Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 324

57

„Erforderlich“ im Sinne von Buchstabe b ist die Datenverarbeitung dann, wenn sie für die Erfüllung des Vertrags oder für die Durchführung vorvertraglicher Maßnahmen notwendig ist. Die Erforderlichkeit orientiert sich zunächst daran, dass ohne die Datenverarbeitung der Vertragszweck nicht oder nur unwirtschaftlich verwirklicht werden kann (Art. 5 Abs. 1 lit. b DSGVO). Dabei gilt es, den Grundsatz der Datenminimierung zu beachten (Art. 5 Abs. 1 lit. c DSGVO). Die Prüfung des Merkmals der Erforderlichkeit verlangt demnach keine Berücksichtigung des Verhältnismäßigkeitsgrundsatzes, wie sie bei der Durchführung einer hoheitlichen Maßnahme gegenüber einem Privatrechtssubjekt notwendig wäre.88 Es wird nach dem Erforderlichkeitskriterium aber nicht verlangt, dass bei nicht erfolgender Datenverarbeitung der Vertragsschluss oder die Vertragserfüllung unmöglich oder tatsächlich ausgeschlossen wäre. Notwendig und damit auch erforderlich ist die Datenverarbeitung auch dann, wenn sie aus der objektiven Sicht eines verständigen Dritten sinnvoll ist, beispielsweise um die Effizienz zu steigern und Kosten zu minimieren.89

58

Ist die Verarbeitung personenbezogener Daten für die Anbahnung, Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses bzw. für ein rechtsgeschäftsähnliches Schuldverhältnis oder für den Abschluss eines Gesellschaftsvertrags erforderlich, dann ist sie zulässig, ohne dass es einer Abwägung mit Interessen des Betroffenen bedarf. Anders als nach der Zulässigkeitsalternative gemäß Buchstabe f verpflichtet die Verordnung bei Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO weder zu einer Abwägung mit Betroffeneninteressen, noch ist eine Interessenabwägung im Rahmen einer Verhältnismäßigkeitsprüfung wie bei einer Verarbeitung durch öffentliche Stellen vorzunehmen, die wegen des Eingriffscharakters der Datenverarbeitung stets die Verhältnismäßigkeit des Eingriffs zu prüfen haben. Vielmehr ist nach objektiven Kriterien festzustellen, ob die Daten verarbeitet werden müssen, um dadurch effizient die sich beispielsweise aus einem Vertragsverhältnis ergebenden Pflichten erfüllen und die Erbringung der Gegenleistung feststellen zu können. Soll ein Vertrag elektronisch unter Verwendung einer fortgeschrittenen elektronischen Signatur geschlossen werden, sodass ein externer Vertrauensdiensteanbieter als Auftragsverarbeiter einzubeziehen ist, dann ist auch die hierfür erforderliche Verarbeitung nach Buchstabe b erlaubt.90

59

Das Merkmal „erforderlich“ ist deshalb dahingehend zu verstehen, dass die Verarbeitung personenbezogener Daten notwendig ist, um vorvertragliche Anfragen bearbeiten, einen Vertragsschluss vornehmen und dann eingegangene Vertragspflichten erfüllen und eigene Rechte geltend machen zu können. Es dürfen danach diejenigen Daten verarbeitet werden, die bei der Geschäftsanbahnung und -abwicklung im Rahmen des rechtsgeschäftsähnlichen Schuldverhältnisses benötigt werden. Auch die Speicherung der Kontaktdaten einer Person, die sich Informationen über Produkte oder Dienstleistungen in einem analogen oder digitalen Katalog zuschicken lassen möchte, ist nach Buchstabe b zulässig. Die zum Zweck der Bonitätsanfrage bei einer Wirtschaftsauskunftei erfolgende Übermittlung personenbezogener Daten über eine potenzielle Vertragspartei ist eine Verarbeitung, die nach Buchstabe b zulässig ist;91 bei einem internen oder externen Scoring, bei Bonitätsprüfungen oder automatisierten Einzelentscheidungen wären die Vorschriften der §§ 30, 31 und 37 BDSG sowie § 18a KWG zu beachten. Diese Verarbeitungen können für die Zweckerfüllung eines Vertragsverhältnisses gemäß Buchstabe b erforderlich sein.

60

Die Erlaubnis nach Buchstabe b geht stillschweigend vom Einklang der Datenverarbeitung mit den Interessen des Betroffenen aus, sodass es der Feststellung etwaiger entgegenstehender Interessen des Betroffenen nicht bedarf. Wer ein Vertragsverhältnis eingeht und sich in ein rechtsgeschäftsähnliches Schuldverhältnis begibt, weiß, dass – anders als bei anonymen Bargeschäften des täglichen Lebens – in der Informations- und Kommunikationsgesellschaft personenbezogene Daten zur Geschäftsabwicklung (Rechnungstellung, Lieferung) benötigt werden. Die Zweckbestimmung des rechtsgeschäftlichen bzw. des rechtsgeschäftsähnlichen Schuldverhältnisses ist insofern Legitimation, aber auch zugleich Grenze der Verarbeitung von Daten über den Vertragspartner bzw. über den in einem Vertrauensverhältnis mit der verantwortlichen Stelle verbundenen betroffenen Personen. Nicht erfasst werden von der Erlaubnis nach lit. b nach einem Beschluss der DSK92 solche Daten, die für die Vertragserfüllung und die Vertragsabwicklung nicht erforderlich sind (Kernvertragstheorie – „core of the contract“). Der Tendenz von Verantwortlichen, sich unter Berufung auf die unternehmerische Freiheit weitreichende Erhebungen von Kundendaten mit Buchstabe b zu legitimieren („Umgehbarkeit mittels bewusster Vertragsgestaltung“),93 versucht der EDSA zwar mit einer Leitlinie entgegenzutreten, weil er die Gefahr eines vertraglichen „Unterschiebens“ von Verarbeitungsbefugnissen bzw. einer künstlichen Ausdehnung der erforderlichen Daten- oder Verarbeitungsarten im Vertrag beobachtet,94 lässt aber doch mehr Raum für eine Vertragsgestaltungsfreiheit als die DSK.95

61

Werden Daten erhoben, die bei einem Vertragsschluss quasi als Gegenleistung, beispielsweise auch für die Registrierung bei einem Sozialen Netzwerk, gefordert werden,96 so bedarf es für diese Daten einer Einwilligung, die mit zweifelhafter Wirksamkeit häufig über Cookies erfolgt97 (siehe § 25 TTDSG Rn. 24ff.). Dabei ist die schuldrechtliche Leistungspflicht als Synallagma von der datenschutzrechtlich zu erklärenden Einwilligung zu trennen. Die Frage ist nicht abschließend geklärt, ob die Verarbeitung – hier: die Erhebung, von Daten als Gegenleistung auf der Grundlage des Buchstaben b – zulässig ist, oder ob eine (datenschutzrechtliche, informierte) Einwilligung nach Buchstabe a geschuldet ist, wenn von einem Vertragsverhältnis auszugehen ist. Eine Vertragspflicht zur datenschutzrechtlichen Einwilligung würde jedenfalls der Anforderung der Freiwilligkeit der datenschutzrechtlichen Einwilligung widersprechen98 und schnell zu einem Kopplungsverbot führen.99

62

§ 327q Abs. 2 BGB100 erkennt allerdings an, dass bei Verbraucherverträgen, die digitale Inhalte oder Dienstleistungen zum Gegenstand haben, Verbraucher ihre für die Vertragsabwicklung erforderlichen Daten nicht nur zur Erfüllung der primären Leistungspflichten101 zur Verfügung stellen müssen, sondern sie weitere Daten neben oder anstelle eines Preises mit ihrer Einwilligung überlassen können.102 Bei dem Geschäftsmodell der „Daten als Gegenleistung“ wird unterschieden, ob als Gegenleistung ausschließlich Daten zur Verfügung gestellt werden oder ob eine Rabattierung des Entgelts erfolgt, wenn über die für die Vertragsabwicklung erforderlichen Daten hinaus weitere Daten des Vertragspartners abgefragt werden. Dann wäre nach einer verbreiteten Ansicht die Einwilligung zur Vertragserfüllung notwendig. Nach § 327q BGB wird eine Verknüpfung zwischen schuldrechtlichem Vertrag und datenschutzrechtlicher Einwilligung in die Verarbeitung der Daten im Sinne des § 327 Abs. 1 BGB (digitale Darstellung eines Wertes als Gegenleistung) beispielsweise insofern hergestellt, als der Unternehmer berechtigt ist, „einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann“. Demnach würde die Verarbeitung der Daten des Verbrauchers durch den Unternehmer auf Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO hinsichtlich der für die Erbringung der Leistung durch den Unternehmer erforderlichen Daten und auf Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO hinsichtlich derjenigen Daten zu stützen sein, die vom Verbraucher als Gegenleistung (Wert der Daten) gegeben werden.

63

Offen ist, ob derartige Verträge über digitale Inhalte so ausgestaltet werden können, dass die Bereitstellung personenbezogener Daten eine schuldrechtliche Verpflichtung darstellt, sodass diese dann auf der Grundlage einer Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO mit der Begründung verarbeitet werden dürfen, diese Daten seien erforderlich, um die den Vertrag prägende Hauptleistung zu erfüllen (so die „Vertragsfreiheitstheorie“).103 Die dann zu erwartende Tendenz, diese Daten für umfassende Profile von Verbrauchern zu verwenden, sollte zu einer restriktiven Auslegung im Sinne der Richtlinien des EDSA mit der Folge führen, dass die Verarbeitung der Verbraucherdaten sich dann nicht auf Buchstabe b stützen kann, soweit sie nicht objektiv zur Abwicklung des Vertrags gehören und dafür objektiv nicht erforderlich sind.104 Wie weit die auch von der DIRL verfolgte Verknüpfung von nationalem Schuldrecht mit dem europäischen Datenschutzrecht wirkt, ist Gegenstand einer noch laufenden Diskussion, an deren Ende die Aushebelung des Kopplungsverbotes stehen könnte.105 Unklar ist insbesondere, wie weit die Einwilligung in die weitere Verarbeitung etwa für Marketingzwecke auch von Dritten, denen die Daten übermittelt werden, unter AGB-rechtlichen Erwägungen gehen darf. Es sei schließlich darauf hingewiesen, dass sich ein datenschutzrechtlicher Erlaubnistatbestand für die Verarbeitung „überschießender“, als Gegenleistung verlangter Daten in der DIRL (ErwG 38) und im Umsetzungsgesetz nicht finden lässt. § 327q BGB spricht dafür, dass der Gesetzgeber von einer datenschutzrechtlichen Einwilligung ausgeht, die widerrufen werden kann.

64

Bei einem Kauf im Fernabsatz wären der Name und die Anschrift des Käufers, die Art und Menge des gekauften Artikels, die Zahlungsweise, die Versandangaben und in diesem Zusammenhang ggf. die Kontoverbindung erforderlich, um den Kauf abzuwickeln (Basisdaten). Wird die Gegenleistung per Nachnahme erbracht, bedarf es der Erhebung von Bankdaten nicht; ihre Erhebung und Verarbeitung wären für die Abwicklung des rechtsgeschäftlichen Schuldverhältnisses nicht erforderlich. Weiterer Attribute (personenbezogene Daten) bedarf es in der Regel nicht, um die Abwicklung vorzunehmen, wenn nicht besondere Umstände vorliegen (Altersverifikation, Abgabebedingungen). Insofern ist die Feststellung, was erforderlich ist, objektivierbar. Werden weitere Angaben über den Käufer erhoben und verarbeitet, die im Zusammenhang mit dem Vertragsverhältnis nicht erforderlich sind, ergibt sich die Zulässigkeit nicht aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Sie dürfen dann nur mit Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO) oder aufgrund einer Interessenabwägung (Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO) verarbeitet werden. Zur Frage eines Konditionenmissbrauchs gem. § 19 Abs. 1 GWB, wie ihn das Bundeskartellrecht wegen unangemessener Datenverarbeitung durch Plattformanbieter annimmt, ist hier nicht Stellung zu nehmen.

65

Im Einzelnen wird der erforderliche Umfang davon abhängig sein, was die Vertragsparteien an Rechten und Pflichten vereinbart haben und was sich als (Haupt- und Neben-)Zweck aus dem Vertrag ergibt. Dabei ist zu beachten, dass die Verarbeitung von Daten, die nicht unmittelbar dem Vertragsverhältnis dienen, aber aus der Sicht der einen Partei für sie nützlich sein könnte, etwa um auch auf anderen Kommunikationskanälen Kontakt aufnehmen zu können oder andere für die werbliche Ansprache und Profilbildung nützliche Daten zu erhalten, als „nicht erforderlich“ anzusehen ist. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO scheidet hier als Erlaubnistatbestand aus. Geprüft werden könnte alternativ eine Erlaubnis aus Buchstabe f.

66

Erforderlich ist die Datenverarbeitung aufgrund einer Erlaubnis nach Buchstabe b – und im Zusammenhang mit einem Rechtsgeschäft nicht etwa nach Buchstabe c – auch, wenn die Verarbeitung zur Erfüllung einer gesetzlichen und auf Rechtspflicht der einen Partei notwendig ist. Dürfen bestimmte Produkte wie Alkoholika oder Computerspiele nach dem Jugendschutzgesetz nur an Personen ab einem bestimmten Alter verkauft werden oder entwicklungsbeeinträchtigende Angebote über Medien nach dem Jugendmedienschutzstaatsvertrag nicht unter einem bestimmten Alter verbreitet werden, so ist im Fernabsatz die Erhebung des Alters etwa durch eine Altersverifikation eine Pflicht. Die Verträge könnten zwar auch ohne Verarbeitung von Daten nach einer Altersverifikation geschlossen und erfüllt werden, was aber Jugendschutzvorschriften verletzen und damit einen Pflichtverstoß darstellen würde. Die Erhebung des Alters kann vom Vertragszweck auch gedeckt sein, wenn das Datum benötigt wird, um die korrekte Identifizierung einer Person bei Namensgleichheit zu ermöglichen.106