Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 72

12

Einer der wichtigsten Zwecke, für den in der Praxis personenbezogene Daten verarbeitet werden, ist die Begründung, Durchführung und Beendigung von Verträgen – und dies nicht nur, wenn die Verarbeitung von personenbezogenen Daten der wesentliche Gegenstand der Leistungserbringung ist. So ist es in den meisten Fällen allein schon erforderlich zu wissen, wer die Vertragsparteien sind; personenbezogene Daten können erforderlich sein, um die Vertragsparameter bestimmen zu können (so z.B. bei Versicherungsverträgen) etc.

13

Vor diesem Hintergrund enthält die DSGVO – wie auch schon die Datenschutzrichtlinie 95/46/EG – eine Erlaubnisvorschrift, die die Verarbeitung personenbezogener Daten im Rahmen einer Vertragsbeziehung zu rechtfertigen vermag. So besagt Art. 6 Abs. 1 lit. b DSGVO, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn die „Verarbeitung [...] für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen“.

14

Mithin enthält diese Vorschrift zwei voneinander zu unterscheidende Erlaubnistatbestände, die alternativ nebeneinander stehen:

 1. Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist.

 2. Die Verarbeitung ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.

Leitlinien des Europäischen Datenschutzausschusses

15

Der Europäische Datenschutzausschuss12 hat Leitlinien für die Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO im Zusammenhang mit der Erbringung von Onlinediensten gegenüber betroffenen Personen veröffentlicht.13 Zwar beziehen sich diese Leitlinien insbesondere auf Onlinedienste. Doch lassen sich gerade die allgemeinen Ausführungen zu Art. 6 Abs. 1 lit. b DSGVO auch auf die „Offline-Welt“ übertragen.

16

Unternehmen, die personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeiten wollen, ist zu empfehlen, die Leitlinien des Europäischen Datenschutzausschusses aufmerksam durchzuarbeiten und – wenn möglich – diese auch zu befolgen. Zwar besitzt der Europäische Datenschutzausschuss keine Kompetenz, die DSGVO rechtsverbindlich auszulegen, so dass durchaus auch eine Abweichung von diesen Leitlinien datenschutzrechtlich zulässig oder gar geboten sein kann, zumal die Datenschutzaufsichtsbehörden insbesondere nach dem Inkrafttreten der DSGVO relativ strenge Positionen vertreten. Die Kompetenz, die DSGVO rechtsverbindlich auszulegen, verbleibt bei den Gerichten, insbesondere dem EuGH, die nicht an die Leitlinien des Europäischen Datenschutzausschusses gebunden sind. Doch ist mit großer Sicherheit davon auszugehen, dass die deutschen Datenschutzaufsichtsbehörden – ebenso wie die Behörden in den anderen EU-Mitgliedstaaten – die DSGVO grundsätzlich so auslegen und anwenden werden, wie es der Europäische Datenschutzausschuss in den jeweiligen Leitlinien ausgeführt hat, zumal diese eine gewisse Bindungswirkung gegenüber den nationalen Datenschutzaufsichtsbehörden entfalten.14 Somit besteht eine beträchtliche Rechtssicherheit, dass zumindest die Datenschutzaufsichtsbehörden eine Datenverarbeitung nicht beanstanden werden, soweit sich das verantwortliche Unternehmen dabei an die Leitlinien und anderen Vorgaben des Europäischen Datenschutzausschusses gehalten hat.

17

Möchte ein Unternehmen hingegen von den Leitlinien des Europäischen Datenschutzausschusses abweichen, sollte dies datenschutzrechtlich zuvor geprüft und die tatsächlichen Gründe sowie die rechtlichen Argumente hierfür dokumentiert werden.