Datenschutz

Online-Dienste: EU-Leitlinien zur Vertragsdaten-Verarbeitung

Verfasst von: Mariusz Bucki
Berater für IT-Sicherheit und Datenschutz

Der Europäische Datenschutzausschuss (EDSA) hat am 16.10.2019 Leitlinien zur Verarbeitung von personenbezogenen Daten im Rahmen (vor-)vertraglicher Maßnahmen im Bereich der Online-Dienste veröffentlicht.

Webseiten- und Online-Diensteanbieter haben es derzeit nicht ganz einfach! Im Mittelpunkt stehen vor allem die Urteile des Europäischen Gerichtshofs (EuGH) zur Einwilligung von Cookies und der Gemeinsamen Verantwortung bei Einbindung von Inhalten Dritter (z.B. YouTube oder Schriftarten).

Der EDSA, ehemals Art. 29-Datenschutzgruppe, hat sich nun intensiver mit der Reichweite der Vertragsdaten-Verarbeitung gem. Art. 6 Abs. 1 lit. b) DSGVO beschäftigt und stellt einheitliche Leitlinien für Unternehmen und Behörden der EU-Mitgliedsstaaten bereit (derzeit nur in englischer Sprache verfügbar). Vor der Veröffentlichung wurde ein öffentliches Konsultationsverfahren durchgeführt. Die Leitlinien lösen zwar nicht alle Probleme im Bereich der Cookies und der Einbindung von Inhalten Dritter, unterstützen die Verantwortlichen und Datenschutzbeauftragten jedoch bei vielen praxisrelevanten Fragestellungen.

  • Dürfen wir die Daten im Rahmen des Vertrages überhaupt verarbeiten?
  • Brauchen wir eine Einwilligung für die Weitergabe der Daten an unsere Dienstleister?
  • Können Cookies nicht im Rahmen des Kunden-Kontos gesetzt werden?

Das sind nur drei der typischen Fragen, die Datenschutzbeauftragte regelmäßig erhalten. Unabhängig davon, ob es sich um die Zustellung von Angebotsinformationen oder dem Betrieb eines Online-Shops handelt.

Zur Vertragserfüllung dürfen grundsätzlich nur die Daten verarbeitet werden, die auch tatsächlich erforderlich sind. Die Leitlinien betonen aber, dass es nicht zwingend auf die Vereinbarungen des Vertrages ankommt (z.B. Nutzungsbedingungen). Im Rahmen eines Vertragsverhältnisses können Daten für diverse Zwecke verarbeitet werden. Diese müssen jedoch objektiv notwendig sein, wie die Datenweitergabe an Zahlungsdienstleister oder Paketzusteller. Wünscht die betroffene Person allerdings eine Zustellung der Ware an eine Paket-Station und zahlt grundsätzlich mit Kreditkarte, muss die Verarbeitung der Anschrift auf eine alternative Rechtsgrundlage gestützt werden. Zugegebenermaßen ist diese Argumentation aus dem ersten von acht Beispielen der Leitlinien fraglich.

Für die Praxis sind aber genau die „Was geht nicht?“ Hinweise besonders interessant, wie:

  • Optimierung der eigenen Dienstleistung
  • Bildung von Nutzungsprofilen zur Webanalyse (Tracking)
  • Betrugsprävention

Eingegangen wird auch auf weitere, für die Vertragserfüllung irrelevante, spezielle Datenverarbeitungen, wie das Anzeigen von personalisierter Werbung.

Fazit:

Die Leitlinien beantworten sicherlich nicht alle Fragen, bieten jedoch eine solide Orientierungshilfe. Ziel der Leitlinien ist die einheitliche Anwendung der DSGVO innerhalb der EU-Mitgliedsstaaten und Unterstützung der Datenschutz-Aufsichtsbehörden bei der Auslegung der unbestimmten Rechtsbegriffe im Gesetzestext. Ihr Stellenwert sollte deshalb nicht unterschätzt werden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.