Erfüllung eines Vertrags
Home » IoT » Rechtmäßigkeit: Die Wahl der Rechtsgrundlage » Erfüllung eines Vertrags

Manchmal können Daten auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b der DSGVO verarbeitet werden:
Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Der Anwendungsbereich dieser Rechtsgrundlage wird durch das Kriterium der “Notwendigkeit” begrenzt, das einen direkten und objektiven Zusammenhang zwischen der Verarbeitung selbst und den Zwecken der von der betroffenen Person erwarteten Vertragserfüllung erfordert. Diese Rechtsgrundlage legitimiert in der Tat nur eine Verarbeitung, die für dieses Ziel tatsächlich erforderlich ist. Ist die Verarbeitung hingegen nicht tatsächlich für die Erfüllung eines Vertrags erforderlich, kann sie nur dann erfolgen, wenn sie sich auf eine andere geeignete Rechtsgrundlage stützt.[1]

Somit ist der Gedanke der Notwendigkeit der Schlüssel, um zu bestimmen, ob diese Rechtsgrundlage auf die Verarbeitung anwendbar ist oder nicht. Der EDBP hat 2019 seine Leitlinien für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen angenommen, die für diese Frage besonders relevant sind.[2] Nach diesen Leitlinien kann die Verwendung von Daten für die Erfüllung eines Vertrags mit einer betroffenen Person oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag einer betroffenen Person erforderlich sein.

Es ist wichtig, darauf hinzuweisen, dass das Konzept der “Erforderlichkeit für die Erfüllung eines Vertrages” nicht einfach eine Bewertung dessen ist, was durch einen Vertrag erlaubt oder in den Bedingungen eines Vertrages geschrieben ist. Der Begriff der Erforderlichkeit umfasst mehrere Anforderungen.

  • Erstens muss der Auftragsverarbeiter den konkreten Zweck der Verarbeitung angeben, da es im Rahmen eines Vertragsverhältnisses eine Vielzahl von Zwecken für die Verarbeitung geben kann und nicht alle für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Die konkreten Zwecke, die durch diese Rechtsgrundlage legitimiert werden sollen, sind daher klar zu benennen und der betroffenen Person mitzuteilen, im Einklang mit den Verpflichtungen des für die Verarbeitung Verantwortlichen zur Zweckbindung und Transparenz. Wenn diese Zwecke beispielsweise für andere Geschäftszwecke des für die Verarbeitung Verantwortlichen erforderlich sind, nicht aber für die konkrete Erfüllung des Vertrags mit der betroffenen Person, könnten sie auf der Rechtsgrundlage des berechtigten Interesses oder der Einwilligung, nicht aber auf der Grundlage der Erfüllung eines Vertrags rechtmäßig sein. Darüber hinaus gibt es natürlich Fälle, in denen die Verarbeitung durch keine Rechtsgrundlage gedeckt ist und daher vermieden werden sollte.
  • Zweitens muss man bedenken, dass es drei Hauptbedingungen gibt, die erfüllt sein müssen, um zu beurteilen, ob diese Rechtsgrundlage auf einen konkreten Vertrag anwendbar ist, nämlich: (a) es besteht ein Vertrag, (b) der Vertrag ist nach dem geltenden nationalen Vertragsrecht gültig, und (c) die Verarbeitung ist für die Erfüllung des Vertrags objektiv erforderlich. Dieser letzte Teil ist besonders wichtig: Objektiv notwendig bedeutet, dass sich diese Notwendigkeit auf “einen Zweck bezieht, der integraler Bestandteil der Erbringung dieser vertraglichen Dienstleistung für die betroffene Person ist. Dazu gehört auch die Verarbeitung von Zahlungsdaten für die Abrechnung der Dienstleistung. Der für die Verarbeitung Verantwortliche sollte in der Lage sein, nachzuweisen, dass der Hauptzweck des spezifischen Vertrags mit der betroffenen Person nicht erfüllt werden kann, wenn die spezifische Verarbeitung der fraglichen personenbezogenen Daten nicht erfolgt. Wichtig ist hier der Zusammenhang zwischen den betreffenden personenbezogenen Daten und Verarbeitungsvorgängen und der Erfüllung oder Nichterfüllung der im Rahmen des Vertrags erbrachten Dienstleistung”. [3] Das heißt, die Tatsache, dass die Verarbeitung personenbezogener Daten als Verpflichtung in einem Vertrag enthalten ist, macht sie nicht zu einer “für die Erfüllung eines Vertrags erforderlichen Verarbeitung” im Sinne der Datenschutzvorschriften. Wenn also der für die Verarbeitung Verantwortliche eine Bedingung in den Vertrag aufnimmt, die die betroffene Person verpflichtet, die Verarbeitung zuzulassen, obwohl diese Verarbeitung für die Erfüllung des Vertrags nicht unbedingt erforderlich ist, ist die Rechtsgrundlage in diesem Fall nicht anwendbar. Wenn es realistische, weniger in die Privatsphäre eingreifende Alternativen gibt, ist die Verarbeitung nicht ‘erforderlich’. [4]
  • Nicht zuletzt sollten für die Verarbeitung Verantwortliche immer daran denken, dass sowohl der Grundsatz der Zweckbindung als auch der Grundsatz der Datenminimierung besonders relevant sind, wenn ein für die Verarbeitung Verantwortlicher die “Erfüllung eines Vertrags” als Rechtsgrundlage für die Datenverarbeitung verwendet, da die Verträge für Online-Dienste (bei denen es sich um die typischen mit IoT-Geräten verbundenen Dienste handelt) in der Regel nicht auf individueller Basis ausgehandelt werden.
Kasten 5: Kann Profiling als für die Erfüllung eines Vertrags erforderlich angesehen werden?

Der EDSB räumte ein, dass die Personalisierung von Inhalten ein wesentliches oder erwartetes Element bestimmter Dienste darstellen kann und daher in einigen Fällen als notwendig für die Erfüllung des Vertrags mit dem Nutzer des Dienstes angesehen werden kann. Ob eine solche Verarbeitung als wesentlicher Aspekt einer Dienstleistung angesehen werden kann, hängt von der Art der erbrachten Dienstleistung ab, von den Erwartungen der durchschnittlichen betroffenen Person nicht nur im Hinblick auf die Nutzungsbedingungen, sondern auch auf die Art und Weise, wie die Dienstleistung bei den Nutzern beworben wird, und davon, ob die Dienstleistung ohne Personalisierung erbracht werden kann. Wenn die Personalisierung von Inhalten für den Zweck des zugrundeliegenden Vertrags objektiv nicht notwendig ist, z. B. wenn die Bereitstellung personalisierter Inhalte das Engagement der Nutzer für einen Dienst erhöhen soll, aber kein integraler Bestandteil der Nutzung des Dienstes ist, sollten die für die Datenverarbeitung Verantwortlichen gegebenenfalls eine alternative Rechtsgrundlage in Betracht ziehen.

Stattdessen können verhaltensbezogene Werbung und das damit verbundene Tracking und Profiling von betroffenen Personen nicht auf die Erfüllung einer vertraglichen Rechtsgrundlage gestützt werden, auch dann nicht, wenn diese Werbung indirekt die Erbringung der Dienstleistung finanziert. Eine solche Verarbeitung ist vom objektiven Zweck des Vertrags zwischen dem Nutzer und dem Diensteanbieter getrennt und daher für die Erfüllung des fraglichen Vertrags nicht erforderlich. Daher sollten die für die Verarbeitung Verantwortlichen auf andere Rechtsgrundlagen wie die Einwilligung oder das berechtigte Interesse zurückgreifen, wenn sie bereit sind, auf diese Weise vorzugehen.

Quelle: EDPB-Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Rahmen der Bereitstellung von Online-Diensten für betroffene Personen Angenommen am 9. April 2019, unter: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf

Checkliste: Vertragserfüllung

☐ Die für die Verarbeitung Verantwortlichen können nachweisen, dass sie nach Prüfung der jeweiligen Umstände zu dem Schluss gekommen sind, dass die Erfüllung eines Vertrags die geeignetste Rechtsgrundlage für die Verarbeitung ist.

☐ Die für die Verarbeitung Verantwortlichen können nachweisen, dass die Verarbeitung für die Erfüllung des Vertrags objektiv notwendig ist. Zu diesem Zweck haben sie auf diese Fragen geantwortet:

  • Welcher Art ist die Dienstleistung, die für die betroffene Person erbracht wird? Was sind seine besonderen Merkmale?
  • Was ist der genaue Grund für den Vertrag (d. h. sein Inhalt und sein wesentlicher Gegenstand)?
  • Was sind die wesentlichen Bestandteile des Vertrags?
  • Welches sind die gegenseitigen Perspektiven und Erwartungen der Vertragsparteien? Wie wird die Dienstleistung bei der betroffenen Person beworben oder angepriesen? Würde ein gewöhnlicher Nutzer des Dienstes vernünftigerweise erwarten, dass die geplante Verarbeitung in Anbetracht der Art des Dienstes zur Erfüllung des Vertrags, dessen Vertragspartei er ist, erfolgen würde?

☐ Die für die Verarbeitung Verantwortlichen haben die betroffenen Personen über die Notwendigkeit der Verarbeitung ihrer Daten auf dieser Rechtsgrundlage informiert.

☐ Für den Fall, dass besondere Datenkategorien verarbeitet werden müssen, haben die für die Verarbeitung Verantwortlichen in Artikel 9 Absatz 2 eine Ausnahme von dem in Artikel 9 Absatz 1 der Datenschutz-Grundverordnung vorgesehenen Vetorecht festgelegt.

☐ Bei einer umfassenden Einwilligung gibt der für die Verarbeitung Verantwortliche den betroffenen Personen insbesondere die Möglichkeit, ihre Einwilligung zu widerrufen und zu entscheiden, ob sie an bestimmten Forschungsarbeiten oder Teilen davon teilnehmen möchten.

☐ Die für die Verarbeitung Verantwortlichen dehnen diese Rechtsgrundlage nicht auf die Verarbeitung von Daten aus, die für die Erfüllung des Vertrags nicht unbedingt erforderlich sind.

☐ Die für die Verarbeitung Verantwortlichen sind sich bewusst, dass die Aufnahme einer Bedingung für die Unterzeichnung des Vertrags, die eine Datenverarbeitung beinhaltet, nicht rechtfertigt, dass diese Verarbeitung für die Erfüllung des Vertrags erforderlich ist.

  1. Leitlinien der Artikel-29-Datenschutzgruppe zur Einwilligung nach der Verordnung (EU) 2016/679 (WP259), vom EDSB gebilligt, Seite 19.
  2. Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen Angenommen am 9. April 2019, unter: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf
  3. Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen Angenommen am 9. April 2019, unter: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf
  4. Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen Angenommen am 9. April 2019, unter: https://edpb.europa.eu/sites/default/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf

 

Skip to content