Dienstag, den 23.04.2019
Von: Mag. Peter MARTIN

Datenverarbeitung aufgrund Vertragserfüllung

Jede Datenverarbeitung bedarf eines Rechtfertigungsgrundes. Diese sind für sensible Daten (zB rassische oder ethnische Herkunft, sexuelle Orientierung, etc) in Art 9 DSGVO, für alle anderen „normalen“ Daten in Art 6 DSGVO geregelt. Gemäß Art 6 Abs 1 lit b DSGVO dürfen Daten verarbeitet werden, wenn dies zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen), dessen Vertragspartei die betroffene Person ist, erforderlich ist. Der Europäische Datenschutzausschuss (EDSA) hat am 09.04.2019 eine Leitlinie zur Interpretation dieses Rechtfertigungsgrundes erlassen.

 

1. Grund dieser Leitlinie ist die Praxis zahlreicher Online-Dienstleister, die umfangreiche Datenverarbeitungen in Verträge über Online-Services mit ihren Kunden aufnehmen und die umfassende Datenverarbeitung auf die Vertragserfüllung stützen. Diese Datenverarbeitungen (zB zum Zweck personenbezogener Onlinewerbung) sind zwar zur Erfüllung der Hauptleistung (zB der Lieferung von Waren) des Dienstleisters nicht erforderlich, nach dem Wortlaut des Art 6 Abs 1 lit b DSGVO jedoch durch die Aufnahme in den Vertrag (vermeintlich) gedeckt.

2. In den Leitlinien begrenzt er EDSA die Möglichkeit, solche Verarbeitungen auf diese Rechtsgrundlage zu stützen. Zur Beurteilung der Erforderlichkeit der Vertragserfüllung sei nicht nur auf den Vertragstext abzustellen. Auch bei der Interpretation des Art 6 Abs 1 lit b DSGVO seien die Grundsätze der Datenminimierung, der Zweckbindung und der Transparenz zu beachten. Dabei komme es auch auf die gewöhnliche Erwartungshaltung des Kunden an, welche Daten bei einem solchen Vertrag verarbeitet werden. 

3. Es sei daher bei der Beurteilung, ob die Datenverarbeitung gemäß Art 6 Abs 1 lit b gerechtfertigt ist, darauf abzustellen, ob diese zur Erfüllung der Hauptleistung erforderlich ist. Der Dienstleister muss nachweisen können, aus welchem Grund eine spezifische Datenverarbeitung erforderlich ist, damit er seine Hauptleistung aus diesem Vertrag erbringen kann. Sollte dies nicht möglich sein und die Hauptleistung auch ohne eine spezifische Datenverarbeitung erbracht werden können, muss diese Datenverarbeitung auf andere Rechtfertigungsgründe (zB Einwilligung des Betroffenen oder sein eigenes überwiegendes berechtigtes Interesse) gestützt werden.

Beispiel:    

Ein Kunde kauft über das Internet Waren von einem Online-Händler. Die Waren sollen zu ihm nach Hause geliefert und mit Kreditkarte bezahlt werden. Vom Vertragszweck gedeckt sind die Verarbeitung

  • der Kreditkartendaten, des Namens des Kunden und die Rechnungsadresse zur Zahlungsabwicklung sowie
  • des Namens und der Lieferadresse zur Lieferung der Waren.

Nicht vom Vertragszweck gedeckt, auch wenn dies im Vertrag vereinbart ist, wäre die Verarbeitung der Daten, um Kundenprofile zu erstellen. Diese Verarbeitung müsste auf einen anderen Rechtsgrund (zB Einwilligung des Kunden oder überwiegendes berechtigtes Interesse des Online-Händlers) gestützt werden.