Europäischer Datenschutzausschuss: DSGVO-Rechtsgrundlage „Vertrag“ bei Online-Dienstleistungen ist eng auszulegen

  
Der Europäische Datenschutzausschuss (EDSA) verabschiedete im Oktober die definitive Fassung der Leitlinien zur Frage, wann eine Datenverarbeitung bei Online-Dienstleistungen auf die DSGVO-Rechtsgrundlage „Vertrag“ abgestützt werden kann. Der EDSA zeigt darin auf, welche Datenverarbeitungen als „für die Erfüllung eines Vertrages“ erforderlich zu betrachten sind und für welche Datenverarbeitungen dieser Erlaubnistatbestand nicht greift und deshalb eine andere Rechtsgrundlage (z.B. Einwilligung) angerufen werden muss. Aus Unternehmensperspektive handelt es sich dabei um eine der wichtigsten Rechtsgrundlagen. Gleichzeitig ist die Interpretation des Erforderlichkeitskriteriums in der Praxis stark umstritten. Mit den Leitlinien fördert der EDSA zwar die einheitliche Anwendung in den Mitgliedstaaten, verkleinert deren Anwendungsbereich aufgrund seiner vergleichsweise engen Auslegung aber enorm. Von der strengen Auffassung, die der EDSA bereits in seinem im April veröffentlichten Entwurf vertreten hat, ist er in der definitiven Fassung bedauerlicherweise nicht abgewichen.
 

Hintergrund: DSGVO verbietet jede Datenverarbeitung ohne Rechtsgrundlage

Nach der EU-Datenschutzgrundverordnung (DSGVO) ist eine Datenverarbeitung nur rechtmässig, wenn die Voraussetzungen einer der sechs Rechtsgrundlagen (auch: „Erlaubnistatbestand“) in Art. 6 DSGVO gegeben sind. Insbesondere mit Bezug auf die Rechtsgrundlage der „Erforderlichkeit für die Vertragserfüllung“ (Rechtsgrundlage „Vertrag“; Art. 6(1)(b) DSGVO) besteht auch eineinhalb Jahre nach der Anwendung des Regelwerks noch weitgehend Unklarheit über seine Tragweite in der Praxis.

Gemäss Verordnungswortlaut ist die Datenverarbeitung rechtmässig, wenn sie:

„für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Massnahmen […], die auf Anfrage der betroffenen Person erfolgen, [erforderlich ist]“.

Diese Rechtsgrundlage greift den Gedanken auf, dass gewisse vertragliche Verpflichtungen nicht erfüllt werden können, wenn die betroffene Person trotz Willens- bzw. Interessenserklärung zum Abschluss des Vertrags gewisse personenbezogene Daten nicht bereitstellt und zu bestimmten Zwecken verarbeiten lässt.


Vergleich zwischen dem Entwurf der EDSA-Leitlinien und der definitiven Fassung: keine substantiellen Änderungen

Vor diesem Hintergrund hat der EDSA im April 2019 einen Leitlinien-Entwurf veröffentlicht, worin er seine Interpretation der Rechtsgrundlage „Vertrag“ erläutert (vgl. dazu MLL-News vom 31. Mai 2019). Gestützt darauf wurde eine öffentliche Vernehmlassung durchgeführt. Im Oktober 2019 verabschiedete der EDSA nun die definitive Fassung (Version 2.0) der Leitlinien.

Ein Vergleich der beiden Fassungen macht deutlich, dass der EDSA keine substantiellen Änderungen vorgenommen hat. Die Anpassungen betreffen meist nur kleinere sprachliche Präzisierungen oder klarstellende Ergänzungen.
  

Verhältnis der Rechtsgrundlage „Vertrag“ zu den übrigen Bestimmungen der DGSVO

Die Leitlinien des EDSA klammern den Offline-Bereich aus und beschränken sich (primär) auf die Anwendung von Art. 6(1)(b) DSGVO im Kontext von Online-Dienstleistungen. Darunter fallen gemäss EDSA alle Dienstleistungen, die im Fernabsatz, auf elektronischem Wege und auf individuellen Wunsch eines Dienstleistungsempfängers erbracht werden. Diese müssen grundsätzlich entgeltlich sein, wobei aber auch Dienste erfasst sind, die nicht direkt vom Kunden bezahlt werden – namentlich also auch werbefinanzierte Dienstleistungen. 

Der EDSA betont, dass auch bei Datenverarbeitungen gestützt auf die Rechtsgrundlage „Vertrag“ sämtliche Vorgaben der DSGVO, namentlich die Datenverarbeitungsgrundsätze in Artikel 5, beachtet werden müssen. Gerade bei Online-Diensten sei die Einhaltung der Grundsätze der fairen und transparenten Verarbeitung, der Zweckbindung sowie der Datenminimierung von von zentraler Bedeutung. Denn der technologische Fortschritt ermögliche den Verantwortlichen, auf einfache Weise enorme Mengen an personenbezogenen Daten zu erheben und zu verarbeiten.

Im Verhältnis zu den anderen Rechtsgrundlagen in Art. 6 DSGVO anerkennt der EDSA, dass bei einer Verneinung der Erforderlichkeit zur Vertragserfüllung grundsätzlich eine andere Rechtsgrundlage wie bspw. die Einwilligung zur Anwendung gelangen kann. Hier warnt der EDSA jedoch vor einem grossen Stolperstein: Die DSGVO unterscheidet konzeptionell sowie mit Blick auf die Auswirkungen auf die Rechte und Erwartungen der betroffenen Personen strikt zwischen dem Vorgang des Vertragsschlusses im Sinne von Art. 6(1)(b) DSGVO und jenem der Einwilligung in die Datenverarbeitung nach Art. 6(1)(a) DSGVO.

Je nach Einzelfall könnte eine Vermischung dieser Vorgänge bei der betroffenen Person den Eindruck erwecken, dass bspw. mit der Annahme von Nutzungsbedingungen eine Einwilligung nach Art. 6(1)(a) DSGVO abgegeben wird. Dies sei zu verhindern. Der Verantwortliche müsse jedenfalls zur Erfüllung seiner Informationspflichten und auch aufgrund des Fairnessprinzips die jeweilige Rechtsgrundlage bereits vor der Verarbeitung eindeutig festlegen und bekanntgeben. Insofern betont der ESDSA, dass ein nachträglicher Wechsel der Rechtsgrundlage nicht möglich sei. Aus den Leitlinien geht hervor, dass grundsätzlich ein Verstoss gegen das Fairnessprinzip vorliegen soll, wenn Daten, die ursprünglich gestützt auf die Rechtsgrundlage Vertrag erhoben wurden, im Verlaufe der Zeit aber, bspw. nach Beendigung des Vertrags, zur Vertragserfüllung nicht mehr erforderlich sind, gestützt auf eine andere Rechtsgrundlage weiterbearbeitet werden.


Verantwortliche müssen drei Voraussetzungen nachweisen können

Gemäss Leitlinien-Entwurf darf sich ein Verantwortlicher nur dann auf die Rechtsgrundlage „Vertrag“ nach Art. 6(1)(b) DSGVO berufen, wenn er nachweisen kann, dass:

  1. ein Vertrag mit dem Betroffenen existiert,
  2. der Vertrag nach Massgabe des anwendbaren nationalen Vertragsrechts wirksam ist und
  3. die Verarbeitung für die Durchführung des Vertrags objektiv erforderlich ist.

In Bezug auf die erste Voraussetzung betont der EDSA, dass es keine Rolle spiele, ob es sich um einen Vertrag handle, auf den das Recht eines EU- bzw. EWR-Staates anwendbar sei, oder ob der Vertrag dem Recht eines Drittstaates unterstellt sei. Nach diesem Recht muss folglich auch geprüft werden, ob der Vertrag überhaupt wirksam ist. Hierzu führt der EDSA in anderen Zusammenhang aus, dass Datenverarbeitungen, die auf Verträge abgestützt werden, nur dann rechtmässig und fair seien, wenn die Verträge den Vorgaben des Vertragsrechts und insbesondere des Verbraucherschutzrechts entsprechen. Mit anderen Worten könnten sämtliche vertrags- oder verbraucherschutzrechtlichen Ungültig- oder Nichtigkeitsgründe des nationalen Rechts eine Berufung auf Art. 6(1)(b) DSGVO als Rechtsgrundlage für eine Datenverarbeitung verunmöglichen.
  

Enge Auslegung des Kriteriums der Erforderlichkeit

Können die ersten beiden Voraussetzungen bejaht werden, muss auf dritter Stufe die objektive Erforderlichkeit der Datenverarbeitung geprüft werden. Nach Ansicht des EDSA ist diese anhand des Hauptzwecks des jeweiligen Vertrags zu prüfen. Erforderlich sei der Nachweis, dass der Hauptgegenstand des spezifischen Vertrags ohne die fragliche Datenverarbeitung faktisch nicht durchgeführt werden kann. Insofern sollen zwar die Zielsetzungen des spezifischen Vertrags miteinbezogen werden. Ungenügend sei aber die blosse Erwähnung einer Datenverarbeitung im Vertrag oder in AGB. Die Anforderung „zur Vertragserfüllung erforderlich“ verlange klarerweise mehr als eine blosse Klausel im Vertrag. In einem Vertrag könnten folglich die für die Vertragsdurchführung benötigten Datenkategorien und Datenverarbeitungen nicht künstlich erweitert werden. In der definitiven Fassung der Leitlinien wird aber präzisiert, dass eine Datenverarbeitung auf der anderen Seite selbst dann objektiv erforderlich sein kann, wenn sie im Vertrag nicht spezifisch erwähnt wird. Es müsse insofern stets geprüft werden, was aus objektiver Sicht erforderlich sei, um den Vertrag erfüllen zu können.

Die Rechtsgrundlage nach Art. 6(1)(b) DSGVO erstrecke sich somit gerade nicht auf Verarbeitungen, die lediglich nützlich sind für die Erbringung der vertraglichen Leistung bzw. für die Durchführung vorvertraglicher Massnahmen, selbst wenn sie für andere geschäftliche Zwecke des Unternehmens erforderlich sein mögen. Der EDSA weist in diesem Zusammenhang darauf hin, dass für diese übrigen Geschäftszwecke andere Rechtsgrundlagen, wie z. B. die berechtigten Interessen des Verantwortlichen oder eines Dritten nach Art. 6(1)(f) DSGVO, zur Verfügung stehen können.

Der EDSA empfiehlt, vor der Berufung auf die Rechtsgrundlage nach Art. 6(1)(b) DSGVO u.a. zu eruieren,

  • welches die charakteristischen Elemente der Dienstleistung sind,
  • wie die Dienstleistung bei der betroffenen Person beworben wird und
  • welche Datenverarbeitung ein gewöhnlicher Nutzer für die Erfüllung des konkreten Vertrages vernünftigerweise erwartet.

Dabei sei auch zu prüfen, ob die gewählte Form der Datenverarbeitung im Vergleich zu anderen Varianten zur Erreichung des genannten Hauptzwecks weniger einschneidend ist. Die Erforderlichkeit entfalle, wenn es realistische, weniger einschneidende Alternativen gibt. Besteht der Vertrag aus mehreren einzelnen Dienstleistungselementen, die unabhängig voneinander erbracht werden, müsse die Erforderlichkeit für jede einzelne Leistung gesondert geprüft werden.

In einem Praxisbeispiel wird sodann die enge Auffassung des Erforderlichkeitskriteriums veranschaulicht:

In einem Onlineshop möchte ein Kunde mit Kreditkarte bezahlen und die Produkte nach Hause liefern. Um den Vertrag zu erfüllen, muss der Einzelhändler die Kreditkarteninformationen und die Rechnungsadresse der betroffenen Person für Zahlungszwecke und die Hausadresse der betroffenen Person für die Lieferung verarbeiten. Für diese Datenverarbeitung ist die Berufung auf die Rechtsgrundlage „Vertrag“ möglich. Hat sich der Kunde jedoch für den Versand an eine Pick-Up Station entschieden, ist die Verarbeitung der Hausadresse der betroffenen Person für die Erfüllung des Kaufvertrages nicht erforderlich. Jegliche Verarbeitung der Hausadresse erfordert in diesem Kontext daher eine andere Rechtsgrundlage als Art. 6(1)(b) DSGVO. 

Ferner betont der EDSA, dass die Rechtsgrundlage „Vertrag“ nicht automatisch für sämtliche Massnahmen gilt, die durch eine ausbleibende oder mangelhafte Vertragserfüllung oder andere Vorfälle bei der Vertragserfüllung ausgelöst werden. Immerhin räumt der EDSA den Unternehmen eine gewisse Flexibilität in Bezug auf üblicherweise vorhersehbare Vertragsstörungen oder Unregelmässigkeiten ein. Als Beispiele hierfür nennt der EDSA Datenverarbeitungen zum Versand von Mahnungen im Falle ausstehender Zahlungen, zur Korrektur von Fehlern oder bei Verspätungen bei der Vertragserfüllung. Wenn also ein Kunde einen Online-Händler kontaktiere, weil die Farbe des gelieferten Produkts nicht mit der bestellten übereinstimmt, könne die Datenverarbeitung zur Behebung dieses Problems auf die Rechtsgrundlage „Vertrag“ abgestützt werden. Gleiches gelte auch für die Aufbewahrung von Daten im Zusammenhang mit der vertraglichen Gewährleistung.

Im Zeitpunkt der Vertragsbeendigung entfällt allerdings grundsätzlich die Erforderlichkeit nach Art. 6(1)(b) DSGVO, sodass der Verantwortliche gemäss EDSA die Verarbeitung im Sinne einer allgemeinen Regel einstellen muss und die nachträgliche Berufung auf eine andere Rechtsgrundlage unzulässig ist. In der definitiven Fassung der Leitlinien wird jedoch präzisiert, dass die Vertragsbeendigung administrative Massnahmen mit sich bringen könne, wie z.B. die Rückgabe von Waren oder die Zahlung. Die damit verbundenen Datenverarbeitungen könnten gleichwohl auf die Rechtsgrundlage „Vertrag“ abgestützt werden.

Interessanterweise verweist der EDSA bei seiner Auslegung der Erforderlichkeit auch auf Art. 7(4) DSGVO, wonach bei der Beurteilung der Freiwilligkeit einer Einwilligung berücksichtigt wird, ob die Erbringung einer Dienstleistung von der Einwilligung in die Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich sind (Stichwort: „Koppelung“). Nach Ansicht des EDSA ist auch bei der Beurteilung der Freiwilligkeit einer Einwilligung auf das gleiche Verständnis im Sinne einer „objektiven Erforderlichkeit“ für die Vertragserfüllung abzustellen.

  
Erforderlichkeit zur Durchführung vorvertraglicher Massnahmen im Besonderen

Die massgebliche Vorschrift in Art. 6(1)(a) DSGVO greift ausdrücklich nicht nur für Datenverarbeitungen, die zur Vertragserfüllung selbst, sondern auch für solche, die bloss zur Durchführung vorvertraglicher Massnahmen auf Anfrage von Betroffenen erforderlich sind. Damit wird gemäss EDSA dem Umstand Rechnung getragen, dass eine dem Vertragsschluss vorgelagerte Datenverarbeitung erforderlich sein kann, um den tatsächlichen Abschluss dieses Vertrags zu erleichtern.

In den definitiven Leitlinien wird hierzu eingeräumt, dass zum Zeitpunkt der Verarbeitung möglicherweise nicht klar ist, ob ein Vertrag tatsächlich abgeschlossen wird. Gleichwohl könne die Rechtsgrundlage „Vertrag“ anwendbar sein, solange die betroffene Person die Anfrage im Rahmen eines potentiellen Vertragsabschlusses stellt und die betreffende Verarbeitung erforderlich ist, um die angefragten Massnahmen zu ergreifen. Wenn sich also bspw. eine betroffene Person an den für die Verarbeitung Verantwortlichen wendet, um die Einzelheiten seines Dienstleistungsangebots zu erfragen, können die für die Beantwortung der Anfrage erforderlichen Verarbeitungen gemäss EDSA auf die Rechtsgrundlage „Vertrag“ abgestützt werden. Demgegenüber greife die Rechtsgrundlage jedenfalls nicht für unaufgefordertes Marketing oder andere Verarbeitungen, die ausschliesslich auf Initiative des Anbieters oder auf Verlangen eines Dritten erfolgen.
  

Anwendbarkeit der Rechtsgrundlage nach Art. 6(1)(b) DSGVO in konkreten Konstellationen

Abschliessend äussert sich der EDSA zu verschiedenen in der Praxis verbreiteten Datenverarbeitungen und prüft sie auf ihre objektive Erforderlichkeit für die Erfüllung des Vertrages mit dem Nutzer des Online-Dienstes:  

Datenverarbeitung zwecks Verbesserung von Online-Diensten:
Die Datenverarbeitung wird in der Regel nicht als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen. Denn die meisten Dienste können nach Ansicht des EDSA auch ohne die Erhebung von statistischen Kennzahlen über Nutzung des Dienstes erbracht werden.

Datenverarbeitung zwecks Betrugsprävention:
Die Verarbeitung wird in der Regel nicht als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen. Solche Verarbeitungen, wie das Monitoring von Kunden oder die Erstellung von Kundenprofilen, könnten jedoch zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich sein (Art. 6(1)(c) DSGVO).

Datenverarbeitung zwecks Personalisierung von Inhalten:
Die Verarbeitung kann in einigen Fällen als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen werden, insb. wenn die Personalisierung von Inhalten ein wesentliches Element des konkreten Online-Dienstes darstellt. 
Das einzige im Leitlinien-Entwurf genannte Beispiel eines Online-News-Aggregators, bei welchem die Erforderlichkeit gegeben sein könnte, hat der EDSA in der Version 2.0 leider ersatzlos gestrichen. Als Negativ-Beispiel wird in den Leitlinien die Analyse des Nutzerverhaltens auf Hotel-Buchungsplattformen genannt. Bei einer solchen Plattform sei die Auswertung vergangener Buchungen und finanzieller Daten nicht objektiv erforderlich zur Erfüllung des Vertrags, also zur Vermittlung von Hospitality-Dienstleistungen auf der Grundlage bestimmter vom Nutzer angegebener Suchkriterien. Gleiches gilt in Bezug auf die Auswertung der von Nutzern betrachteten Produkte zur Anzeige personalisierter Produktvorschläge auf einem Online-Marktplatz. Zur Erbringung der Marktplatz-Dienste sei diese Verarbeitung nicht objektiv erforderlich.
  

Hervorzuheben ist sodann die Einschätzung des EDSA zu Datenverarbeitungen zwecks verhaltensbasierter Online-Werbung. Solche Verarbeitungen werden vom EDSA in der Regel nicht als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen. Der EDSA betont dabei, dass solche Werbeformen, die mit dem Tracking und Profiling von betroffenen Personen verbunden seien, oftmals der Finanzierung von Online-Diensten dienen würden. Obwohl Datenverarbeitungen zu diesen Zwecken somit die Erbringung einer Online-Dienstleistung unterstützen können, seien sie jedoch vom objektiven Zweck des Vertrags zwischen dem Nutzer und dem Dienstanbieter zu trennen.

Der EDSA führt hierzu noch einige Überlegungen grundsätzlicher Natur an. Personenbezogene Daten könnten mit Blick auf ihren grundrechtlichen Schutz auch nicht als handelbare Ware betrachtet werden. Deshalb sei den Betroffenen zwar die Erteilung ihrer Einwilligung zu einer Datenverarbeitung möglich, nicht aber der vertragliche Eintausch ihrer Grundrechte. Darüber hinaus bestünden auch grundlegende Unterschiede zwischen dem Eintausch von Daten als Gegenleistung gegenüber Gegenleistungen in Form von Geldzahlungen.

Mit Blick auf die fehlende Erforderlichkeit der Datenverarbeitung zwecks verhaltensbasierter Online-Werbung sowie die Vorgaben der ePrivacy-Richtlinie merkt der EDSA schliesslich an, dass bei diesen Vorgängen bereits für das Setzen von Cookies eine Einwilligung vorliegen müsse (vgl. dazu bspw. MLL-News vom 25. Oktober 2019).


Würdigung und Ausblick

Für die Praxis sind Leitlinien des EDSA von grosser Bedeutung. Der EDSA macht darin deutlich, dass die Voraussetzungen der Rechtsgrundlage „Vertrag“ nicht durch beliebige Vertragsgestaltung geschaffen werden können. Im Ergebnis wird dadurch eine autonome datenschutzrechtliche Inhaltskontrolle von Verträgen vorgenommen. Aufgrund der vergleichsweise engen Auslegung des Erforderlichkeitskriteriums wird die Möglichkeit für Online-Dienste, die Verarbeitung von Daten ihrer Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertrag“ zu stützen, deutlich eingeschränkt.

Im Grundsatz wäre die Haltung des EDSA in Bezug auf die Rechtsgrundlage „Vertrag“ eigentlich nicht zu beanstanden und durchaus nachvollziehbar. Problematisch wird die Auffassung aber vor allem dann, wenn das gleich strenge Verständnis davon, was als „für die Erfüllung des Vertrags erforderlich“ zu betrachten ist, auch der Prüfung der „Freiwilligkeit“ von Einwilligungen zugrunde gelegt wird (vgl. Art. 7(4) DSGVO). Bedauerlicherweise nimmt der EDSA allerdings genau diesen Standpunkt ein. Bei einer solchen Interpretation wird jedenfalls regelmässig der Wirtschafts- und Vertragsfreiheit der Anbieter zu wenig Gewicht beigemessen. Bezeichnenderweise erwähnt der EDSA dieses Grundrecht denn auch nur in der Einleitung ganz kurz.

Die nun definitiv verabschiedeten Leitlinien haben zwar keine unmittelbare Bindungswirkung. Da darin jedoch die Auffassung der Aufsichtsbehörden wiedergegeben wird, dürften sie dennoch erhebliche Signalwirkung für die künftige Rechtsanwendung in den Mitgliedstaaten zeitigen.  Erfreulicherweise gab es jedoch zum wichtigen Thema der Freiwilligkeit von Einwilligungen bzw. zum „Koppelungsverbot“ bereits einige aktuelle Entscheidungen auf nationaler Ebene, denen ein anderes Verständnis zugrunde liegt (vgl. MLL-News vom 1.9.2018 sowie MLL-News vom 20.1.2019; MLL-News vom 25.10.2019; s. auch Schlussanträge des Generalanwalts Szpunar vom 21. März 2019). Es bleibt zu hoffen, dass sich letztlich diese Auffassung unter den Gerichten und Behörden durchsetzen wird. Andernfalls werden Unternehmen entweder gezwungen, auf das Angebot gewisser Dienste zu verzichten, die auch aus Verbrauchersicht durchaus wünschenswert wären, oder aber Datenverarbeitungen auf die regelmässig mit Unsicherheiten behaftete Rechtsgrundlage des „überwiegenden berechtigten Interesses“ abzustellen.

 

Weitere Informationen: