Praxishandbuch DSGVO. Tobias Rothkegel
werden, aber auf den Abschluss eines Vertrages zielen.41 Reine Informationsanfragen fallen daher nicht in den Anwendungsbereich dieser Vorschrift.
35
Zudem muss die vorvertragliche Maßnahme auf Anfrage der betroffenen Person erfolgen, so z.B. im Rahmen einer Anfrage der betroffenen Partei über Vertragskonditionen. Eine taugliche Anfrage kann jede Initiative der betroffenen Person sein; eine Willenserklärung der betroffenen Person ist hierfür nicht erforderlich.42 Nicht zulässig ist es hingegen auf Basis dieser Vorschrift, wenn ein Verantwortlicher auf eigenen Entschluss Daten über potenzielle Kunden verarbeitet und sie dann ggf. zu Werbezwecken sogar anspricht.43
36
Art. 6 Abs. 1 lit. b Alt. 2 DSGVO erfordert nicht, dass der Verantwortliche der zukünftige Vertragspartner ist. Auch die Anfrage der betroffenen Person muss sich nach dem Wortlaut der Vorschrift nicht direkt an den Verantwortlichen gerichtet haben. Somit kann diese Vorschrift auch Datenverarbeitungen durch einen Verantwortlichen erlauben, der für den potenziellen Vertragspartner der betroffenen Person vorvertragliche Maßnahmen erbringt und in diesem Zusammenhang Daten dieser Person im Wege der Funktionsübertragung verarbeitet.44
c) Erforderlichkeit der Datenverarbeitung für die genannten Zwecke
37
Weitere Voraussetzung dafür, dass eine Datenverarbeitung auf eine der beiden Erlaubnisalternativen des Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann, ist, dass die Datenverarbeitung für den jeweiligen Zweck auch erforderlich ist.
aa) „Erforderlichkeit“ einer Datenverarbeitung allgemein
38
Ob eine Datenverarbeitung für den jeweiligen Zweck erforderlich ist, lässt sich ganz generell anhand der Datenschutzgrundsätze gem. Art. 5 DSGVO ermitteln. So müssen – dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO folgend – personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
39
Auch wenn dieser Grundsatz keine Legaldefinition des Begriffs der „Erforderlichkeit“ beinhaltet, lassen sich aus ihm dessen wesentliche Elemente entnehmen: Zunächst ist der Begriff objektiv zu bestimmen; die personenbezogenen Daten müssen also objektiv dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Mithin schließt der Erforderlichkeitsgrundsatz auch im Rahmen der DSGVO eine Datenerhebung „ins Blaue hinein“ aus. Allerdings ist es dem Verantwortlichen unbenommen, die Zwecke einer Datenverarbeitung – im Rahmen des gesetzlich Erlaubten – selbst festzulegen und damit den zulässigen Umfang der Datenverarbeitung maßgeblich zu bestimmen.
40
Entscheidend für die Erforderlichkeit einer Datenverarbeitung ist also, ob sie für den verfolgten Zweck objektiv geboten ist (dann erforderlich) oder nicht (dann nicht erforderlich). Damit eine Datenverarbeitung für den verfolgten Zweck objektiv geboten ist, muss zwischen der beabsichtigten Datenverarbeitung und dem Datenverarbeitungszweck ein unmittelbarer sachlicher Zusammenhang bestehen.45 Ein solcher Zusammenhang ist jedenfalls dann gegeben, wenn der verfolgte Zweck ohne die Datenverarbeitung nicht erreicht werden könnte. Umstritten ist, ob Datenverarbeitungen auch dann als erforderlich anzusehen sind, wenn sie (nur) objektiv sinnvoll oder objektiv tauglich sind, um den verfolgten Zweck zu erreichen.46
Achtung
Der EuGH hat im Hinblick auf die Erforderlichkeit einer Datenverarbeitung gem. Art. 7 lit. f Datenschutzrichtlinie 95/46/EG („Verarbeitung auf Basis einer Interessenabwägung“) entschieden, dass sich die Ausnahmen und Einschränkungen im Hinblick auf den Schutz personenbezogener Daten gem. Art. 8 und Art. 7 GrCG auf das absolut Notwendige beschränken müssen.47 Teilweise wird dies in der datenschutzrechtlichen Literatur dahingehend ausgelegt, dass eine Datenverarbeitung für den verfolgten Zweck auch auf Basis der DSGVO ganz generell nur dann erforderlich sei, wenn ohne sie der Zweck nicht (rechtmäßig) erreicht werden könnte.48 Dies entspricht wohl auch dem Verständnis des Europäischen Datenschutzausschusses.49 Zudem scheint der EuGH die Erforderlichkeit der Datenverarbeitung an deren Verhältnismäßigkeit zu knüpfen.50
41
Unklar ist zudem, ob die Erforderlichkeit einer Datenverarbeitung nach der DSGVO und insbesondere ihrem Art. 5 Abs. 1 lit. c DSGVO auch bedingt, dass es keine Alternative zu der bestehenden/geplanten (Gestaltung der) Datenverarbeitung gibt, mit der der verfolgte Zweck ebenso erreicht werden könnte, bei der aber zugleich weniger Daten oder diese weniger „intensiv“ verarbeitet werden.51 Eine ausdrückliche Regelung hierzu beinhaltet die DSGVO jedenfalls nicht.
42
Nach hier vertretener Auffassung lässt eine „mildere“ Alternative die Erforderlichkeit einer bestehenden/geplanten Datenverarbeitung nur dann entfallen, wenn die Einführung/Durchführung dieser Alternative dem Verantwortlichen objektiv zuzumuten ist.52 So besagt der korrespondierende Erwägungsgrund zu Art. 5 DSGVO – Erwägungsgrund 39 –, dass personenbezogene Daten nur verarbeitet werden dürfen sollten, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Zwar erfasst diese Regelung ausdrücklich wohl nur die Frage, ob überhaupt personenbezogene Daten zu einem bestimmten Zweck verarbeitet werden dürfen oder nicht. Doch wenn Erwägungsgrund 39 festlegt, dass ein Verantwortlicher auch dann (überhaupt) personenbezogene Daten verarbeiten dürfen sollte, wenn er den Zweck auch ohne die Verarbeitung personenbezogener Daten erreichen könnte, ihm dies aber (nur) nicht zumutbar ist, muss auch die Verarbeitung von „mehr“ personenbezogenen Daten zulässig sein, wenn einem Verantwortlichen eine weniger „intensive“ Alternative nicht zumutbar ist. Mit anderen Worten: Wenn Erwägungsgrund 39 die Frage, ob überhaupt personenbezogene Daten verarbeitet werden dürfen, mit einem objektiven Zumutbarkeitskriterium für den Verantwortlichen verknüpft, muss dies auch für den Umfang der Datenverarbeitung gelten.
43
Welche Kriterien bei der Prüfung,53 ob eine schonendere Alternative für den Verantwortlichen objektiv zumutbar ist, zu berücksichtigen sind, bemisst sich nach dem jeweiligen Einzelfall. I. d. R. werden nach hier vertretener Ansicht u.a. die folgenden Kriterien zu berücksichtigen sein: (zusätzlicher/ersparter) Aufwand für den Verantwortlichen, der mit der Einführung/Durchführung dieser Alternative verbunden ist (z.B. an Zeit, Arbeit und Kosten), (nach-/vorteilhafte) Folgen der Alternative für den Verantwortlichen, die Bedeutung der Datenverarbeitung/des Verarbeitungszwecks für den Verantwortlichen, Vor- und Nachteile für die betroffenen Personen, insb. inwieweit die Alternative datenschutzschonender ist54 etc. Bei der Prüfung ist nach hier vertretener Ansicht die grundsätzliche Organisationsform und Arbeitsweise des Verantwortlichen zugrunde zu legen und dann nach den Gesamtumständen im Einzelfall zu beurteilen, ob eine schonendere Alternative objektiv zumutbar wäre.55
Achtung
Der EuGH hat – wie oben bereits dargestellt – im Hinblick auf die Erforderlichkeit einer Datenverarbeitung gem. Art. 7 lit. f Datenschutzrichtlinie 95/46/EG („Verarbeitung auf Basis einer Interessenabwägung“) entschieden, dass sich die Ausnahmen und Einschränkungen im Hinblick auf den Schutz personenbezogener Daten gem. Art. 8 und Art. 7 GrCG auf das absolut Notwendige beschränken müssen.56 Mithin sei nach Auffassung des EuGH zu prüfen, ob das berechtigte Interesse, also der verfolgte Zweck, vernünftigerweise ebenso wirksam mit weniger in die Grundrechte und Grundfreiheiten der betroffenen Person, vor allem nach Art. 7 und 8 GRCh, eingreifenden Mitteln erreicht werden könne.57 Nach hier vertretener Lesart kann aus diesen und den sich daran anschließenden Ausführungen aber nicht entnommen werden, dass – wenn es derartige Mittel gibt – diese nach Ansicht des EuGH auch zwingend