Die Finale Fassung der Leitlinien 2/2019 des EDSA über die Vertragsdatenverarbeitung im Zusammenhang mit der Erbringung von Online-Diensten für die betroffenen Personen wurden veröffentlicht. Am 16.10.2019 veröffentlichte der Europäische Datenschutzausschuss (EDSA) die am 8.10.2019 beschlossene Version 2.0 seiner Leitlinien zur Vertragsdatenverarbeitung (Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects).
(Dieser Beitrag wurde bereits veröffentlicht in Johannes, ZD-Aktuell 2019, 06821.)
1. Hintergrund
Diese Leitlinien sind auf den Seiten des EDSA abrufbar [https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf]. Der ESDA hatte zuvor ein öffentliches Konsultationsversion durchgeführt (Version vom 9.4.2019)[https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-22019-processing-personal-data-under-article-61b_de]. Die Leitlinien sind bisher nur in englischer Sprache veröffentlicht. Wann eine offizielle deutsche Übersetzung veröffentlicht wird, ist noch nicht bekannt.
Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Vertragserfüllung erforderlich ist (sog. Vertragsdatenverarbeitung). Die Reichweite und Bedeutung dieser Ermächtigungsnorm ist schon aufgrund der unbestimmten Rechtsbegriffe unklar. Die Leitlinie 2/2019 soll zur unionsweit einheitlichen Auslegung der Norm beitragen. Der EDSA beschließt diese und andere Leitlinien auf Grundlage von Art. 70 Abs. 1 lit. e DSGVO. Ziel dieser Maßnahmen ist die einheitliche Anwendung der DSGVO. Den Leitlinien kommen keine direkte Rechtswirkung zu. Ihre Bedeutung folgt aber aus der Zusammenarbeit der Aufsichtsbehörden. Auch die deutschen Aufsichtsbehörden werden sich bei Auslegung von der DSGVO auf diese Leitlinien stützen. Die einheitlichen Vorgaben, die der EDSA verabschiedet, bilden einen wichtigen Baustein dabei, die unterschiedliche Durchsetzung des europäischen Datenschutzrechts durch die mitgliedstaatlichen Aufsichtsbehörden schrittweise abzubauen (Schiedermair, in: Simitis/Hornung/Spiecker gen. Döhmann, DSGVO Art. 70 Rn-. 8 ).
2 Inhalt
Die Leitlinie enthält drei Teile: Eine Einleitung, eine Analyse von Art. 6 Abs. 1 lit. b DSGVO und Ausführungen zur Anwendbarkeit von Art. 6 Abs. 1 lit. b DSGVO in spezifischen Situationen. Sie ist mit Randnummern versehen und wird im Folgenden damit zitiert.
In den Leitlinien wird klargestellt, dass zur Beantwortung der Frage, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Vielmehr ist eine wertende Entscheidung unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz notwendig (Rn. 11ff).
Ausgangspunkt jeder Bewertung nach Art. 6 Abs. 1 lit. b DSGVO sei die Identifizierung des Zwecks der Verarbeitung. Im Rahmen eines Vertragsverhältnisses kann es eine Vielzahl von Zwecken der Verarbeitung geben. Diese Zwecke müssen klar spezifiziert und der betroffenen Person im Einklang mit den Zweckbestimmungs- und Transparenzgrundsätzen des für die Verarbeitung Verantwortlichen mitgeteilt werden (Rn. 24).
Im Hinblick auf die Frage der Erforderlichkeit einer Datenverarbeitung zur Vertragserfüllung verweisen die Leitlinien auf die Stellungnahme 06/2014 der Art. 29-Datenschutzgruppe (Rn. 28f.). Die Beurteilung, was erforderlich für die Vertragserfüllung im Sinne von lit. b, beinhalte eine kombinierte, faktenbasierte Bewertung der Verarbeitung für das verfolgte Ziel und darüber, ob sie im Vergleich zu anderen Optionen zur Erreichung des Gleichgewichtsziels weniger aufdringlich ist. Gibt es realistische, weniger aufdringliche Alternativen, ist die Verarbeitung nicht erforderlich. Art. 6 Abs. 1 lit. b DSGVO umfasst keine Verarbeitung, die nützlich, aber nicht objektiv notwendig ist, um die vertragliche Leistung zu erbringen oder auf Antrag der betroffenen Person relevante vorvertragliche Schritte zu unternehmen, auch wenn sie für andere Geschäftszwecke des für die Verarbeitung Verantwortlichen erforderlich ist (Rn. 25).
Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden (Rn. 35).
Um zu beurteilen zu können, ob Art. 6 Abs. 1 lit. b DSGVO anwendbar ist, sollen folgende Fragen als Orientierungshilfe dienen (Rn. 33):
- Was ist die Art der Dienstleistung für die betroffene Person? Was sind die Unterscheidungsmerkmale?
- Was ist die genaue Begründung des Vertrages (d.h. seine Substanz und sein grundlegendes Objekt)?
- Was sind die wesentlichen Elemente des Vertrages?
- Was sind die gegenseitigen Perspektiven und Erwartungen der Vertragsparteien? Wie wird die Dienstleistung bei der betroffenen Person beworben oder beworben? Würde ein gewöhnlicher Nutzer dieser Dienstleistung vernünftigerweise erwarten, dass die vorgesehene Verarbeitung stattfindet, um den Vertrag, an dem er beteiligt ist, zu erfüllen?
Der EDSA stellt fest, dass dort, wo eine Datenverarbeitung nicht genau für den Zweck sondern das “generelle Geschäftsmodell” des Anbieters in Frage steht, Art. 6 Abs. 1 lit. b DSGVO nicht die richtige Rechtsgrundlage sein könne. Nach Beendigung des Vertragsverhältnisses soll es vor dem Hintergrund der Fairness-Gedankens nicht möglich sein, die Verarbeitung der personenbezogenen Daten auf eine andere Rechtsgrundlage umzustellen.
In Teil 3 der Leitlinien werden vier Beispiele aufgeführt und bewertet.
- Datenverarbeitungen, die der Verbesserung des Angebotes und der Optimierung dienen, sollen nicht erforderlich für die Vertragserfüllung sein. Auch Betrugsprävention soll keine Verarbeitung auf dieser Rechtsgrundlage erlauben.
- Die Datenverarbeitung zur Betrugsbekämpfung darf die Überwachung und Profilierung von Kunden beinhalten. Nach Ansicht der EDPB geht diese Verarbeitung jedoch wahrscheinlich über das hinaus, was für die Erfüllung eines Vertrages mit einer betroffenen Person objektiv notwendig ist. Die Verarbeitung personenbezogener Daten zur Betrugsbekämpfung, könne jedoch als ein berechtigtes Interesse des für die Datenverarbeitung Verantwortlichen und nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Auch Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung) könne eine rechtmäßige Grundlage für eine solche Datenverarbeitung bilden.
- Der EDSA stellt fest, dass Vertragsdatenverarbeitung kein geeigneter Rechtsgrund ist, um ein Profil der Geschmacks- und Lebensgewohnheiten des Nutzers auf der Grundlage seines Clickstreams auf einer Website und der gekauften Artikel zu erstellen. Grundsätzlich sei die Verarbeitung personenbezogener Daten für nutzungsbedingte Werbung nicht erforderlich, um einen Vertrag über Online-Dienste zu erfüllen. Die EDPB stellt ferner fest, dass die Verfolgung und Profilierung von Nutzern zum Zwecke der Identifizierung von Gruppen von Personen mit ähnlichen Merkmalen durchgeführt wird, um eine gezielte Werbung für ähnliche Praktiken zu ermöglichen. Eine solche Verarbeitung könne jedoch nicht auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO erfolgen, da es für die Erfüllung des Vertrags mit dem Nutzer nicht objektiv notwendig ist, die Merkmale und Verhaltensweisen der Nutzer für Zwecke, die sich auf die Werbung gegenüber anderen Personen beziehen, zu verfolgen und zu vergleichen.
- Mit Blick auf die Personalisierung stellt der EDSA fest, dass Datenverarbeitungen notwendig für die Auslieferung personalisierter Inhalte sein können. Ob eine solche Verarbeitung als ein wesentlicher Aspekt eines Online-Dienstvertrags angesehen werden kann, hänge von der Art der erbrachten Dienstleistung, den Erwartungen der durchschnittlichen betroffenen Person ab. Dabei seien nicht nur die Nutzungsbedingungen wichtig, sondern auch die Art und Weise, wie der Dienst bei den Nutzern angepriesen wird, und ob der Dienst ohne Personalisierung erbracht werden kann.