Gerne packen Verantwortliche vieles, was sie an Kundendaten erheben, unter die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich oder zur Durchführung eines Vertrages).
Hier liegen einige Fallstricke, die in der Folge unter Umständen Bußgeld nach sich ziehen können.
Denn eine Verarbeitung mit fehlender (ergo - falscher) Rechtsgrundlage kann gemäß Art. 83 Abs. 5 lit a DSGVO durchaus teuer werden.
Der erste Fallstrick lauert in der Tatsache, dass es sich bei dieser Rechtsgrundlage um den Fall der Verarbeitung personenbezogener Daten bezüglich eines Vertragsverhältnisses zwischen dem Verantwortlichen und dem Betroffenen handelt.
Es ist also nur das (vor-)vertragliche Verhältnis zu dieser Person relevant.
Wortwörtlich: „…die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen…“
So wird z.B.: die Weitergabe von Daten betroffener Personen zur Erfüllung eines Vertrages zwischen dem Verantwortlichem und einem Dritten ein ganz anderer Fall sein.
Das EDPB (European Data Protection Board) hat seine Handreichung zur Anwendung des Art. 6 Abs. 1 lit. b DSGVO (externer Link, EDPB/Europäischer Datenschutzausschuss) aktualisiert. Zwar zielt dieses Papier auf die Anwendung dieser Rechtsgrundlage im Kontext der Bereitstellung von Online Services, bietet jedoch einige gute Beispiele die auch auf andere Praxis-Fälle anwendbar sind.
Ein besonderer Schwerpunkt wird in der Anleitung auf den Begriff der „Erforderlichkeit“ gelegt.
Es wird angemerkt, dass die Erforderlichkeit nicht durch die legalen vertraglichen Möglichkeiten, Vertragsklauseln oder durch die AGB’s festgelegt wird, sondern durch die Grundsätze des Datenschutzes (so z.B.: Transparenz, Treu und Glauben, etc.) und den eigentlichen Zweck der Verarbeitung bestimmt ist.
Eine klare Grenze wird der Erforderlichkeit wie immer gesetzt sobald es andere, mildere Alternativen zur Verarbeitung gibt.
In dem Papier (bisher nur in Englisch verfügbar) wird sehr ausführlich auf weitere Aspekte eingegangen, deren Nennung hier zu weit gehen würde. Aber zur Veranschaulichung einige Beispiele aus der Anleitung des EDPB:
„Example 1
A data subject buys items from an online retailer. The data subject wants to pay by credit card and for the products to be delivered to their home address. In order to fulfil the contract, the retailer must process the data subject’s credit card information and billing address for payment purposes and the data subject’s home address for delivery. Thus, Article 6(1)(b) is applicable as a legal basis for these processing activities.
However, if the customer has opted for shipment to a pick-up point, the processing of the data subject’s home address is no longer necessary for the performance of the purchase contract. Any processing of the data subject’s address in this context will require a different legal basis than Article 6(1)(b).“
„Example 6
In some cases, financial institutions have a duty to identify their customers pursuant to national laws. In line with this, before entering into a contract with data subjects, a bank requests to see their identity documents. In this case, the identification is necessary for a legal obligation on behalf of the bank rather than to take steps at the data subject’s request. Therefore, the appropriate legal basis is not Article 6(1)(b), but Article 6(1)(c).“
"Example 8
An online marketplace allows potential buyers to browse for and purchase products. The marketplace wishes to display personalised product suggestions based on which listings the potential buyers have previously viewed on the platform in order to increase interactivity. This personalisation it is not objectively necessary to provide the marketplace service. Thus, such processing of personal data cannot rely on Article 6(1)(b) as a legal basis."
Fazit:
Sehr viel Text in der aktuellen Handreichung des EDPB. Aber für Verantwortliche und Datenschutzbeauftragte lohnt sich ein Blick, auch wenn es sich nicht um Online-Services handelt.