Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 73

18

Der Begriff der Vertragserfüllung ist weit zu verstehen und nicht mit dem zivilrechtlichen Begriff der Vertragserfüllung gleichzusetzen. Vielmehr umfasst der Begriff der Vertragserfüllung i.S.d. Art. 6 Abs. 1 lit. b DSGVO bereits den Vertragsabschluss selbst, der der eigentlichen Vertragserfüllung zeitlich vorgelagert ist.15 Auch wenn dies in der Literatur teilweise vertreten wird, gehören die Anbahnung und die Verhandlung eines Vertrages nicht zur Vertragserfüllung i.S.d. Art. 6 Abs. 1 lit. b DSGVO.16 So unterscheidet die DSGVO in Art. 6 Abs. 1 lit. b DSGVO zwischen der Durchführung vorvertraglicher Maßnahmen einerseits und der Vertragserfüllung andererseits und legt hierfür unterschiedliche Verarbeitungsvoraussetzungen fest. Vor diesem Hintergrund müssen die fraglichen Datenverarbeitungsaktivitäten nach hier vertretener Ansicht zumindest unmittelbar mit dem Vertragsabschluss im Zusammenhang stehen, damit sie auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO gestützt werden können – dies ist bei der Anbahnung und der Verhandlung eines Vertrages aber eben nicht der Fall.17

19

Weiterhin umfasst der Begriff der Vertragserfüllung die Herbeiführung des vertraglich geschuldeten Leistungserfolgs,18 die Vertragsänderung, die Abwicklung des Vertrages, also auch die Anfechtung, Beendigung bzw. Kündigung und die sonstige Ausübung eines Gestaltungsrechts, sowie die Erfüllung von Nebenpflichten und sekundären Pflichten, allen voran von Mängelgewährleistungsansprüchen.19

Leitlinien des Europäischen Datenschutzausschusses

20

Nach Auffassung des Europäischen Datenschutzausschusses („EDSA“) vermag Art. 6 Abs. 1 lit. b DSGVO grundsätzlich keine Datenverarbeitung nach vollständiger Beendigung des Vertrages zu rechtfertigen, z.B. zu Zwecken der Erfüllung von Aufbewahrungspflichten.20 Hierfür sei regelmäßig eine andere Rechtsgrundlage erforderlich. Die Speicherung zur Erfüllung von Aufbewahrungspflichten muss nach Ansicht des EDSA demzufolge z.B. i.d.R. auf Art. 6 Abs. 1 lit. c DSGVO („Erfüllung einer rechtlichen Verpflichtung“) i.V.m. mit der nationalen Rechtsvorschrift gestützt werden, die die jeweilige Aufbewahrungspflicht begründet (z.B. § 257 HGB und § 147 AO). Die Verarbeitung personenbezogener Daten im Zusammenhang mit dem durch die Kündigung ausgelösten Verwaltungsaufwand, wie z.B. der Rücksendung von Waren oder Rückzahlungen, könne hingegen auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden.21

21

Außerdem sei es nach Auffassung des EDSA generell unzulässig, zu einer neuen Rechtsgrundlage „zu wechseln“, wenn die Datenverarbeitung nicht mehr auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann, weil die betroffene Person ihre Daten ggf. nur deshalb zur Verfügung gestellt habe, weil sie davon ausgegangen sei, dass deren Verarbeitung ein notwendiger Teil der Vertragsbeziehung sei.22 Ausnahmsweise sei es allerdings zulässig, Daten für bestimmte spezifische Zwecke auch nach Vertragsbeendigung weiterzuverarbeiten, so z.B. zur Erfüllung von Aufbewahrungspflichten oder Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. In diesem Fall müssten Verantwortliche hierfür eine (gesonderte) Rechtsgrundlage bestimmen und die betroffenen Personen vor Beginn der Datenverarbeitung über diese Datenverarbeitung und die Dauer der weiteren Aufbewahrung im Einklang mit den Transparenzanforderungen der DSGVO (insb. aus Art. 13 bzw. 14 DSGVO) informieren.23

22

Unklar bleibt, ob es sich bei dieser Information nach Auffassung des EDSA um ein konstitutives Zulässigkeitserfordernis handelt, also die Weiterverarbeitung nach Beendigung des Vertrages nur dann zulässig ist, wenn der Verantwortliche die betroffene Person hierüber vor Beginn der Verarbeitung informiert hat. Eine solche Auslegung wäre nach hier vertretener Meinung allerdings nicht mit Art. 6 DSGVO vereinbar, zumal die Erfüllung der Informationspflichten gem. Art. 13 bzw. Art. 14 DSGVO nach hier vertretener Ansicht keine Rechtmäßigkeitsvoraussetzung für die Datenverarbeitung ist.24

23

Aber auch gegen die restriktive Auffassung des EDSA an sich, dass eine Datenverarbeitung nach Beendigung eines Vertrages nur ausnahmsweise auf eine andere Rechtsgrundlage gestützt werden könne, wenn Art. 6 Abs. 1 lit. b DSGVO diese nicht mehr zu rechtfertigen vermag, bestehen nach hier vertretener Auffassung zumindest ernsthafte Zweifel, da die einzelnen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO nach hier vertretener Meinung gleichberechtigt nebeneinanderstehen25 und die Auffassung des EDSA auch nur schwer mit der Erlaubnis in Einklang zu bringen ist, personenbezogene Daten unter den in Art. 6 Abs. 4 DSGVO statuierten Voraussetzungen zu einem anderen Zweck weiterzuverarbeiten.

24

Achtung: Von den geschilderten Fällen zu unterscheiden ist – wohl auch nach Ansicht des EDSA – die Verarbeitung personenbezogener Daten zu Zwecken der Gewährleistung. So dürfen personenbezogene Daten zu diesem Zweck auch dann noch auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, wenn die Hauptleistungspflichten, z.B. die Erbringung der jeweiligen Dienste gegen Bezahlung eines Entgelts, bereits vollständig erfüllt wurden, da auch die Gewährleistung selbst einen Teil der Vertragserfüllung darstellt. So kann wohl auch nach Auffassung des EDSA die (weitere) Speicherung bestimmter Daten zu diesem Zweck für eine bestimmte Speicherfrist nach dem Austausch von Waren/Diensten/Zahlungen für die Vertragserfüllung erforderlich sein.26 Zwar verwendet der EDSA den Begriff der „vertraglichen Garantie“ (in der englischsprachigen Fassung: „contractual warranty“), doch ergibt sich nach hier vertretener Lesart aus dem Zusammenhang, dass hiermit wohl (auch) die Gewährleistung gemeint ist. Weitere Konkretisierungen im Hinblick auf die (nach seiner Ansicht) in diesem Zusammenhang zulässige Aufbewahrungszeit und etwa erforderliche (zusätzliche) Voraussetzungen für die weitere Aufbewahrung der Daten nimmt der EDSA nicht vor.

25

Nach hier vertretener Ansicht sprechen aber gute Gründe dafür, dass die weitere Aufbewahrung der relevanten Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO bis zum Ablauf der maßgeblichen Gewährleistungsfrist zulässig ist.27 Im Rahmen von Kaufverträgen gilt nach § 438 Abs. 1 Nr. 3 BGB für Mängelgewährleistungsansprüche z.B. in der Regel eine zweijähre Verjährungsfrist, die mit der Ablieferung der Sache beginnt. Andernfalls ließe sich die Aufbewahrung dieser Daten bis zum Ende der Gewährleistungsfrist wohl nur noch auf Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf Basis einer Interessenabwägung) stützen oder der Verantwortliche müsste die Daten ggf. sogar vorher löschen.28 Es darf jedoch nach hier vertretener Ansicht nicht von ggf. entgegenstehenden Interessen der betroffenen Person abhängig sein, ob der Verantwortliche Daten zu diesem Zweck verarbeiten und gespeichert halten darf oder nicht. So kann sich der Verantwortliche ggf. nicht mehr effektiv verteidigen, wenn z.B. ein Kunde nach einer gewissen Zeit noch (unberechtigte) Gewährleistungsansprüche gegen ihn geltend macht, ihm aber keine entsprechenden Daten zu dem (abgewickelten) Geschäft mehr vorliegen.

26

Außerdem kann es nach hier vertretener Ansicht auch nach Beendigung des Vertrages noch zulässig sein, eine Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO zu stützen, wenn diese zur Erfüllung nachvertraglicher Sorgfaltspflichten erforderlich ist.29

27

Aus dem eindeutigen und klaren Wortlaut der Norm folgt zudem, dass eine Datenverarbeitung nur dann auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO gestützt werden kann, wenn ein Vertrag abgeschlossen wird/wurde. Entscheidend hierfür und Art. 6 Abs. 1 lit. b DSGVO zu Grunde liegend ist, dass sich die betroffene Person willentlich dazu entschieden hat, in eine (zivilrechtliche) Rechtsbeziehung mit dem Verantwortlichen zu treten.30 Hieraus folgt, dass der Begriff des „Vertrags“ i.S.d. Art. 6 Abs. 1 lit. b DSGVO so auszulegen ist, dass er auch rechtsgeschäftsähnliche Schuldverhältnisse (wie z.B. Gefälligkeitsverhältnisse, mitgliedschaftliche Beziehungen oder die Teilnahme an einem Preisausschreiben) umfasst.31 Allerdings ist der in der Praxis wohl wichtigste Fall der Datenverarbeitung im Rahmen eines rechtsgeschäftsähnlichen Schuldverhältnisses die Datenverarbeitung im Rahmen eines vorvertraglichen Schuldverhältnisses i.S.d. § 311 Abs. 2 BGB. Eben diese Datenverarbeitung ist in Art. 6 Abs. 1 lit. b Alt. 2 DSGVO gesondert geregelt und nur unter den dort genannten Voraussetzungen erlaubt.32

28

Bei einseitigen Schuldverhältnissen (wie z.B. der Auslobung oder dem Testament) ist zu unterscheiden: Wird das einseitige Schuldverhältnis durch die betroffene Person selbst begründet, handelt es sich nach hier vertretener Auffassung um einen Vertrag i.S.d. Art. 6 Abs. 1 lit. b DSGVO, da das Schuldverhältnis auf deren willentlicher Entscheidung beruht.33

29

Wird das einseitige Schuldverhältnis hingegen von einer anderen Person begründet, ist Art. 6 Abs. 1 lit. b DSGVO nach hier vertretener Auffassung i.d.R. nicht anwendbar – dies gilt zumindest dann, wenn die betroffene Person nicht frei entscheiden konnte, ob es in dieses Rechtsgeschäft (faktisch) mit „einbezogen“ wird.34 In diesem Fall kann die Datenverarbeitung aber ggf. durch andere Rechtsvorschriften erlaubt werden, z.B. durch Art. 6 Abs. 1 lit. f DSGVO („Verarbeitung auf Basis einer Interessenabwägung“).

30

Datenverarbeitungen im Rahmen von gesetzlichen Schuldverhältnissen können nicht auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, ggf. aber auf andere Erlaubnisnormen wie vor allem Art. 6 Abs. 1 lit. f DSGVO.35

Leitlinien des Europäischen Datenschutzausschusses

31

Der Europäische Datenschutzausschuss verlangt in seinen Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO – grundsätzlich zu Recht –, dass der Vertrag, zu dessen Erfüllung die Datenverarbeitung erfolgt, wirksam sein muss.36 Um in diesem Zusammenhang seine Pflichten aus Art. 5 Abs. 2 DSGVO zu erfüllen, muss der Verantwortliche nach Ansicht des Europäischen Datenschutzausschusses sowohl die Existenz als auch die Wirksamkeit des Vertrages nachweisen.37

32

Des Weiteren muss die betroffene Person eine Partei des jeweiligen Vertrages sein, damit die Datenverarbeitung auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann. Nicht ausreichend ist es daher nach dem eindeutigen Wortlaut der Vorschrift, wenn zwei Parteien einen Vertrag abschließen, der die betroffene Person begünstigt, diese an dem Vertrag aber ansonsten nicht beteiligt ist. Demgegenüber ist es nicht erforderlich, dass auch der Verantwortliche Partei des Vertrages mit der betroffenen Person ist. Vielmehr kann der Vertrag, für den die Datenverarbeitung erforderlich ist, auch zwischen der betroffenen Person und einer anderen Person bzw. einem anderen Unternehmen geschlossen worden sein. Somit kann diese Vorschrift auch Datenverarbeitungen durch einen Verantwortlichen erlauben, dem eine bestimmte Aufgabe im Rahmen der Vertragserfüllung vom Vertragspartner der betroffenen Person übertragen wurde und in diesem Zusammenhang Daten dieser Person im Wege der Funktionsübertragung verarbeitet.38

Beispiele

Auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO können z.B. in der Regel Datenverarbeitungen im Rahmen der folgenden Aktivitäten gestützt werden:

 – Ausfertigen eines Vertrages,

 – Vertragsmanagement,

 – Erbringung der vertraglich geschuldeten Leistungen,

 – Erfüllung von Gewährleistungsansprüchen,

 – Vertragsabwicklung,

 – Vertragsbeendigung.

Nicht auf Art. 6 Abs. 1 lit. b Alt. 1 DSGVO können in der Regel z.B. Datenverarbeitungen im Rahmen der folgenden Aktivitäten gestützt werden:

 – Vertragsverhandlungen,

 – Verträge, an denen die betroffene Person nicht beteiligt ist.