Der Europäische Datenschutzausschuss hat die “Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen” veröffentlicht. Wie erwartet, stellt der EDSA klar, dass die Rechtsgrundlage der Vertragserfüllung zumindest im Bereich von Online-Dienstleistungen nicht durch blosse Vertragsgestaltung erreicht werden kann. Hinsichtlich des Spannungsfeldes datenschutzrechtlich motivierter Beschränkung der Vertragsgestaltung einerseits und Vertragsfreiheit andererseits hält der EDSA fest:
Data subjects can agree to processing of their personal data, but cannot trade away their fundamental rights.
Die Rechtsgrundlage der Vertragsgestaltung sei deshalb nur einschlägig, wenn
- ein Vertrag existiere,
- der Vertrag nach dem jeweils anwendbaren nationalen Recht wirksam sei, und
- die Datenverarbeitung objektiv erforderlich sei für die Erfüllung des Vertrages.
Zur Einschätzung, wann eine Datenverarbeitung “für die Erfüllung eines Vertrages erforderlich” sei, verweist der EDSA zunächst auf die Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäss Artikel 7 der Richtlinie 95/46/EG und bestätigt die dortige enge Auslegung des Begriffs der Erforderlichkeit. Zudem liefert der EDSA die folgenden konkreten “Testfragen” zur besseren Orientierung:
- What is the nature of the service being provided to the data subject? What are its distinguishing characteristics?
- What is the exact rationale fo the contract (i.e. its substance and fundamental object)?
- What are the essential elements of the contract?
- What are the mutual perspectives and expectations of the parties to the contract? How is the service promoted or advertised to the data subject? Would an ordinary user of the service reasonably expect that, considering the nature of the service, the envisaged processing will take place in order to perform the contract to which they are a party?
Schliesslich gibt der EDSA eine grobe Einschätzung (und liefert lesenwerte Beispiele) zu den häufigsten Fallbeispielen:
- “Service-Verbesserung”: Hier sei der Rechtsgrund “Vertragserfüllung” grundsätzlich nicht einschlägig;
- “Betrugsprävention”: Hier sei der Rechtsgrund “Vertragserfüllung” wahrscheinlich nicht der richtige Rechtsgrund, richtiger Rechtsgrund könne aber eine rechtliche Verpflichtung oder das berechtigte Interesse sein;
- “Online-verhaltensbezogene Werbung”: Verhaltensbezogene Werbung sei grundsätzlich kein notwendiges Element für Online-Dienstleistungen, selbst dann nicht, wenn dadruch indirekt die Erbringung der Dienstleistung finanziert würde. Diesbezügliche Cookies etwa bedürften einer vorherigen Einwilligung;
- “Personalisierung von Inhalten”: Die Personalisierung von Inhalten könne (müsse aber nicht immer) zur Vertragserfüllung erforderlich sein. Hier käme es entscheidend auf die Art der Dienstleistung, die Erwartungen der betroffenen Person auch unter Berücksichtigung der Art und Weise wie der Service beworben werde, sowie auf die Frage an, ob der Service auch ohne Personalisierung erbracht werden könnte.