Europäischer Datenschutzausschuss veröffentlicht Leitlinien zur DSGVO-Rechtsgrundlage "Vertrag" bei Online-Dienstleistungen


Der Europäische Datenschutzausschuss (EDSA) hat im April einen Leitlinien-Entwurf zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6(1)(b) DSGVO (Rechtsgrundlage „Vertrag“) im Kontext von Online-Dienstleistungen veröffentlicht. Nach dieser wichtigen Bestimmung ist die Verarbeitung von personenbezogenen Daten rechtmässig, wenn sie für die Erfüllung eines Vertrages mit den betroffenen Personen erforderlich ist. Aus Unternehmensperspektive handelt es sich dabei um eine der wichtigsten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Gleichzeitig ist das Erforderlichkeitskriterium in der Praxis höchst umstritten. Mit den Ausführungen zur Auslegung von Art. 6(1)(b) DSGVO fördert der EDSA die einheitliche Anwendung dieser Regelung in den Mitgliedstaaten, verkleinert deren Anwendungsbereich aufgrund seiner vergleichsweise engen Auslegung aber enorm. Auch Schweizer Unternehmen sind gut beraten, sich mit den Leitlinien des EDSA auseinanderzusetzen.
 

Hintergrund: DSGVO verbietet jede Datenverarbeitung ohne Rechtsgrundlage

Nach der EU-Datenschutzgrundverordnung (DSGVO) ist eine Datenverarbeitung nur rechtmässig, wenn mindestens eine der sechs Rechtsgrundlagen (auch: „Erlaubnistatbestand“) in Art. 6 DSGVO gegeben ist. Insbesondere mit Bezug auf die Rechtsgrundlage der Erforderlichkeit für die Vertragserfüllung (Rechtsgrundlage „Vertrag“; Art. 6(1)(b) DSGVO) besteht auch ein Jahr nach Inkrafttreten des Regelwerks noch weitgehend Unklarheit über seine Anwendbarkeit in der Praxis.

Gemäss Gesetzeswortlaut ist die Datenverarbeitung rechtmässig, wenn sie:

„für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Massnahmen […], die auf Anfrage der betroffenen Person erfolgen, [erforderlich ist]“.

Diese Rechtsgrundlage greift den Gedanken auf, dass gewisse vertragliche Verpflichtungen nicht erfüllt werden können, wenn die betroffene Person trotz Willens- bzw. Interessenserklärung zum Abschluss eines Vertrages bestimmte personenbezogene Daten nicht bereitstellt.


Verhältnis der Rechtsgrundlage „Vertrag“
zu den übrigen Bestimmungen der DGSVO

Der Entwurf der Leitlinien des EDSA klammert den Offline-Bereich aus und beschränkt sich auf die Anwendung von Art. 6(1)(b) DSGVO im Kontext von Online-Dienstleistungen. Darunter fallen gemäss EDSA alle Dienstleistungen, die im Fernabsatz, auf elektronischem Wege und auf individuellen Wunsch eines Dienstleistungsempfängers erbracht werden. Diese müssen grundsätzlich entgeltlich sein, wobei aber auch Dienste erfasst sind, die nicht direkt vom Kunden bezahlt werden – namentlich also auch werbefinanzierte Dienstleistungen. 

Der EDSA betont, dass auch bei der Anwendung der Rechtsgrundlage nach Art. 6(1)(b) DSGVO sämtliche Grundsätze der DSGVO beachtet werden müssen. Gerade bei Online-Diensten stehe die Beachtung der Grundsätze der fairen und transparenten Verarbeitung, der Zweckbindung sowie der Datenminimierung besonders im Vordergrund, da der technologische Fortschritt es den Verantwortlichen auf einfache Weise ermöglicht, enorme Mengen an personenbezogenen Daten zu erheben und zu verarbeiten.

Im Verhältnis zu den anderen Rechtsgrundlagen in Art. 6 DSGVO anerkennt der EDSA, dass bei einer Verneinung der Erforderlichkeit grundsätzlich eine andere Rechtsgrundlage wie bspw. die Einwilligung nach Art. 6(1)(a) DSGVO zur Anwendung gelangen kann. Hier warnt der EDSA jedoch vor einem grossen Stolperstein: Die DSGVO unterscheidet konzeptionell sowie mit Blick auf die Auswirkungen auf die Rechte und Erwartungen der betroffenen Personen strikt zwischen dem Vorgang des Vertragsschlusses im Sinne von Art. 6(1)(b) DSGVO und jenem der Einwilligung in die Datenverarbeitung nach Art. 6(1)(a) DSGVO. Je nach Einzelfall könnte eine Vermischung dieser Vorgänge bei der betroffenen Person oder beim Verantwortlichen den Eindruck erwecken, dass bspw. mit der Annahme von Nutzungsbedingungen eine Einwilligung nach Art. 6(1)(a) DSGVO abgegeben wird. Dies sei zu verhindern. Der Verantwortliche müsse jedenfalls zur Erfüllung seiner Informationspflichten und auch aufgrund des Fairnessprinzips die jeweilige Rechtsgrundlage bereits vor der Verarbeitung eindeutig festlegen und bekanntgeben.


Enge Auslegung des Kriteriums der Erforderlichkeit

Gemäss Leitlinien-Entwurf darf sich ein Verantwortlicher nur dann auf die Rechtsgrundlage „Vertrag“ nach Art. 6(1)(b) DSGVO berufen, wenn er nachweisen kann, dass:

(i)       ein Vertrag mit dem Betroffenen existiert,

(ii)      der Vertrag nach Massgabe des anwendbaren nationalen Vertragsrechts wirksam ist und

(iii)     die Verarbeitung für die Durchführung des Vertrags objektiv erforderlich

In Bezug auf die erste Voraussetzung betont der EDSA, dass es keine Rolle spiele, ob es sich um einen Vertrag handle, auf den das Recht eines EU- bzw. EWR-Staates anwendbar sei, oder ob der Vertrag dem Recht eines Drittstaates unterstellt sei. Nach diesem Recht muss folglich auch geprüft werden, ob der Vertrag überhaupt wirksam ist. Hierzu führt der EDSA in anderen Zusammenhang aus, dass Datenverarbeitungen, die auf Verträge abgestützt werden, nur dann rechtmässig und fair seien, wenn die Verträge den Vorgaben des Vertragsrechts und insbesondere des Verbraucherschutzrechts entsprechen. Mit anderen Worten können sämtliche vertrags- oder verbraucherschutzrechtlichen Ungültig- oder Nichtigkeitsgründe des nationalen Rechts eine Berufung auf Art. 6(1)(b) DSGVO als Rechtsgrundlage für eine Datenverarbeitung verunmöglichen.

Können die ersten beiden Voraussetzungen bejaht werden, muss auf dritter Stufe Art. 6(1)(b) DSGVO geprüft werden. Davon werden sodann zwei Situationen erfasst:

  • Die Datenverarbeitung ist objektiv für die Erfüllung des Vertrags mit der betroffenen Person erforderlich;
     
  • Die Datenverarbeitung ist objektiv zur Durchführung vorvertraglicher Massnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich.

Das zentrale Kriterium für beide Situationen ist dabei die Erforderlichkeit, wobei diese nach Ansicht des EDSA anhand des Hauptzwecks des jeweiligen Vertrags zu prüfen ist. Eine künstliche Ausweitung der für die Vertragsdurchführung benötigten Datenkategorien und Datenverarbeitungen kann folglich nicht berücksichtigt werden. Die Rechtsgrundlage nach Art. 6(1)(b) DSGVO erstreckt sich somit gerade nicht auf Verarbeitungen, die lediglich nützlich, für die Erbringung der vertraglichen Leistung bzw. für die Durchführung vorvertraglicher Massnahmen aber nicht objektiv notwendig sind – selbst wenn sie für andere geschäftliche Zwecke des Unternehmens erforderlich sein mögen. Der EDSA weist in diesem Zusammenhang darauf hin, dass für diese übrigen Vertragszwecke andere Rechtsgrundlagen, wie z. B. die berechtigten Interessen des Verantwortlichen oder eines Dritten nach Art. 6(1)(f) DSGVO, zur Verfügung stehen.

Der EDSA verlangt vom Datenverantwortlichen für die erfolgreiche Berufung auf Art. 6(1)(b) DSGVO den Nachweis, dass der Hauptzweck des spezifischen Vertrags ohne die konkrete Verarbeitung der betreffenden personenbezogenen Daten nicht erreicht werden kann. Dabei sei auch zu prüfen, ob die gewählte Form der Datenverarbeitung im Vergleich zu anderen Varianten zur Erreichung des genannten Hauptzwecks weniger einschneidend ist. Die Erforderlichkeit entfalle, wenn es realistische, weniger einschneidende Alternativen gibt. Besteht der Vertrag aus mehreren einzelnen Dienstleistungselementen, die unabhängig voneinander erbracht werden, müsse die Erforderlichkeit für jede einzelne Leistung gesondert geprüft werden.

Der EDSA empfiehlt, vor der Berufung auf die Rechtsgrundlage nach Art. 6(1)(b) DSGVO u.a. zu eruieren, welches die charakteristischen Elemente der Dienstleistung sind, wie die Dienstleistung bei der betroffenen Person beworben wird und welche Datenverarbeitung ein gewöhnlicher Nutzer für die Erfüllung des konkreten Vertrages vernünftigerweise erwartet.

In einem anschaulichen Praxisbeispiel wird sodann die enge Auffassung des Erforderlichkeitskriteriums deutlich:

In einem Onlineshop möchte ein Kunde mit Kreditkarte bezahlen und die Produkte nach Hause liefern. Um den Vertrag zu erfüllen, muss der Einzelhändler die Kreditkarteninformationen und die Rechnungsadresse der betroffenen Person für Zahlungszwecke und die Hausadresse der betroffenen Person für die Lieferung verarbeiten. Für diese Datenverarbeitung ist die Berufung auf die Rechtsgrundlage nach Art. 6(1)(b) DSGVO möglich. Hat sich der Kunde jedoch für den Versand an eine Pick-Up Station entschieden, ist die Verarbeitung der Heimatadresse der betroffenen Person für die Erfüllung des Kaufvertrages nicht erforderlich und eine Berufung auf die Rechtsgrundlage nach Art. 6(1)(b) DSGVO ist demnach nicht möglich.   

Immerhin räumt der EDSA den Unternehmen eine gewisse Flexibilität in Bezug auf üblicherweise vorhersehbare Vertragsstörungen oder Unregelmässigkeiten ein. So kann sich die Erforderlichkeit zur Vertragserfüllung bspw. auch auf eine Datenverarbeitung im Zusammenhang mit dem Versenden von Mahnungen im Falle ausstehender Zahlungen erstrecken. Gleiches gelte auch für die Aufbewahrung von Daten im Zusammenhang mit der vertraglichen Gewährleistung. Im Zeitpunkt der Vertragsbeendigung entfällt allerdings naturgemäss die Erforderlichkeit nach Art. 6(1)(b) DSGVO, sodass der Verantwortliche die Verarbeitung – vorbehaltlich einer anderen Rechtsgrundlage – einstellen muss.

Interessanterweise verweist der EDSA bei seiner Auslegung der Erforderlichkeit auch auf Art. 7(4) DSGVO, wonach bei der Beurteilung der Freiwilligkeit einer Einwilligung nach Art. 6(1)(a) DSGVO berücksichtigt wird, ob die Erbringung einer Dienstleistung von der Einwilligung in die Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich sind. Nach Ansicht des EDSA ist bei beiden Vorschriften auf das gleiche Verständnis im Sinne einer „objektiven Erforderlichkeit“ für die Vertragserfüllung abzustellen.
  

Anwendbarkeit der Rechtsgrundlage nach Art. 6(1)(b) DSGVO in konkreten Konstellationen

Abschliessend äussert sich der EDSA zu verschiedenen in der Praxis verbreiteten Datenverarbeitungen und prüft sie auf ihre objektive Erforderlichkeit für die Erfüllung des Vertrages mit dem Nutzer des Online-Dienstes:  

Datenverarbeitung zwecks Verbesserung von Online-Diensten:
Datenverarbeitung wird in der Regel nicht als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen.

Datenverarbeitung zwecks Betrugsprävention:
Verarbeitung wird in der Regel nicht als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen. Eine solche Verarbeitung könnte jedoch zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich sein (Art. 6(1)(c) DSGVO.

Datenverarbeitung zwecks Personalisierung von Inhalten:
Verarbeitung kann in einigen Fällen als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen werden, insb. wenn die Personalisierung von Inhalten ein wesentliches Element des konkreten Online-Dienstes darstellt. 
Als mögliches Beispiel nennt die EDSA einen Online News-Aggregator, für dessen Leistungserbringung Angaben zu den konkreten Interessen der Nutzer objektiv erforderlich sind. Demgegenüber wäre die Analyse des Nutzerverhaltens einer Hotel-Buchungsplattform objektiv nicht erforderlich für die Erfüllung des vertraglichen Hauptzwecks (Erbringung von Bewirtungsleistungen). Gleiches gilt in Bezug auf personalisierte Produktvorschläge auf einem Online-Marktplatz.
  

Besonders hervorzuheben ist sodann die Einschätzung von Datenverarbeitungen zwecks verhaltensbasierter Online-Werbung. Solche Verarbeitungen werden in der Regel nicht als objektiv erforderlich für die Erfüllung des Vertrages mit dem Nutzer angesehen. Der EDSA betont dabei, dass mit solchen Werbeformen, die mit dem Tracking und Profiling von betroffenen Personen verbunden seien, oftmals zur Finanzierung von Online-Diensten genutzt würden. Obwohl Datenverarbeitungen zu diesen Zwecken somit die Erbringung einer Online-Dienstleistung unterstützen könne, sei sie jedoch vom objektiven Zweck des Vertrags zwischen dem Nutzer und dem Dienstanbieter zu trennen.

Der EDSA führt hierzu noch einige Überlegungen grundsätzlicher Natur an. Personenbezogene Daten könnten mit Blick auf ihren grundrechtlichen Schutz auch nicht als handelbare Ware betrachtet werden. Deshalb sei den Betroffenen zwar die Erteilung ihrer Einwilligung zu einer Datenverarbeitung möglich, nicht aber der vertragliche Eintausch ihrer Grundrechte. Darüber hinaus bestünden auch grundlegende Unterschiede zwischen dem Eintausch von Daten als Gegenleistung gegenüber Gegenleistungen in Form von Geldzahlungen.

Mit Blick auf die fehlende Erforderlichkeit der Datenverarbeitung zwecks verhaltensbasierter Online-Werbung sowie die Vorgaben der ePrivacy-Richtlinie merkt der EDSA schliesslich an, dass bei diesen Vorgängen bereits für das Setzen von Cookies eine Einwilligung vorliegen müsse (vgl. dazu MLL-News vom 27. April 2019).


Würdigung und Ausblick

Für die Praxis sind Leitlinien des EDSA zur Anwendung der Rechtsgrundlage der Erforderlichkeit für die Vertragserfüllung im Zusammenhang mit Online-Dienstleistungen von grosser Bedeutung. Der EDSA macht darin deutlich, dass die Rechtsgrundlage der Vertragserfüllung zumindest im Bereich von Online-Dienstleistungen nicht durch beliebige Vertragsgestaltung erstellt werden kann. Im Ergebnis wird dadurch eine autonome datenschutzrechtliche Inhaltskontrolle von Verträgen vorgenommen. Aufgrund der vergleichsweise engen Auslegung des Erforderlichkeitskriteriums wird die Möglichkeit für Online-Dienste, die Verarbeitung von Daten ihrer Nutzerinnen und Nutzer auf die Rechtsgrundlage der Vertragserfüllung zu stützen, deutlich eingeschränkt.

Im Grundsatz wäre die Haltung des EDSA in Bezug auf die Rechtsgrundlage „Vertrag“ eigentlich nicht zu beanstanden und durchaus nachvollziehbar. Problematisch wird die Auffassung aber vor allem dann, wenn das gleich strenge Verständnis davon, was als „für die Erfüllung des Vertrags erforderlich“ zu betrachten ist, auch der Prüfung der „Freiwilligkeit“ von Einwilligungen zugrunde gelegt wird (vgl. Art. 7(4) DSGVO). Bedauerlicherweise nimmt der EDSA allerdings genau diesen Standpunkt ein. Bei einer solchen Interpretation wird jedenfalls regelmässig der Wirtschafts- und Vertragsfreiheit der Anbieter zu wenig Gewicht beigemessen. Bezeichnenderweise erwähnt der EDSA dieses Grundrecht denn auch nur in der Einleitung ganz kurz. Erfreulicherweise gab es jedoch zu diesem Thema (Stichwort: „Kopplungsverbot“) bereits einige aktuelle Entscheidungen, denen ein anderes Verständnis zugrunde liegt (vgl. MLL-News vom 1.9.2018 sowie MLL-News vom 20.1.2019; s. auch Schlussanträge des Generalanwalts Szpunar vom 21. März 2019). Es bleibt zu hoffen, dass sich letztlich diese Auffassung unter den Gerichten und Behörden durchsetzen wird. Andernfalls werden Unternehmen entweder gezwungen, auch auf das Angebot gewisser Dienste zu verzichten, die auch aus Verbrauchersicht durchaus wünschenswert wären, oder aber Datenverarbeitungen auf die regelmässig mit Unsicherheiten behaftete Rechtsgrundlage des „überwiegenden berechtigten Interesses“ abzustellen.

Die veröffentlichten Leitlinien ziehen als sog. Soft Law zwar keine unmittelbare Bindungswirkung nach sich. Da darin jedoch die Auffassung der Aufsichtsbehörden widerspiegelt wird, dürften sie dennoch erhebliche Signalwirkung für die künftige Rechtsanwendung in den Mitgliedstaaten zeitigen. Da es sich bei den vorliegenden Leitlinien noch um einen Entwurf handelt, bleibt indes abzuwarten, ob noch Änderungen in die definitive Fassung einfliessen werden. Bis zum 24. Mai 2019 standen die Leitlinien zur Konsultation offen. Die öffentlichen Stellungnahmen werden vom EDSA derzeit geprüft und die Leitlinien anschliessend gestützt darauf fertiggestellt.

 

Weitere Informationen: