E-Mail schreiben

Kundendaten: GDPR-Compliance in vertraglichen Beziehungen

Autor: Niklas Drexler
Letzte Aktualisierung: 24.10.2019
Kategorie: Allgemeine Verpflichtungen; Rechtsdurchsetzung

Für jede Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage erforderlich, z. B. eine Einwilligung, ein berechtigtes Interesse oder eine rechtliche Verpflichtung. Im Oktober 2019 hat der Europäische Datenschutzausschuss ("EDPB"), ein beratendes Gremium, das sich aus den Datenschutzaufsichtsbehörden in der EU zusammensetzt, Leitlinien für die öffentliche Konsultation zur Datenverarbeitung auf der Grundlage von Art. 6(1)(b) der Datenschutz-Grundverordnung im Zusammenhang mit Online-Diensten veröffentlicht. Daraus geht klar hervor, dass der EDPB strenge Anforderungen stellen wird, wenn er sich auf eine Datenverarbeitung stützt, die für die Erfüllung eines Vertrags erforderlich ist.

Art. 6(1)(b) erlaubt die Datenverarbeitung, soweit sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung von Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person vor Abschluss eines Vertrags erfolgen. Typische Szenarien sind die Bearbeitung von Anfragen potenzieller Kunden, die Übermittlung von Postadressen an Paketdienste für die Lieferung von Produkten oder die Speicherung der Bankdaten der Mitarbeiter zum Zwecke der Abwicklung von Gehaltszahlungen.

Beschränkungen der Vertragsgestaltung hinsichtlich der Datenverarbeitung

Der EDSB betont, dass das Konzept der "Erforderlichkeit" aus der Perspektive des Datenschutzes als Grundrecht stammt, was zu der Schlussfolgerung führt, dass es sich nicht auf eine Verarbeitung erstreckt, die für die Erbringung der vertraglichen Dienstleistung nützlich, aber nicht objektiv erforderlich ist, selbst wenn sie für andere Geschäftszwecke des für die Verarbeitung Verantwortlichen notwendig ist. Um zu beurteilen, ob eine bestimmte Verarbeitung "objektiv notwendig" ist, muss "der genaue Grund des Vertrags, d. h. sein Inhalt und sein grundlegendes Ziel" ermittelt werden. Die für die Verarbeitung Verantwortlichen dürfen den Anwendungsbereich von Art. 6(1)(b) nicht "künstlich" ausdehnen, indem sie unter anderem zusätzliche Bedingungen für Werbung, Zahlungen oder Cookies aufstellen.

So kann beispielsweise ein Anbieter von Online-Roadmaps die Standortdaten des Kunden zum Zweck einer Navigationsfunktion verarbeiten, die der Kunde nutzen möchte. Die Verwendung dieser Daten zur Erstellung eines Bewegungsprofils des Kunden, um ihm Werbung für Restaurants zu zeigen, die sich zwischen seiner Wohnadresse und seinem Arbeitsplatz befinden, fällt dagegen nicht unter Art. 6(1)(b), selbst wenn eine solche Verarbeitung als Vertragsbedingung in den Geschäftsbedingungen des Dienstes enthalten ist.

Diese vom EDSB befürwortete Differenzierung lässt Raum für Interpretationen. Es scheint jedoch klar zu sein, dass die Behörden Art. 6(1)(b) nur dann als Rechtsgrundlage akzeptieren, wenn es sich um Verarbeitungen handelt, die in direktem Zusammenhang mit den Dienstleistungen stehen, die der Kunde in Anspruch nimmt. Mit anderen Worten: Der EDSB lehnt die Idee ab, für eine Dienstleistung mit der Weitergabe personenbezogener Daten zu "bezahlen", da er ausdrücklich feststellt, dass "personenbezogene Daten nicht als handelbare Ware betrachtet werden können".

Verbesserung von Diensten, verhaltensbezogene Online-Werbung, Personalisierung von Inhalten

Der EDSB gibt mehrere Beispiele dafür, welche Arten von Verarbeitungszwecken unter Art. 6(1)(b). In Bezug auf den Zweck der "Verbesserung des Dienstes" heißt es, dass die "Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einem Dienst oder von Einzelheiten der Nutzeraktivität" nicht als für die Erfüllung eines Vertrags erforderlich gerechtfertigt werden kann. Es können jedoch andere Rechtsgrundlagen wie das berechtigte Interesse oder die Einwilligung gelten.

"Verhaltensbasierte Online-Werbung und das damit verbundene Tracking und Profiling von betroffenen Personen" kann laut EDPB auch nicht nach Art. 6(1)(b) gerechtfertigt sein, selbst wenn diese Werbung indirekt die Erbringung des Dienstes finanziert. In diesem Zusammenhang bekräftigt der EDSB seinen Standpunkt, dass die Platzierung von Cookies, die für verhaltensorientierte Werbung erforderlich ist, die vorherige Einwilligung der betroffenen Person erfordert.

Die Verarbeitung zum Zwecke der Personalisierung von Inhalten kann ein wesentliches oder erwartetes Element bestimmter Online-Dienste darstellen und kann daher nach Art. 6(1)(b). Ob dies der Fall ist oder nicht, "hängt von der Art des angebotenen Dienstes ab, von den Erwartungen der durchschnittlichen betroffenen Person nicht nur im Hinblick auf die Nutzungsbedingungen, sondern auch auf die Art und Weise, wie der Dienst bei den Nutzern beworben wird, und davon, ob der Dienst ohne Personalisierung angeboten werden kann". Wenn also die Personalisierung ein Hauptmerkmal des Dienstes ist, kann sie für die Erfüllung des Vertrags erforderlich sein.

background of businessman signing contract with attorney with abstract foreground of digital symbol — © Mongkolchon / stock.adobe.com | #241354722

Zurück zur Newsübersicht

Artikel teilen:

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.

Gruppe	Essenziell
Name	Matomo
Technischer Name
Anbieter
Ablauf in Tagen	72
Datenschutz
Zweck	Nutzung ohne Cookies
Erlaubt
Gruppe	Externe Medien
Name	Calendly
Technischer Name	__cf_bm,__cfruid,OptanonConsent,
Anbieter	Calendly LLC
Ablauf in Tagen	365
Datenschutz	https://calendly.com/privacy
Zweck	Zum Vereinbaren von Terminen über den Anbieter Calendly
Erlaubt
Name	Contao CSRF Token
Technischer Name	csrf_contao_csrf_token
Anbieter	Contao
Ablauf in Tagen	0
Datenschutz
Zweck	Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name	Contao HTTPS CSRF Token
Technischer Name	csrf_https_contao_csrf_token
Anbieter	Contao
Ablauf in Tagen	0
Datenschutz
Zweck	Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name	PHP SESSION ID
Technischer Name	PHPSESSID
Anbieter	Contao
Ablauf in Tagen	0
Datenschutz
Zweck	Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name	FE USER AUTH
Technischer Name	FE_USER_AUTH
Anbieter	Contao
Ablauf in Tagen	0
Datenschutz
Zweck	Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt