantwortlichen eine vergleichsweise komfortable Rechtsgrundlage ohne Interessenabwägung und Widerspruchsmöglichkeit der Betroffenen. Im Online-Bereich wird davon weitreichend Gebrauch gemacht (ausführlich zur Erforderlichkeit einer Verarbeitung nach Art. 6 Abs. 1 lit. b DSGVO: Bock, „Beschränkt Datenschutzrecht die Vertragsgestaltungsfreiheit?“, CR 3/2020, 173-178).

Maßgebliche Voraussetzung der Rechtsgrundlage ist, neben einem rechtsgültigen Vertrag, die Erforderlichkeit der Verarbeitung für die Vertragsdurchführung. Aber weder eine Reduzierung auf naheliegende Vertragstypen, noch eine freie Festlegung durch die Vertragsparteien führt zu befriedigenden Ergebnissen für die Feststellung der Erforderlichkeit. Deshalb hat der Europäische Datenschutzausschuss (EDSA) im Oktober 2019 Leitlinien für einen vermittelnden dritten Weg vorgelegt:

Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Methode des EDSA

In seinen Guidelines 2/2019 beschäftigt sich der EDSA im Kern mit der Frage:

  1. welche Verarbeitungen personenbezogener Daten für die Durchführung eines Vertrages erforderlich sein können und
  2. wie diese Erforderlichkeit zu bestimmen ist, damit Art. 6 Abs. 1 lit. b DSGVO zur Anwendung kommt.

Der EDSA hat sich gegen eine starre Definition und für die Bestimmung einer Methode entschieden, weil es die Vielzahl der Vertragsgestaltungsmöglichkeiten schwierig bzw. nahezu unmöglich macht Kriterien aufzustellen, die die gesetzlichen Vorgaben konkretisieren und nicht ihrerseits einen zu großen Auslegungsspielraum zulassen. Der EDSA verfolgt hierzu einen zweistufigen Ansatz, der objektive und subjektive Elemente einschließt (siehe EDSA Guidelines, Rz. 16 – 36):

  • Stufe 1: Objektivierter Vertragszweck Grundlage der Bestimmung der Verarbeitungen, die für die Vertragsdurchführung erforderlich sind, ist der vereinbarte Vertrag. Hierbei sind aus einer objektivierten Sicht die Zwecke des konkreten Vertrages („rationale of the contract“) zu ermitteln: Was wollen die Vertragsparteien als Leistungsgegenstand bestimmen?
  • Stufe 2: Objektive Erforderlichkeit Im zweiten Schritt erfolgt eine Konkretisierung: Was ist für die Durchführung zur Erfüllung der geschuldeten Leistung erforderlich („objectively necessary“)? Für die Bestimmung der Erforderlichkeit reicht es nicht, dass eine Verarbeitung personenbezogener Daten vertraglich vorgesehen ist. Hinzukommen muss eine inhaltliche Beziehung („nexus“) zum Vertragszweck, für den der Zweck der Verarbeitung einen „integralen Bestandteil“ darstellt.

Ein Vorteil dieses zweistufigen Ansatzes ist, dass auch Verarbeitungen erfasst werden können, die nicht explizit im Vertrag aufgenommen worden sind, aber z.B. aus technischen Gründen der Vertragsdurchführung dienen. Dies gilt beispielsweise für die Bereitstellung eines Warenkorbs. Als Lackmus-Test für die Erforderlichkeit dient die Frage aus einer objektivierten Sicht beider Vertragsparteien: Kann der Vertrag nicht erfüllt werden, wenn die Verarbeitung nicht stattfindet?

Absage an beide Extrempositionen

Dieser vermittelnde Ansatz erteilt den beiden bislang vertretenen Extrempositionen eine Absage:

  • Kernvertragstheorie: Ansatz: Nach der Kernvertragstheorie (= „core contract approach“; nach Engeler, ZD 2018, 55 (57) ein „abstrakt-wertender Erforderlichkeitsmaßstab“) wird unabhängig von der konkreten Vertragsausgestaltung das zugrundeliegende Kerngeschäft (= die vertragscharakteristischen Leistungen) zwischen den Vertragsparteien ermittelt und ausschließlich diejenigen Verarbeitungen personenbezogener Daten, die dazu in einer konkreten Beziehung stehen, sollen auf die Rechtsgrundlage gestützt werden können (vgl. Kühling/Buchner/Buchner/Petri DS-GVO Art. 6 Rz. 40). Nachteil: Wesentlicher Nachteil der Kernvertragstheorie ist deren Unbestimmtheit. Bislang fehlen Kriterien anhand derer der „typische Kern“ eines Vertrages bestimmt werden kann. Die Vielzahl moderner Vertragstypen lässt eine verlässliche Bestimmung des für die Verarbeitung Erforderlichen nicht in allen Bereichen zu. Hier bedürfte es stets einer wertenden Betrachtung.

 

  • Vertragsfreiheitstheorie: Ansatz: Nach der Vertragsfreiheitstheorie (= „contractual freedom approach“; nach Engeler, ZD 2018, 55 (57) ein „konkret-objektiver Erforderlichkeitsmaßstab“) sind alle diejenigen Verarbeitungen personenbezogener Daten für die Vertragserfüllung erforderlich, für die Zwecke im Vertrag vereinbart wurden. Hiernach bestimmen die Vertragsparteien selbst darüber, welche Verarbeitungen erforderlich sein sollen. Nachteil: Hätte der Gesetzgeber eine Verbindung zwischen Vertrag und Verarbeitung ausreichen lassen wollen, hätte er in Art. 6 Abs. 1 lit. b DSGVO auf das Merkmal der Erforderlichkeit verzichten und sich stattdessen (ähnlich wie bei der Einwilligung) allein auf die vertragliche Vereinbarung mit der Betroffenen beziehen oder eine schwächere Kausalitätsbeziehung wählen können. Dafür gibt es aber keine Anhaltspunkte.
Zurück