Erforderlichkeit eines Vertrages bei der Verarbeitung von Personendaten | Beitrag von Christian Werbik, VACE Senior GRC Consultant

DIGITAL SOLUTIONS,
junger Männerkopf bis zur Schulter, nachdenkliche Pose und ein sportlicher Mann der innerhalb dieses Kopfes Treppen raufläuft

Bekanntlich müssen die Verarbeitungen von Personendaten auf einen Rechtsgrund gestützt werden und sollte dieser – im Zusammenhang mit dem Verarbeitungszweck stehend – im Verfahrensverzeichnis des Verantwortlichen dokumentiert werden.

Artikel 6 DSGVO birgt sechs Erlaubnistatbestände, welche gleichwertig sind – und ist diese Aufzählung abschließend. Der Wortlaut der Norm „mindestens“ bedeutet klarerweise, dass eine Personendatenverarbeitung auch auf mehrere Rechtsgründe gestützt werden kann. 

Große Aufmerksamkeit erfährt der Rechtsgrund „Einwilligung“ – dieser ist im unternehmerischen Kontext mit einigen Schwierigkeiten verbunden. So sind Einwilligungen jederzeit widerrufbar und fehlt es bei Personendatenverarbeitungen von Mitarbeitern regelmäßig an deren Freiwilligkeit. Der Terminus „Berechtigtes Interesse“ wurde bereits im Newsletter erörtert. Im vorliegenden Newsletter widmen wir uns der Fragestellung der „Erforderlichkeit zur Erfüllung eines Vertrags mit dem Betroffenen. 
Artikel 6 Abs. 1 lit b DSGVO nennt als legitimen Grund zur Personendatenverarbeitung die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. In beiden Fällen muss Erforderlichkeit vorliegen.

Artikel 6 Abs 1 lit b DSGVO nennt als legitimen Grund zur Personendatenverarbeitung die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. In beiden Fällen muss Erforderlichkeit herrschen. 

Erforderlichkeit

Alle Tatbestände des Art. 6 DSGVO mit Ausnahme der Einwilligung enthalten die Erforderlichkeit als Kriterium. Darüber hinaus handelt es sich bei der Erforderlichkeit um einen Grundsatz der Personendatenverarbeitung – welcher im Zusammenhang mit Datenminimierung sowie Speicherbegrenzung (Art 5 DSGVO) zu sehen ist. Die Verarbeitung personenbezogener Daten gilt dann als nicht erforderlich, wenn der Zweck auch mit anonymisierten Daten zu erreichen wäre. Als Beispiel sei die Erhebung vom Namen und der Postanschrift des Kunden eines Online-Versandhändlers zu nennen: Um die bestellte Ware zustellen zu können ist die Verarbeitung der Adressdaten erforderlich; ebenso die Kreditkartendaten zur Zahlungsabwicklung.

Vertrag

Mit einem Vertrag ist ein Rechtsgeschäft gemeint, welches durch übereinstimmende Willenserklärungen zustande kommt. Dabei ist der Terminus „Vertrag“ nach der DSGVO in einem weit gefassten Sinne zu verstehen und nicht an Auslegungen zum nationalen ABGB gebunden.

Vertragspartner

Vertragspartner muss nur der Betroffene sein, nicht aber der Verantwortliche. Dies bedeutet im Ergebnis, dass auch dritte Dienstleister (Spediteur, Inkasso, Rechtsanwalt) zur Datenverarbeitung berechtigt sein können – ohne Vertragspartei zu sein.

Vorvertragliche Maßnahmen

Diese müssen vom Betroffenen ausgehen, um die Personendatenverarbeitung zu rechtfertigen – und nicht vom Verantwortlichen. Geht die Initiative also vom Betroffenen aus, welcher z.B. um einen Kostenvoranschlag ersucht, fällt dies unter den Vorvertrag im Sinne der Norm.

Beispiel "Gewinnspiele" betreffend Marketing

Als Wirtschaftsteilnehmer sollten Sie bei jeder Vertragsgestaltung datenschutzrechtliche Auswirkungen berücksichtigen: Manchmal kann sich der Vertragsinhalt aus der Notwendigkeit einer Legalitätsgrundlage zur Personendatenverarbeitung ergeben. Dies wird in der Folge am Beispiel „Gewinnspiele“ anschaulich gemacht, deren eigentlicher Zweck das Marketing ist.
Eine in der Literatur tolerierte Vorgehensweise zum Sammeln von Personendaten über Gewinnspiele besteht im „transparenten Koppeln“. Möchte man beispielsweise für Marketingzwecke Adressen sammeln und bietet als Anreiz eine Gewinnspielteilnahme an, so braucht es zur bloßen Ermittlung und Verständigung des Gewinners sicherlich keine vollumfängliche Personendatenverarbeitung sämtlicher Teilnehmer. Denkt man z.B. an Papierkarten, ließe sich der Gewinner auslosen, verständigen und die übrigen Teilnahmekarten wären ein Fall für den Aktenvernichter. Dem Marketing geht es aber um eine datenbankförmige Erhebung, um z.B. sämtlichen Teilnehmern Werbung zusenden zu können. Der Widerspruch verschiedener Motive – zwischen Datenschutz, Gewinnspielabwicklung und Marketingziel – lässt sich durch die Vertragsgestaltung auflösen.
So stuft das Bayrische LDA kostenlos veranstaltete Gewinnspiele, bei denen der Nutzer die Teilnahme mit seinen Personendaten „bezahlt“, als zulässig ein, sofern in ausreichender Form auf diesen Umstand hingewiesen wird. Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Deutschlands (DSK) folgt dieser Ansicht:

„Bei ‚kostenlosen‘ Dienstleistungsangeboten, die die Nutzer mit der Zustimmung für eine werbliche Nutzung ihrer Daten ‚bezahlen‘ (z. B. kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als ‚Gegenfinanzierung‘), muss diese vertraglich ausbedungene Gegenleistung des Nutzers bei Vertragsabschluss klar und verständlich dargestellt werden. Nur dann besteht keine Notwendigkeit mehr für eine Einwilligung.“

Dabei wurde mit Hinblick auf die Alternative „Einwilligung“ und das damit verbundene Koppelungsverbot erwogen, dass keine Übermacht des Verantwortlichen gegenüber dem Betroffenen herrscht, sofern es sich beim Veranstalter nicht um eine Behörde oder den Arbeitgeber des Betroffenen handelt – und aus der Nicht-Teilnahme am Gewinnspiel keine Befürchtungen erwachsen, als Betroffener Rechte oder Services zu verlieren.
Sind also Gewinnspiele in höchstem Maße freiwillig, so kann dies eine Koppelung vertretbar machen. Die Akzeptanz zur Werbung wird bei der transparenten Koppelung fester Bestandteil des Gewinnspielvertrages. Die transparente Koppelung – der Teilnehmer bezahlt mit seinen Daten für die Gewinnspielteilnahme – muss klar kommuniziert werden. Diesfalls liegt Erforderlichkeit zur Vertragserfüllung vor und braucht es keine Einwilligung, deren Freiwilligkeit bekanntlich am Koppelungsverbot scheitern könnte.
Entscheidend ist hier die gebührliche Information des Betroffenen im Erhebungszeitpunkt (Datenschutzbelehrung). Von Seiten des Gesetzgebers ist es vermutlich unerwünscht, dass die Datenbereitstellung „Gegenleistung“ eines Vertrags – hier Gewinnchance – wird und ist beim Thema „Gewinnspiele“ in der Datenschutzpraxis das letzte Wort noch nicht gesprochen.

Ein Gewinnspiel-Vorhaben in Ihrem geschätzten Haus sollte von einem Datenschutzexperten von der Erhebung bis zur Löschung der Personendaten begleitet werden. Ein Datenschutzmanagementsystem (DSMS) in Österreich wird stets ein Auge auf die besonders strenge Verwaltungspraxis deutscher Gremien haben – zumal es sich beim Datenschutz in weiten Teilen um EU-Recht handelt. Es ist kein Geheimnis, dass auch österreichische Behörden einschließlich Gerichte auf genau solche Weise vorgehen.