Praxishandbuch DSGVO. Tobias Rothkegel
der betroffenen Person erfolgen“.
14
Mithin enthält diese Vorschrift zwei voneinander zu unterscheidende Erlaubnistatbestände, die alternativ nebeneinander stehen:
1. Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist.
2. Die Verarbeitung ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Leitlinien des Europäischen Datenschutzausschusses
15
Der Europäische Datenschutzausschuss12 hat Leitlinien für die Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO im Zusammenhang mit der Erbringung von Onlinediensten gegenüber betroffenen Personen veröffentlicht.13 Zwar beziehen sich diese Leitlinien insbesondere auf Onlinedienste. Doch lassen sich gerade die allgemeinen Ausführungen zu Art. 6 Abs. 1 lit. b DSGVO auch auf die „Offline-Welt“ übertragen.
16
Unternehmen, die personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeiten wollen, ist zu empfehlen, die Leitlinien des Europäischen Datenschutzausschusses aufmerksam durchzuarbeiten und – wenn möglich – diese auch zu befolgen. Zwar besitzt der Europäische Datenschutzausschuss keine Kompetenz, die DSGVO rechtsverbindlich auszulegen, so dass durchaus auch eine Abweichung von diesen Leitlinien datenschutzrechtlich zulässig oder gar geboten sein kann, zumal die Datenschutzaufsichtsbehörden insbesondere nach dem Inkrafttreten der DSGVO relativ strenge Positionen vertreten. Die Kompetenz, die DSGVO rechtsverbindlich auszulegen, verbleibt bei den Gerichten, insbesondere dem EuGH, die nicht an die Leitlinien des Europäischen Datenschutzausschusses gebunden sind. Doch ist mit großer Sicherheit davon auszugehen, dass die deutschen Datenschutzaufsichtsbehörden – ebenso wie die Behörden in den anderen EU-Mitgliedstaaten – die DSGVO grundsätzlich so auslegen und anwenden werden, wie es der Europäische Datenschutzausschuss in den jeweiligen Leitlinien ausgeführt hat, zumal diese eine gewisse Bindungswirkung gegenüber den nationalen Datenschutzaufsichtsbehörden entfalten.14 Somit besteht eine beträchtliche Rechtssicherheit, dass zumindest die Datenschutzaufsichtsbehörden eine Datenverarbeitung nicht beanstanden werden, soweit sich das verantwortliche Unternehmen dabei an die Leitlinien und anderen Vorgaben des Europäischen Datenschutzausschusses gehalten hat.
17
Möchte ein Unternehmen hingegen von den Leitlinien des Europäischen Datenschutzausschusses abweichen, sollte dies datenschutzrechtlich zuvor geprüft und die tatsächlichen Gründe sowie die rechtlichen Argumente hierfür dokumentiert werden.
a) Verarbeitung personenbezogener Daten zu Zwecken der Vertragserfüllung
18
Der Begriff der Vertragserfüllung ist weit zu verstehen und nicht mit dem zivilrechtlichen Begriff der Vertragserfüllung gleichzusetzen. Vielmehr umfasst der Begriff der Vertragserfüllung i.S.d. Art. 6 Abs. 1 lit. b DSGVO bereits den Vertragsabschluss selbst, der der eigentlichen Vertragserfüllung zeitlich vorgelagert ist.15 Auch wenn dies in der Literatur teilweise vertreten wird, gehören die Anbahnung und die Verhandlung eines Vertrages nicht zur Vertragserfüllung i.S.d. Art. 6 Abs. 1 lit. b DSGVO.16 So unterscheidet die DSGVO in Art. 6 Abs. 1 lit. b DSGVO zwischen der Durchführung vorvertraglicher Maßnahmen einerseits und der Vertragserfüllung andererseits und legt hierfür unterschiedliche Verarbeitungsvoraussetzungen fest. Vor diesem Hintergrund müssen die fraglichen Datenverarbeitungsaktivitäten nach hier vertretener Ansicht zumindest unmittelbar mit dem Vertragsabschluss im Zusammenhang stehen, damit sie auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO gestützt werden können – dies ist bei der Anbahnung und der Verhandlung eines Vertrages aber eben nicht der Fall.17
19
Weiterhin umfasst der Begriff der Vertragserfüllung die Herbeiführung des vertraglich geschuldeten Leistungserfolgs,18 die Vertragsänderung, die Abwicklung des Vertrages, also auch die Anfechtung, Beendigung bzw. Kündigung und die sonstige Ausübung eines Gestaltungsrechts, sowie die Erfüllung von Nebenpflichten und sekundären Pflichten, allen voran von Mängelgewährleistungsansprüchen.19
Leitlinien des Europäischen Datenschutzausschusses
20
Nach Auffassung des Europäischen Datenschutzausschusses („EDSA“) vermag Art. 6 Abs. 1 lit. b DSGVO grundsätzlich keine Datenverarbeitung nach vollständiger Beendigung des Vertrages zu rechtfertigen, z.B. zu Zwecken der Erfüllung von Aufbewahrungspflichten.20 Hierfür sei regelmäßig eine andere Rechtsgrundlage erforderlich. Die Speicherung zur Erfüllung von Aufbewahrungspflichten muss nach Ansicht des EDSA demzufolge z.B. i.d.R. auf Art. 6 Abs. 1 lit. c DSGVO („Erfüllung einer rechtlichen Verpflichtung“) i.V.m. mit der nationalen Rechtsvorschrift gestützt werden, die die jeweilige Aufbewahrungspflicht begründet (z.B. § 257 HGB und § 147 AO). Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem durch die Kündigung ausgelösten Verwaltungsaufwand, wie z.B. der Rücksendung von Waren oder Rückzahlungen, könne hingegen auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.21
21
Außerdem sei es nach Auffassung des EDSA generell unzulässig, zu einer neuen Rechtsgrundlage „zu wechseln“, wenn die Datenverarbeitung nicht mehr auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann, weil die betroffene Person ihre Daten ggf. nur deshalb zur Verfügung gestellt habe, weil sie davon ausgegangen sei, dass deren Verarbeitung ein notwendiger Teil der Vertragsbeziehung sei.22 Ausnahmsweise sei es allerdings zulässig, Daten für bestimmte spezifische Zwecke auch nach Vertragsbeendigung weiterzuverarbeiten, so z.B. zur Erfüllung von Aufbewahrungspflichten oder Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. In diesem Fall müssten Verantwortliche hierfür eine (gesonderte) Rechtsgrundlage bestimmen und die betroffenen Personen vor Beginn der Datenverarbeitung über diese Datenverarbeitung und die Dauer der weiteren Aufbewahrung im Einklang mit den Transparenzanforderungen der DSGVO (insb. aus Art. 13 bzw. 14 DSGVO) informieren.23
22
Unklar bleibt, ob es sich bei dieser Information nach Auffassung des EDSA um ein konstitutives Zulässigkeitserfordernis handelt, also die Weiterverarbeitung nach Beendigung des Vertrages nur dann zulässig ist, wenn der Verantwortliche die betroffene Person hierüber vor Beginn der Verarbeitung informiert hat. Eine solche Auslegung wäre nach hier vertretener Meinung allerdings nicht mit Art. 6 DSGVO vereinbar, zumal die Erfüllung der Informationspflichten gem. Art. 13 bzw. Art. 14 DSGVO nach hier vertretener Ansicht keine Rechtmäßigkeitsvoraussetzung für die Datenverarbeitung ist.24
23
Aber auch gegen die restriktive Auffassung des EDSA an sich, dass eine Datenverarbeitung nach Beendigung eines Vertrages nur ausnahmsweise auf eine andere Rechtsgrundlage gestützt werden könne, wenn Art. 6 Abs. 1 lit. b DSGVO diese nicht mehr zu rechtfertigen vermag, bestehen nach hier vertretener Auffassung zumindest ernsthafte Zweifel, da die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nach hier vertretener Meinung gleichberechtigt nebeneinanderstehen25 und die Auffassung des EDSA auch nur schwer mit der Erlaubnis in Einklang zu bringen ist, personenbezogene Daten unter den in Art. 6 Abs. 4 DSGVO statuierten Voraussetzungen zu einem anderen Zweck weiterzuverarbeiten.
24
Achtung: Von den geschilderten Fällen zu unterscheiden ist – wohl auch nach Ansicht des EDSA – die Verarbeitung personenbezogener Daten zu Zwecken der Gewährleistung. So dürfen personenbezogene Daten zu diesem Zweck auch dann noch auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, wenn die Hauptleistungspflichten, z.B. die Erbringung der jeweiligen Dienste gegen Bezahlung eines Entgelts, bereits vollständig