Der Euro­päi­sche Daten­schutz­aus­schuss hat die “Leit­li­ni­en zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf Grund­la­ge des Arti­kels 6 Abs. 1 b DSGVO im Kon­text von Online-Dienst­lei­stun­gen” ver­öf­fent­licht. Wie erwar­tet, stellt der EDSA klar, dass die Rechts­grund­la­ge der Ver­trags­er­fül­lung zumin­dest im Bereich von Online-Dienst­lei­stun­gen nicht durch blo­sse Ver­trags­ge­stal­tung erreicht wer­den kann. Hin­sicht­lich des Span­nungs­fel­des daten­schutz­recht­lich moti­vier­ter Beschrän­kung der Ver­trags­ge­stal­tung einer­seits und Ver­trags­frei­heit ande­rer­seits hält der EDSA fest:

Data sub­jects can agree to pro­ce­s­sing of their per­so­nal data, but can­not trade away their fun­da­men­tal rights.

Die Rechts­grund­la­ge der Ver­trags­ge­stal­tung sei des­halb nur ein­schlä­gig, wenn

  1. ein Ver­trag existiere,
  2. der Ver­trag nach dem jeweils anwend­ba­ren natio­na­len Recht wirk­sam sei, und
  3. die Daten­ver­ar­bei­tung objek­tiv erfor­der­lich sei für die Erfül­lung des Vertrages.

Zur Ein­schät­zung, wann eine Daten­ver­ar­bei­tung “für die Erfül­lung eines Ver­tra­ges erfor­der­lich” sei, ver­weist der EDSA zunächst auf die Stel­lung­nah­me 06/2014 der Arti­kel-29-Daten­schutz­grup­pe zum Begriff des berech­tig­ten Inter­es­ses des für die Ver­ar­bei­tung Ver­ant­wort­li­chen gemäss Arti­kel 7 der Richt­li­nie 95/46/EG und bestä­tigt die dor­ti­ge enge Aus­le­gung des Begriffs der Erfor­der­lich­keit. Zudem lie­fert der EDSA die fol­gen­den kon­kre­ten “Test­fra­gen” zur bes­se­ren Orientierung:

  • What is the natu­re of the ser­vice being pro­vi­ded to the data sub­ject? What are its distin­gu­is­hing characteristics?
  • What is the exact ratio­na­le fo the con­tract (i.e. its sub­stance and fun­da­men­tal object)?
  • What are the essen­ti­al ele­ments of the contract?
  • What are the mutu­al per­spec­ti­ves and expec­ta­ti­ons of the par­ties to the con­tract? How is the ser­vice pro­mo­ted or adver­ti­sed to the data sub­ject? Would an ordi­na­ry user of the ser­vice rea­son­ab­ly expect that, con­side­ring the natu­re of the ser­vice, the envi­sa­ged pro­ce­s­sing will take place in order to per­form the con­tract to which they are a party?

Schliess­lich gibt der EDSA eine gro­be Ein­schät­zung (und lie­fert lesen­wer­te Bei­spie­le) zu den häu­fig­sten Fallbeispielen:

  • Ser­vice-Ver­bes­se­rung”: Hier sei der Rechts­grund “Ver­trags­er­fül­lung” grund­sätz­lich nicht einschlägig;
  • Betrugs­prä­ven­ti­on”: Hier sei der Rechts­grund “Ver­trags­er­fül­lung” wahr­schein­lich nicht der rich­ti­ge Rechts­grund, rich­ti­ger Rechts­grund kön­ne aber eine recht­li­che Ver­pflich­tung oder das berech­tig­te Inter­es­se sein;
  • Online-ver­hal­tens­be­zo­ge­ne Wer­bung”: Ver­hal­tens­be­zo­ge­ne Wer­bung sei grund­sätz­lich kein not­wen­di­ges Ele­ment für Online-Dienst­lei­stun­gen, selbst dann nicht, wenn dadruch indi­rekt die Erbrin­gung der Dienst­lei­stung finan­ziert wür­de. Dies­be­züg­li­che Coo­kies etwa bedürf­ten einer vor­he­ri­gen Einwilligung;
  • Per­so­na­li­sie­rung von Inhal­ten”: Die Per­so­na­li­sie­rung von Inhal­ten kön­ne (müs­se aber nicht immer) zur Ver­trags­er­fül­lung erfor­der­lich sein. Hier käme es ent­schei­dend auf die Art der Dienst­lei­stung, die Erwar­tun­gen der betrof­fe­nen Per­son auch unter Berück­sich­ti­gung der Art und Wei­se wie der Ser­vice bewor­ben wer­de, sowie auf die Fra­ge an, ob der Ser­vice auch ohne Per­so­na­li­sie­rung erbracht wer­den könnte.

AI-generierte Takeaways können falsch sein.