Neue Leitlinien für die Datenverarbeitung im Rahmen von Online-Diensten
Am 9. April 2019 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Anwendung des Art. 6 Abs. 1 lit. b Datenschutz-Grundverordnung (DSGVO) im Zusammenhang mit Online-Dienstleistungen beschlossen. Von diesen Leitlinien sind sämtliche Angebote im Bereich des E-Commerce, insbesondere auch die Datenverarbeitung im Zusammenhang mit dem Online-Vertrieb von Waren erfasst. Die Möglichkeit für Unternehmen, die Verarbeitung von Daten der Nutzer auf die Rechtsgrundlage "Vertragserfüllung" zu stützen, wird dadurch eingeschränkt.
Art. 6 Abs. 1 lit. b DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn dies zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Infolge des technologischen Fortschritts ist es für Online-Diensteanbieter besonders leicht, viele Daten seiner Nutzer zu sammeln. Ein Risiko besteht laut EDSA hierbei darin, das Anbieter von Online-Diensten sämtliche Datenverarbeitungsvorgänge als Vertragsbestandteil ausweisen, indem sie diese im Vertragstext nennen und somit die strengen Regeln für eine gesonderte Einwilligung des Nutzers umgehen. Dies ist nach der neuen Leitlinie nicht erlaubt.
Unter Art. 6 Abs. 1 lit. b DSGVO fällt die Datenverarbeitung demnach nur dann, wenn sie objektiv notwendig ist, um einen wirksamen Vertrag zu erfüllen. Das richtet sich aber nicht allein nach dem in der Regel vom Diensteanbieter bereitgestellten Vertragstext, sondern es bedarf einer wertenden Betrachtung von Art und Zweck des Vertrags unter Berücksichtigung der Grundsätze der Datensparsamkeit, Fairness und Transparenz sowie der berechtigten Erwartungen der Vertragsparteien.
Zu beachten ist zwar, dass die Leitlinien des EDSA rechtlich nicht bindend sind, nichts desto trotz ist damit zu rechnen, dass sich insbesondere die Aufsichtsbehörden an ihnen orientieren werden. Der EDSA ist eine unabhängige europäische Einrichtung, deren Ziel es ist, zur einheitlichen Anwendung der Datenschutzvorschriften in der Europäischen Union beizutragen und die Zusammenarbeit zwischen den Aufsichtsbehörden zu fördern.
In allen Fällen, in denen die neuen Anforderungen nicht erfüllt sind, muss versucht werden, die Verarbeitung auf eine andere Rechtsgrundlage, wie z. B. Einwilligung oder berechtigtes Interesse, zu stützen.