Leitlinien des Europäischen Datenschutzausschusses
44
Auch wenn der Europäische Datenschutzausschuss sich in seinen Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO schwerpunktmäßig mit der Frage der Erforderlichkeit einer Datenverarbeitung beschäftigt, bleibt es unklar, ob die europäischen Datenschutzaufsichtsbehörden einen ähnlichen wie den hier vertretenen oder einen strengeren Ansatz verfolgen.59
45
So führt der Europäische Datenschutzausschuss aus, dass in einem ersten Schritt auf objektiver Basis die jeweils durch eine Datenverarbeitung verfolgten Zwecke zu bestimmen seien. Im Anschluss daran sei in einem zweiten Schritt zu prüfen, ob realistische, weniger eingreifende Mittel existieren, um das jeweils verfolgte Ziel zu erreichen. Ist dies der Fall, ist die Datenverarbeitung nach Ansicht des Europäischen Datenschutzausschusses nicht erforderlich.60
46
Existieren schonendere Alternativen, müssen Verantwortliche nach hier vertretener Lesart der Leitlinien diese also nur dann einführen, wenn sie auch „realistisch“ sind. Leider enthalten die Leitlinien keine Hinweise darauf, wann eine schonendere Alternative „realistisch“ ist. Ganz generell verweist der Europäische Datenschutzausschuss in diesem Zusammenhang an vielen Stellen auf ein Toolkit des Europäischen Datenschutzbeauftragten zur Beurteilung der Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken.61 Doch richtet sich dieses Toolkit an die EU-Organe und beschäftigt sich zuvorderst mit der Frage, unter welchen Voraussetzungen Maßnahmen erforderlich sind, die das Recht auf Schutz personenbezogener Daten gem. Art. 8 GRCh einschränken. Deshalb lassen sich diese Ausführungen nach hier vertretener Ansicht zumindest nicht unmittelbar auf die vorliegende Frage übertragen.
46a
Darüber hinaus hat sich der Europäische Datenschutzausschuss auch im Rahmen seiner Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte mit der Erforderlichkeit einer Datenverarbeitung beschäftigt – und zwar im Hinblick auf die Videoüberwachung auf Basis von Art. 6 Abs. 1 lit. f DSGVO. Allerdings gehen nach hier vertretener Lesart auch aus diesen Leitlinien die genauen Voraussetzungen, unter denen ein Verantwortlicher nach Auffassung des EDSA eine schonendere Alternative einsetzen muss, nicht eindeutig hervor. Zwar könnte eventuell geschlussfolgert werden, dass der EDSA dort die Auffassung vertritt, dass ein Verantwortlicher (nur) dann schonendere Alternativen einsetzen muss, wenn diese „vernünftig“ sind.62 Doch bleibt es jedenfalls offen, wann schonendere Alternativen nach Ansicht des EDSA „vernünftig“ sind.
46b
Um zu ermitteln, ob im Einzelfall (überhaupt) weniger eingreifende, „schonendere“ Alternativen zu der bestehenden/geplanten Datenverarbeitung existieren, sollten Unternehmen vor diesem Hintergrund jedenfalls prüfen, ob die verfolgten Zwecke auch durch die Verarbeitung nicht-personenbezogener Daten, von weniger Daten,63 von weniger granularen oder von aggregierten Daten,64 von pseudonymisierten Daten,65 eine weniger „eingreifende“ Art und/oder eine geringere Frequenz der Datenverarbeitung66 erreicht werden könnten. Außerdem sollten Unternehmen, die Daten aus anderen Quellen erheben (wollen), prüfen, inwieweit eine Erhebung der personenbezogenen Daten bei der betroffenen Person möglich ist.67 Ebenso sollte untersucht werden, inwiefern die einzusetzende/eingesetzte Technologie state-of-the-art im Hinblick auf Datenvermeidung und -minimierung ist.68 In Abhängigkeit vom jeweiligen Einzelfall können aber auch noch andere Faktoren eine Rolle spielen.69
46c
Existieren weniger eingreifende, „schonendere“ Alternativen, bedeutet das nach hier vertretener Ansicht – wie oben erläutert – aber nicht automatisch, dass diese auch (anstelle der bestehenden/geplanten Datenverarbeitung) eingeführt werden müssen, damit die Datenverarbeitung erforderlich für den jeweils verfolgten Zweck sein kann. Eine solche Pflicht besteht nach hiesiger Auffassung nur unter den oben in Rn. 42f. genannten Bedingungen – insbesondere muss die Einführung/Durchführung der schonenderen Alternative dem Verantwortlichen objektiv zumutbar sein. Zur Reduzierung etwaiger Haftungsrisiken, wenn Datenschutzaufsichtsbehörden oder Gerichte der hier vertretenen Auffassung nicht vollumfänglich folgen sollten, ist Unternehmen – insbesondere vor dem Hintergrund des oben dargestellten Urteils des EuGH – aber zu empfehlen, den hier verfolgten Ansatz jedenfalls nicht „bis zum Anschlag“ auszureizen und wichtige/kritische Datenverarbeitungen ggf. mit den zuständigen Datenschutzaufsichtsbehörden abzustimmen.70
46d
Auf jeden Fall sollte sichergestellt werden, dass der Kreis der Personen, die Zugriff auf die personenbezogenen Daten erhalten, auf diejenigen beschränkt ist, die in Ausübung ihrer Aufgaben auf diese Daten zugreifen müssen.71
Praxishinweis
Unternehmen sollten insbesondere vor dem Hintergrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO die Prüfung von (schonenderen) Alternativen dokumentieren, ebenso wie die Gründe, warum das Unternehmen sich im Ergebnis für eine bestimmte Gestaltung der Datenverarbeitung entschieden hat und ggf. mögliche, schonendere Alternativen nicht eingeführt wurden/werden konnten.
46e
Sind personenbezogene Daten für den Zweck, für den sie verarbeitet werden, nicht mehr erforderlich, dürfen Verantwortliche sie für diesen grundsätzlich nicht mehr verarbeiten. Sofern die Daten nicht noch zulässigerweise für einen anderen Zweck verarbeitet werden dürfen, sind sie nach Maßgabe von Art. 17 DSGVO grundsätzlich zu löschen.72
bb) Erforderlichkeit einer Datenverarbeitung für die in Art. 6 Abs. 1 lit. b DSGVO genannten Zwecke
47
Auf den Fall der Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. b DSGVO angewandt, haben die generellen Ausführungen zur Erforderlichkeit einer Datenverarbeitung die folgenden Konsequenzen: Welche Daten auf welche Weise auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO im konkreten Einzelfall verarbeitet werden dürfen, folgt maßgeblich aus den konkreten Inhalten des (beabsichtigten) Vertrages. Für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, ist die Datenverarbeitung erforderlich, wenn sie zur Erfüllung der Pflichten oder der Wahrnehmung von Rechten aus dem Vertrag objektiv geboten ist.73 Jedenfalls werden die Kontaktdaten der Vertragsparteien für die Erfüllung eines solchen Vertrages erforderlich sein, ebenso wie die Daten über den wesentlichen Inhalt des Vertrages und die zur Kontrolle der ordnungsgemäßen Abwicklung (z.B. Rechnungsstellung und Lieferung) erforderlichen Daten.74 Darüber hinaus kann im Einzelfall aber noch die Verarbeitung einer Vielzahl weiterer Daten für den genanten Zweck erforderlich sein, so z.B. von Bonitätsabfragen, sofern eine Partei ein Kreditrisiko übernimmt, Bankdaten oder Lieferadressen.75
Leitlinien des Europäischen Datenschutzausschusses
48
Der Europäische Datenschutzausschuss („EDSA“) hat sich in seinen Leitlinien zur Datenverarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO schwerpunktmäßig mit der Frage der Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung auseinandergesetzt. Demnach müsse die Datenverarbeitung objektiv für den grundlegenden und einvernehmlich durch den Verantwortlichen und die betroffene Person anerkannten Vertragszweck erforderlich sein, damit sie auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann. Entscheidend