Sie lesen den dritten Artikel unserer Serie zu den Rechtsgrundlagen der DSGVO. Im Rahmen dieser Serie konnten Sie bisher die in der DSGVO festgelegten Regelungsgrundsätze sowie eine der in der Praxis wichtigsten Rechtsgrundlagen, die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, kennenlernen.
Als wir uns im Zusammenhang mit der Einholung einer Einwilligung zuletzt gefragt haben, wann eine solche definitiv fehl am Platz wäre, haben wir gesagt, dass dies häufig dann der Fall wäre, wenn eine andere Rechtsgrundlage, beispielsweise eine vertragliche oder vorvertragliche Beziehung vorliegen würde und die personenbezogenen Daten der betroffenen Person zur Erfüllung des Vertrages bzw. zur Durchführung von vorvertraglichen Maßnahmen (Zweckbindungsgrundsatz) verarbeitet werden müssen (also „erforderlich“ sind).
An diesem Punkt möchten wir anknüpfen und insbesondere folgende praxisrelevante Fragen klären:
- Was ist unter den Begriffen „Vertrag“ und „Erfüllung“ zu verstehen?
- Wann liegt eine „vorvertragliche Maßnahme“ vor?
- Muss der Verantwortliche Vertragspartei des Vertrages sein?
- Wann ist eine Verarbeitung „erforderlich“ im Sinne des Gesetzes?
- Welche sind typische Fallkonstellationen des Art. 6 Abs. 1 lit. b DSGVO?
Nun zu den aufgeworfenen Fragen im Einzelnen:
Begriffe „Vertrag“ und „Erfüllung“
Die DSGVO ist eine europaweit geltende gesetzliche Regelung und muss in jedem Staat der EU unmittelbar zur Anwendung kommen und zu einem einheitlichen Ergebnis bei der Rechtsanwendung führen. Soweit die Idee. Allerdings gibt es keine europaweit geltenden Begriffe „Vertrag“ und/oder „Erfüllung“, da es kein einheitliches europäisches Zivilrecht gibt. Die Begriffe „Vertrag“ und „Erfüllung“ dürfen daher nicht rechtstechnisch eng im Sinne des BGB verstanden werden, sondern sind im Sinne der Rechtssicherheit weit auszulegen.
Als praktische Konsequenz ergibt sich daraus zum einen, dass neben den vorvertraglichen Maßnahmen (siehe unten), auch vertragsähnliche Schuldverhältnisse unter den Begriff „Vertrag“ fallen (beispielsweise die Geschäftsführung ohne Auftrag). Zum anderen wird durch den Begriff „Erfüllung“ nicht nur Vertragserfüllung im rechtstechnischen Sinne als Erfüllung der Hauptleistungspflicht, sondern auch die Erfüllung der Nebenleistungspflichten erfasst (beispielsweise Gewährleistungspflichten, sekundäre Leistungspflichten wie Pflicht zur Rechnungsstellung oder Erteilung einer Quittung).
Wann liegt eine „vorvertragliche Maßnahme“ vor?
Da kein einheitliches europäisches Zivilrecht existiert, welches eine Regelung bzgl. der „vorvertraglichen Maßnahmen“ enthalten würde, ist auch dieser Terminus weit auszulegen, so dass darunter jede Maßnahme zu verstehen ist, die auf eine Nachfrage einer betroffenen Person erfolgt. Das bedeutet, dass die betroffene Person in erkennbarer Weise einen Vertragsschluss und die hierfür erforderliche Datenübermittlung zumindest für möglich halten muss. Typischer Fall einer vorvertraglichen Maßnahme im Sinne des Art. 6 Abs. 1 lit. b DSGVO wäre die Übermittlung von personenbezogenen Daten eines (potenziellen) Geschäftspartners, der eine Leistung „anfragt“ an eine Auskunftei, um die Bonität des Anfragenden zu überprüfen. Vom Vertragszweck allerdings nicht mehr gedeckt wäre eine pauschale Datenübermittlung an Auskunfteien, wie beispielsweise die SCHUFA. Hier hilft ggf. der Rückgriff auf Art. 6 Abs. 1 lit. f DSGVO („berechtigtes Interesse“ des Verantwortlichen).
Muss der Verantwortliche unbedingt Vertragspartei sein?
Art. 6 Abs. 1 lit. b DSGVO verlangt nicht, dass der Verantwortliche, der die Daten einer betroffenen Person verarbeitet, selbst Vertragspartei sein muss. Daher ist die Norm auch dann einschlägig, wenn eine Datenverarbeitung stattfindet, weil das zur Durchführung (Erfüllung) eines Vertrages bzw. einer vorvertraglichen Maßnahme zwischen der betroffenen Person und einem Dritten erforderlich ist. Beispielsweise kann ein Rückversicherer, der den Abschluss eines Versicherungsvertrages zwischen einer Versicherung und einem Versicherten bzw. einem Versicherungsinteressenten erst ermöglicht, für diese Zwecke auf die Daten des Versicherten bzw. des Interessenten zugreifen können muss, die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO stützen.
Wir möchten an dieser Stelle auch noch darauf hinweisen, dass die betroffene Person gemäß dem Wortlaut von Art. 6 Abs. 1 lit. b DSGVO zwingend eine Vertragspartei sein muss. Dieses wird zu häufig nicht beachtet, was dazu führen kann, dass diese Rechtsgrundlage auch für Verträge zwischen zwei Unternehmen (beispielsweise zweier GmbH) genutzt wird. Dabei wird dann übersehen, dass der Mitarbeiter der auftraggebenden GmbH nicht Vertragspartei ist, sondern lediglich Mitarbeiter derselben. Hier wäre vermutlich eher ein berechtigtes Interesse zur Verarbeitung der personenbezogenen Daten des Mitarbeiters als Rechtsgrundlage heranzuziehen.
Wann ist eine Verarbeitung i.S.d. Gesetzes „erforderlich“?
Eine Definition der „Erforderlichkeit“ ist in der DSGVO nicht enthalten, allerdings bietet insoweit der Erwägungsgrund 39 zur DSGVO einige Anhaltspunkte für die Beantwortung der Frage, indem er folgendes bestimmt:
„Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann“.
Maßstab der Erforderlichkeit ist vorliegend in erster Linie also die Einschätzung des Verantwortlichen bezüglich der Zumutbarkeit der Zweckerfüllung mit anderen Mitteln, insbesondere deshalb, weil nur dieser die rechtlichen und wirtschaftlichen Risiken einschätzen kann, die mit der Leistungserbringung zusammenhängen. Allerdings darf das nicht dahingehend verstanden werden, dass jede Maßnahme, die zur Erreichung des Zwecks lediglich förderlich wäre, zur Erforderlichkeit führt, denn das würde zu weit gehen. Zu verstehen ist die Erforderlichkeit vielmehr im Sinne eines „must have“ und nicht eines „nice to have“, so dass die Erforderlichkeit nicht generell bei Kosteneinsparungen, Prozessbeschleunigungen oder Effizienzsteigerungen zu bejahen wäre. Lediglich wenn diese Effekte erheblich sind, also beispielsweise ohne die mögliche Kosteneinsparung eine Wettbewerbsfähigkeit nicht mehr gegeben wäre, ist eine Erforderlichkeit anzunehmen. Die Erforderlichkeit muss auch verneint werden bei einer Speicherung von Kundenpräferenzen für Marketingzwecke. Genauso wenig sind Kundenbindungsmaßnahmen in Form von Werbemails „erforderlich“ im Sinne des Art. 6 Abs. 1 lit. b DSGVO.
Typische Fallkonstellationen des Art. 6 Abs. 1 lit. b DSGVO
Bank-, Kredit- und Versicherungsverträge
Die Datenverarbeitung bei Bank- und Kreditverträgen für Zwecke der Feststellung der Bonität des Kredit- oder Versicherungsnehmers oder eventueller Bürgen wäre nach Art. 6 Abs. 1 lit. b DSGVO zulässig.
Beschäftigungs- und Mietverträge
Genauso erfolgt die Verarbeitung der personenbezogenen Daten aufgrund der Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DSGVO, wenn Beschäftigte zu Vorzugspreisen einkaufen dürfen, oder ein privates Konto bei der Bank, die (zufällig) auch Arbeitgeberin ist, eröffnet wird. Solche Verarbeitungen hängen nicht mehr mit dem Beschäftigungsverhältnis zusammen, so dass § 26 BDSG hier als Rechtsgrundlage nicht einschlägig wäre. Es handelt sich also um ein gesondertes, vom Beschäftigungsverhältnis unabhängiges, Vertragsverhältnis und es ist daher auf die allgemeine Regel des Art. 6 Abs. 1 lit. b DSGVO zurückzugreifen. Genau so können im Rahmen eines Mietvertrages Angaben zu Familienmitgliedern in den Mietvertrag aufgenommen werden und zur Durchführung des Vertrages an eine Immobilienverwaltung oder einen Hausmeister übermittelt werden.
Ärztliche Behandlungsverträge
Bei ärztlichen Behandlungsverträgen kann die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden, allerdings sind hier zusätzlich die Bestimmungen des Art. 9 DSGVO zu beachten, da im Zusammenhang mit der Durchführung des Behandlungsvertrages naturgemäß Gesundheitsdaten verarbeitet werden, die zu den besonderen Kategorien personenbezogener Daten gehören.
Sonstige Verarbeitungssituationen
Weitere Verarbeitungssituationen, bei denen der Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage heranzuziehen wäre, können sein:
- die zur Vertragsdurchführung erforderliche Datenübermittlung an Dritte im Zuge der Zusendung gekaufter Ware,
- Aufnahme von Dritten als Zeugen,
- Nennung von Dritten in einem Vertrag zugunsten Dritter,
- Nennung von Dritten im Rahmen einer Drittschadensliquidation,
- Datenübermittlung an einen Versicherer zur Erfüllung von Ansprüchen Dritter,
- Datenverarbeitung im Rahmen einer Abtretung.
Fazit
Die in der DSGVO benutzten Begriffe sind leider, wie es vorliegend gezeigt wurde, nicht selbsterklärend. Die Bestimmung der richtigen Rechtsgrundlage ist daher oft schwierig. Dabei ist nicht nur das Vorliegen einer Rechtsgrundlage als solcher, sondern auch die Angabe der richtigen Rechtsgrundlage in den Informationen nach Art. 13 DSGVO essenziell, um nicht wegen der Angabe einer falschen Rechtsgrundlage ein Bußgeldrisiko einzugehen. Dies ist beispielsweise in Griechenland vor kurzem der Fall gewesen als anstelle der einschlägigen – und entsprechend richtigen – eine falsche Rechtsgrundlage angegeben wurde. Für die zuständige Aufsichtsbehörde in Griechenland war die Angabe einer falschen Rechtsgrundlage in den Informationen nach Art. 13 DSGVO ausreichend, um ein Bußgeld in Höhe von 150.000 EUR zu verhängen.*
* – Zur Berechnung von Bußgeldern haben wir übrigens diesen Artikel veröffentlicht.
Sie benötigen Unterstützung bei der Beurteilung der Rechtsgrundlage Ihrer Verarbeitungen? Sprechen Sie uns an, wir helfen Ihnen gerne!
Dieser Artikel ist Teil unserer Reihe zu den Rechtsgrundlagen. Die weiteren Artikel finden Sie hier:
- Teil 1: Regelungsgrundsätze
- Teil 2: Einwilligung / Art. 6 Abs. 1 lit. a DSGVO
- Teil 3: Vertrag / Art. 6 Abs. 1 lit. b DSGVO (dieser Artikel)
- Teil 4: rechtliche Verpflichtung / Art. 6 Abs. 1 lit. c DSGVO
- Teil 5: lebenswichtige Interessen / Art. 6 Abs. 1 lit. d DSGVO
- Teil 6: öffentliches Interesse, öffentliche Gewalt / Art. 6 Abs. 1 lit. e DSGVO
- Teil 7: berechtigtes Interesse / Art. 6 Abs. 1 lit. f DSGVO
- Teil 8: Verarbeitung besonderer Kategorien personenbezogener Daten / Art. 9 DSGVO