49
Somit vertritt der EDSA wohl grundsätzlich ein (sehr) restriktives Verständnis von der Erforderlichkeit einer Datenverarbeitung für die Erfüllung eines Vertrages, welches nach hier vertretener Ansicht vor dem Hintergrund der obigen Ausführungen zur Erforderlichkeit einer Datenverarbeitung auch zu streng ist – und für viele Unternehmen, die Daten auf dieser Grundlage verarbeiten, zu Schwierigkeiten führen dürfte. Dennoch sollten Unternehmen die Leitlinien des EDSA aus Gründen der Haftungsvermeidung – soweit wie möglich – einhalten, da der EDSA die DSGVO zwar nicht rechtsverbindlich auszulegen vermag, aber davon auszugehen ist, dass zumindest die (nationalen) Datenschutzaufsichtsbehörden den Ausführungen des EDSA folgen werden.
50
Ein (gewisser) Raum zum Argumentieren könnte sich für Praktiker aber aus den Ausführungen des EDSA ergeben, wie das gemeinsame Verständnis vom wesentlichen Vertragszweck zu ermitteln sei. Dieses hänge nicht nur von der Sicht des Verantwortlichen, sondern auch von der angemessenen Sicht einer durchschnittlichen betroffenen Person bei Vertragsschluss ab. Für die angemessene Sicht einer durchschnittlichen betroffenen Person kann es nach Ansicht des EDSA wohl auch eine Rolle spielen, wie ein Dienst angepriesen und beworben wird. Es sei mithin die Frage zu stellen, ob ein normaler Nutzer des Dienstes vernünftigerweise erwarten würde, dass in Anbetracht der Art des Dienstes die geplante Datenverarbeitung erfolgt, um den Vertrag zu erfüllen, dessen Vertragspartei er ist.79 Vor dem Hintergrund dieser Ausführungen könnte es für Verantwortliche ggf. in einem gewissen (engen) Rahmen möglich sein, die Person so zu informieren bzw. zu bewerben, dass es ihrer Vorstellung/Erwartung entspricht, dass eine bestimmte Datenverarbeitung vernünftigerweise auch unter Berücksichtigung der Natur des Dienstes erfolgt – und damit ggf. argumentiert werden kann, dass die Datenverarbeitung auch unter Anlegung der strengen Maßstäbe des EDSA auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann.
51
Außerdem können sich gewisse Ansatzpunkte für Praktiker auch dadurch bieten, dass der EDSA sein grundsätzlich strenges Verständnis von der Erforderlichkeit an einer Stelle wohl etwas großzügiger handhabt. Zwar könne Art. 6 Abs. 1 lit. b DSGVO nur Datenverarbeitungen rechtfertigen, die erforderlich für die Erfüllung eines Vertrages sind, wohingegen die Vorschrift nicht automatisch alle sonstigen Aktivitäten rechtfertigen könne, die durch die Nichterfüllung ausgelöst würden. Ebenso finde sie nicht automatisch auf alle anderen Vorkommnisse im Rahmen der Erfüllung des Vertrages Anwendung. Allerdings könnten bestimmte Aktivitäten vernünftigerweise im Rahmen einer normalen Vertragsbeziehung vorhersehbar und erforderlich sein und auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, wie z.B. die Versendung von offiziellen Mahnungen oder die Speicherung von Daten für eine bestimmte Zeit zu Zwecken der Gewährleistung.80 Diese Liste an Beispielen ist aber nicht abschließend. Mithin können Unternehmen ggf. auch bei anderen Datenverarbeitungen argumentieren, dass sie die (strengen) Vorgaben des EDSA einhalten, weil diese vernünftigerweise im Rahmen einer normalen Vertragsbeziehung vorhersehbar und erforderlich sind.
52
Nicht ausreichend, um sich auf Art. 6 Abs. 1 lit. b DSGVO berufen zu können, sei es nach den weiteren Ausführen des EDSA hingegen, wenn der Verantwortliche die Datenverarbeitung in dem jeweiligen Vertrag, z.B. in den Nutzungsbedingungen, regele, diese aber für die eigentliche Vertragserfüllung nicht erforderlich, sondern nur nützlich für den Verantwortlichen (und ggf. dessen Geschäftmodell) ist.81 So sollte der Verantwortliche im Rahmen eines Onlinedienstes z.B. nachweisen können, inwieweit der Hauptgegenstand des Einzelvertrages mit der betroffenen Person tatsächlich nicht erfüllt werden kann, wenn die jeweilige Datenverarbeitung nicht erfolgen würde.82 Wenn mehrere verschiedene Dienste, die eigentlich auch einzeln/getrennt voneinander erbracht werden könnten, in einem Vertrag zusammengefasst würden, müsse zudem für jeden einzelnen dieser Dienste separat geprüft werden, ob die Datenverarbeitung für den einzelnen von der betroffenen Person aktiv gewünschten Dienst erforderlich ist oder nicht. Soweit dies nicht der Fall ist, könne die Datenverarbeitung nur auf eine andere Rechtsgrundlage als Art. 6 Abs. 1 lit. b DSGVO gestützt werden.83
53
In diesem Zusammenhang beschäftigt sich der EDSA auch konkret mit einigen relevanten Fallgruppen. So soll im Rahmen von Onlinediensten die Verarbeitung personenbezogener Daten zu Zwecken der Bildung von Profilen über die Vorlieben und den Lebensstil des Webseitenbesuchers, zu Zwecken der Verbesserung des Dienstes, zur Betrugsprävention und im Rahmen des Online Behavioral Advertising84 i.d.R. nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden können, wohingegen die Datenverarbeitung zu Zwecken der Personalisierung von Angeboten unter gewissen Umständen auf diese Rechtsvorschrift gestützt werden können soll.85
54
Allerdings sind die Ausführungen des EDSA auch an dieser Stelle mit einiger Vorsicht anzuwenden, zumal sie – wie oben bereits erläutert – teilweise sehr strenge Positionen enthalten, die nicht allesamt den hier vertretenen Ansichten entsprechen. So sind sie (zum Teil auch notwendigerweise) sehr abstrakt, vage und pauschal gehalten, gerade im Hinblick auf die soeben erwähnten Fallgruppen. Die Leitlinien entbinden einen Verantwortlichen daher nicht von einer Prüfung des jeweiligen Einzelfalls. Auf der anderen Seite kann vor diesem Hintergrund eine konkrete Datenverarbeitung – auch trotz gegenteiliger Ausführungen in den Leitlinien – zulässig sein, und zwar nicht nur, weil die Leitlinien keinen verbindlichen Charakter haben,86 sondern auch, weil im Einzelfall bestimmte Umstände vorliegen, die ein Abweichen von den (pauschalen) Leitlinien rechtfertigen.
Praxishinweis
Ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, bestimmt sich also maßgeblich auch anhand der Gestaltung des jeweiligen Dienstes bzw. Produkts und den vertraglichen Rechten und Pflichten. Möchte ein Unternehmen Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeiten, sind insbesondere die Beschreibung des Dienstes bzw. des Produktes sowie die vertraglichen Rechte und Pflichten so zu formulieren, dass sie die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. b DSGVO ermöglichen. Dies stellt einerseits eine Herausforderung dar, zumal die bloße Beschreibung von Datenverarbeitungen im Vertrag zumindest nach Ansicht der europäischen Datenschutzaufsichtsbehörden diese nicht zu rechtfertigen vermag. Dennoch ergeben sich hier für Unternehmen – trotz der genannten Einschränkungen – gewisse Gestaltungsspielräume. Außerdem kann es ggf. sinnvoll/notwendig sein, dass das Unternehmen betroffene Personen vor dem Hintergrund der Ausführungen unter Rn. 50 vor dem Vertragsschluss über „besondere Eigenschaften“ des Produktes/Dienstes informiert bzw. diese bewirbt, so dass damit verbundene Datenverarbeitungen von der betroffenen Person schon bei Vertragsschluss auch unter Berücksichtigung der Natur des Dienstes erwartet werden.
55
Sollten bestimmte Daten oder Datenverarbeitungen für die Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen nicht erforderlich in dem vorgenannten Sinne sein, kann der Verantwortliche aber gleichwohl ein berechtigtes Interesse an deren Verarbeitung haben, woraufhin die Datenverarbeitung ggf. auf Art. 6 Abs. 1 lit. f („Verarbeitung auf Basis einer Interessenabwägung“) DSGVO gestützt werden kann.
Praxishinweis
Bei der Gestaltung von Datenverarbeitungsprozessen ist aus Gründen der Rechts- und Investitionssicherheit – auch vor dem Hintergrund von Art. 25 Abs. 1 DSGVO – zu empfehlen, einen möglichst datenschonenden Ansatz zu wählen. Zudem ist damit zu rechnen, dass sich auch zukünftig Gerichte mit dieser Frage beschäftigen werden. Diese Rechtsprechung sollte genau beobachtet und – soweit diese einschlägig und belastbar ist – eingehalten werden.