Österreich
Secure Your Business
 

DSGVO: EU-DS-Ausschuss schränkt
Möglichkeiten zur „Nutzung“ von Rechts-grundlagen
bei Online-Diensten stark ein


Rechtsanwalt Dr. Markus Frank: Gefahren bei Verarbeitung von Personendaten
auf unpassender Rechtsgrundlage – Beispiel Tracking & Profiling


CIS-NL Juni 2019 - Laut DSGVO muss der Verantwortliche festlegen, auf welche Rechtsgrundlage(n) er seine Datenverarbeitungen stützt und diese an die Betroffenen mitteilen. Der Versuch, nachträglich von einer MarkusFrank_Fotohinweis Bianca Jakobicunpassenden zu einer anderen Rechtsgrundlage zu wechseln, kann gegen den Grundsatz der Fairness verstoßen. Die Datenverarbeitung wäre damit unzulässig und daher zu löschen.


Der Europäische Datenschutzausschuss (= ehemals „Art 29 Gruppe“ der Europäischen Union, kurz: EDSA), hat die Aufgabe, für eine einheitliche DSGVO-Anwendung zu sorgen. Er hat vor kurzem die Möglichkeit, sich bei der Verarbeitung von personenbezogenen Daten auf den bei Verantwortlichen beliebten Rechtsgrund „Vertragserfüllung“ zu stützen, stark eingeschränkt. Die neue Leitlinie des EDSA für Online-Services enthält zahlreiche Beispiele dazu. Ob die teils sehr strengen Auslegungen der DSGVO zutreffend sind, werden aber letztlich die Gerichte entscheiden müssen, wenn Bescheide der Datenschutzbehörden angefochten werden.


Eine Klärung der umstrittenen Fragen zu den Rechtsgrundlagen für Datenverarbeitungen nach der DSGVO ist in diesem Beitrag kaum möglich. Zumindest aber soll ein Überblick für die praktische Umsetzung geliefert werden: Personenbezogene (pb) Daten dürfen immer nur auf Basis eines konkreten Rechtsgrundes verarbeitet werden. Andernfalls ist die Verarbeitung nicht zulässig. Online-Services versuchen in der Praxis häufig den Rechtsgrund „erforderlich zur Vertragserfüllung“ (Art 6 Abs 1 lit b DSGVO) zu begründen, indem Sie gegenüber ihren Nutzern vertraglich (z.B. in den AGB) die Pflicht übernehmen, deren pb Daten zu erfassen und zu verarbeiten (z.B. Tracking „zur Verbesserung unserer Services“) – dies auch, wenn diese Verarbeitung für die eigentlich angebotene Hauptleistung gar nicht erforderlich ist. Diese und andere Fälle haben den EDSA veranlasst, am 9. April 2019 eine „Leitlinie zur Verarbeitung von Daten auf Grundlage des Artikels 6 Abs 1 lit b DSGVO im Kontext von Online-Dienstleistungen“ zu beschließen.


„Vertragserfüllung“ und andere Rechtsgrundlagen für die Verarbeitung:
Bei der Datenverarbeitung auf Basis des „Vertragserfordernisses“ müssen auch die Datenschutz-Grundsätze des Art. 5 DSGVO eingehalten werden. Das inkludiert eine faire Verarbeitung auf transparente Weise gegenüber den Betroffenen sowie die Einhaltung der Grundsätze „Zweckbindung“ und „Datenminimierung“. Der Vertrag darf auch nicht gegen nationales Verbraucherrecht oder Wettbewerbsrecht etc. verstoßen. Für die Rechtsgrundlage „Vertragserfüllung“ muss der Verantwortliche darlegen können, dass ein Vertrag existiert. Der Vertrag sollte daher schriftlich oder elektronisch nachweisbar sein.

Erfreulich ist die mehrfache Erwähnung in der Leitlinie, dass eine Verarbeitung, zu welcher die „Vertragserfüllung“ als Rechtsgrund nicht in Frage kommt, möglicherweise auf Einwilligung (Art 6 Abs 1 lit eu-flaggen-WEB_istockphoto FankyDeMeyera DSGVO) oder auf „berechtigtes Interesse“ (Art 6 Abs 1 lit f DSGVO) gestützt werden könne. Aber Achtung ist bei unklaren Formulierungen geboten: Die Zulässigkeit der Verarbeitung kann u.a. auf Vertragserfüllung (Art 6 Abs 1 lit b DSGVO) oder auf Einwilligung (Art 6 Abs 1 lit a DSGVO), unabhängig von der Existenz eines Vertragsverhältnisses, basieren. In der Praxis finden sich aber oft unklare Formulierungen wie etwa, dass der Betroffene der Verarbeitung im Rahmen einer Vertragserfüllung zustimme. Diese unklare Formulierung soll offenbar jene Fälle verschleiern, bei denen eine Einwilligung nicht gültig erteilt werden kann (z.B. Mitarbeiterverhältnis und andere „Drucksituationen“). Das hält der EDSA für unzulässig.

Ein nachträglicher Wechsel von einem im konkreten Fall ungeeigneten Rechtsgrund „Vertragserfüllung“ zu einem passenden Rechtsgrund (z.B. „berechtigtes Interesse“) kann laut EDSA gegen den Grundsatz der Fairness verstoßen. Und für die Verarbeitung sensibler Daten sei eine allgemeine Rechtsgrundlage „Vertragserfüllung“ gar nicht verfügbar. Mangels besonderer Erlaubnis gemäß Art 9 Abs 2 lit b bis j DSGVO bleibe hier nur eine ausdrückliche Einwilligung gemäß lit a.


Erforderlichkeit für die Vertragserfüllung
Der Rechtsgrund „Vertragserfüllung“ kann nur zutreffen, wenn die Datenverarbeitung für die Vertragserfüllung erforderlich ist. Die Erforderlichkeit sei streng zu prüfen und müsse objektiv gegeben sein; daher sei die Verarbeitung auf Basis einer „Vertragserfüllung“ nur dann zulässig, wenn sie nicht bloß aus Sicht des Verantwortlichen, sondern aus Sicht des Betroffenen „erforderlich“ ist. Beispiele:

  • Ein Kunde kauft im online-Shop. Er will mit Kreditkarte zahlen und die Ware bei einem Lager abholen. Die Wohnadresse des Kunden ist für die „Vertragserfüllung“ nicht erforderlich.
  • Der obige Retailer will auf Basis der online-Besuche des Kunden ein Profil von ihm erstellen und erwähnt dies auch ausdrücklich im Kaufvertag. Für die Erfüllung des Kaufvertrages ist die Erstellung des Profils nicht erforderlich. „Vertragserfüllung“ ist daher auch nicht die geeignete Rechtsgrundlage für die Erstellung des Profils.

„Vertragserfüllung“ decke freilich auch manche vernünftigerweise vorhersehbare und notwendige Datenverarbeitungen innerhalb einer normalen Vertragsbeziehung ab – etwa für die Übersendung von Zahlungserinnerungen. Sind mehrere separate Leistungen zur Verarbeitung von pb Daten angeboten, müsse das Erfordernis der „Vertragserfüllung“ hinsichtlich jeder einzelnen Leistung geprüft werden.


Verarbeitung nach Vertragsende:
Datenverarbeitung, die zunächst zur „Vertragserfüllung“ erforderlich war, könne nach Ende des Vertrages aus einem anderen Rechtsgrund zulässig sein. Voraussetzung sei freilich, dass der Betroffene zu Beginn der Verarbeitung transparent informiert wurde. Beispiel:

  • Ein online-Service informiert den Kunden, dass es1contract dessen Daten auf Basis der „Vertragserfüllung Art 6(1)(b)“ verarbeitet, um Rechnungen auszustellen. Und dass seine Verwendungshistorie gelöscht wird, wenn der Vertrag beendet ist und keine relevanten rechtlichen Ansprüche oder gesetzliche Aufbewahrungspflichten mehr bestehen. Weiters informiert der Verantwortliche über die steuerrechtliche 7-jährige Aufbewahrungspflicht für Bücher, Aufzeichnungen und Belege gem. Art 132 BAO; und somit über Art 6 Abs 1 lit c DSGVO (gesetzliches Erfordernis) als neue Rechtsgrundlage für die Verarbeitung nach Vertragsbeendigung. Dies entspreche der DSGVO.

Verarbeitung als vorvertragliche Maßnahme:
Unaufgefordertes Marketing u.ä., welches auf alleinige Initiative des Verantwortlichen oder über Aufforderung eines Dritten erfolgt, könnten jedenfalls nicht als vorvertragliche Maßnahme im Sinn Art 6 Abs 1 lit b DSGVO angesehen werden. Vorvertragliche Maßnahmen auf Anfrage des Betroffenen könnten hingegen erforderlich sein im Sinn Art 6 Abs 1 lit b DSGVO. Beispiele:

  • Der Betroffene gibt seine Postleitzahl an, um zu prüfen, ob der bestimmte Service-Provider in seinem Bereich arbeitet. Diese Verarbeitung entspricht Art 6 Abs 1 lit b.
  • Vor Abschluss eines Vertrages prüft die Bank die Identitätsdokumente des Kunden. Diese Prüfung schreibt das Gesetz vor. Daher sei die richtige Rechtsgrundlage hierfür nicht „Vertragserfüllung“, sondern „Gesetzeserfüllung“ gem. Art 6 Abs 1 lit c.

Spezielle Verarbeitungssituationen – „Verbesserung unserer Services“:
Datenverarbeitung zur „Verbesserung unserer Services“ könne im Regelfall – schon mangels Erforderlichkeit für den Vertragszweck – nicht auf „Vertragserfüllung“ gestützt werden.

Tracking, profiling, online behavioural advertising:
Behavioural advertising wäre für Online-Services generell nicht erforderlich. Auch wenn diese Praktik die angebotene Dienstleistung indirekt finanziere, begründe sie generell nicht eine Erforderlichkeit für die „Vertragserfüllung“. Datenschutz sei ein Grundrecht gemäß Art. 8 der EU-Grundrechte-Charta und eines der Hauptziele der DSGVO sei, den Betroffenen Kontrolle über ihre Daten zu verschaffen. Daher könnten pb Daten nicht als handelbares Gut angesehen werden. Betroffene könnten demnach zwar in eine Datenverarbeitung einwilligen, aber nicht vertraglich auf ihre Grundrechte verzichten.

Tracking und profiling der User könne auch dann nicht auf „Vertragserfüllung“ gestützt werden, wenn es dazu diene, Gruppen von Individuen mit ähnlichen Charakteristiken zu identifizieren. Der Vergleich des Nutzer-Verhaltens zum Zweck der Werbeauslieferung an andere Individuen sei nicht erforderlich für die Durchführung des Vertrages mit einem User. Personalisierung von Angeboten mag – muss aber nicht – ein essentielles Element eines Online-Services sein. Letzteres sei u.a. abhängig von der Art des Service und den Erwartungen des Betroffenen, meint der EDSA. Wo die Lieferung von personalisiertem Inhalt das Engagement der User bei einem Service erhöhen soll und der personalisierte Inhalt für den Vertragszweck nicht objektiv erforderlich ist, solle eine andere Rechtgrundlage als „Vertragserfüllung“ erwogen werden. Beispiele:

  • Eine Online-Zeitung sammelt News mit auf den Kunden zugeschnittenen Inhalten auf Basis eines Interessen-Profils, welches der Kunde selbst erstellt hat. Vertragserfüllung gem. Art 6 Abs 1 lit b DSGVO kann hier anwendbare Rechtsgrundlage sein.
  • Ein Online-Marktplatz möchte potentiellen Käufern personalisierte Produktvorschläge auf Basis von deren früheren Suchen einblenden. Diese Personalisierung ist nicht objektiv erforderlich, um das Marktplatz-Service anzubieten, daher ist „Vertragserfüllung“ hier nicht die Rechtsgrundlage.

Abschließende Anmerkungen von Dr. Markus Frank:
Die Leitlinie bestätigt, wie wichtig es ist, dass jeder Verantwortliche schon zu Beginn der Verarbeitung von pb Daten die passende Rechtsgrundlage sucht und die Betroffenen dazu ausreichend informiert.
Im Zweifel kann der Verantwortliche im Verfahrensverzeichnis, in der Information und Auskunft an Betroffene mehr als nur einen in Frage kommenden Rechtsgrund anführen. Eine unbegründete Aufreihung vieler oder aller Rechtsgrundlagen der DSGVO entspricht freilich nicht. Einige Kommentatoren erachten die Leitlinie besonders hinsichtlich tracking, profiling und Werbemaßnahmen als (teilweise) unklar. Sie argumentieren, dass der EDSA für das Setzen von Tracking-Cookies nur die Einwilligung als geeignete Rechtsgrundlage anerkenne. Eine Analyse des Click-Verhaltens des Users sei einzig auf Basis einer informierten, aktiven und freiwilligen Einwilligung zulässig.

waageDiese Ansicht stellt für viele Betreiber von Web-Services ein erhebliches Problem und Risiko dar. Ich erinnere hier daran, dass die Rechtsansichten des EDSA nicht verbindlich sind und dass Entscheidungen der jeweiligen Datenschutzbehörden, auch wenn Sie auf den offiziellen Rechtsansichten des EDSA basieren, im Rechtsmittelweg bekämpft werden können – damit die Gerichte endgültig entscheiden und Rechtssicherheit schaffen können. Auch deutsche Aufsichtsbehörden sind offenbar nicht der Ansicht, dass „Webtracking“ einzig nur auf Basis einer Einwilligung zulässig wäre! In der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ von März 2019 wird sogar ausdrücklich anerkannt, dass Tracking – unter strengen Voraussetzungen – auch im Rahmen einer „Interessenabwägung“ i.S.d. Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann.
 

Die Österreichische Datenschutzbehörde hat den Einsatz von Werbe-Cookies jüngst nicht nach Art. 6 DSGVO, sondern nach der Spezialnorm § 96 Abs. 3 TKG 2003 beurteilt. Demnach sei der Einsatz von Tracking-Cookies nur zulässig, soweit zuvor eine Einwilligung erteilt wurde. Für die Gültigkeit der Einwilligung gelten – mangels näherer Definition im TKG 2003 – die Voraussetzungen von Art. 4 Z 11 bzw. Art. 7 DSGVO. Im konkreten Fall hatte der Betreiber einer Online-Zeitung dem Interessenten die Wahl gelassen, die Zeitung gratis nutzen zu können; wenn und solange dieser in Tracking eingewilligt hat; andernfalls musste der Leser einen geringen Abo-Preis für die Zeitung zahlen. Die Einwilligung des Nutzers in das Tracking war nach Ansicht der Datenschutzbehörde freiwillig und daher gültig, weil der User sich hier bewusst (d.h. aktiv und informiert!) entscheiden konnte und ihn kein wesentlicher Nachteil aus der Nichtabgabe der Einwilligung getroffen hat (er hätte leicht auf andere Zeitungen ausweichen können); überdies, weil der User durch die Einwilligung mit keinen beträchtlichen negativen Folgen konfrontiert war (der Abopreis war ja relativ gering) und, weil die Einwilligung sogar zu seinem erkennbaren Vorteil war (die Zeitung bietet recherchierte Inhalte).

 

 

Rechtsanwalt Dr. Markus Frank ist als Datenschutz-Experte im CIS-Beirat vertreten und fungiert als Trainer im Rahmen der ISO-27001-Lehrgangsreihen der CIS. Kommentare oder Fragen zu diesem Artikeln richten Sie gern an office@frank-law.at. Dieser Artikel ersetzt nicht rechtliche Beratung. Trotz Bemühen um Vollständigkeit und Richtigkeit wird jede Haftung für Schäden aus oder in Zusammenhang mit diesem Artikel ausgeschlossen.

___________________________

Herausgeber des CIS-Newsletters:

CIS - Certification & Information Security Services GmbH, www.cis-cert.com, office@cis-cert.com
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB