Online-Dienste: EU-Leitlinien zur Vertragsdaten-Verarbeitung

Datenschutz

von Mariusz Bucki

Webseiten- und Online-Diensteanbieter haben es derzeit nicht ganz einfach! Im Mittelpunkt stehen vor allem die Urteile des Europäischen Gerichtshofs (EuGH) zur Einwilligung von Cookies und der Gemeinsamen Verantwortung bei Einbindung von Inhalten Dritter (z.B. YouTube oder Schriftarten).

Der EDSA, ehemals Art. 29-Datenschutzgruppe, hat sich nun intensiver mit der Reichweite der Vertragsdaten-Verarbeitung gem. Art. 6 Abs. 1 lit. b) DSGVO beschäftigt und stellt einheitliche Leitlinien für Unternehmen und Behörden der EU-Mitgliedsstaaten bereit (derzeit nur in englischer Sprache verfügbar). Vor der Veröffentlichung wurde ein öffentliches Konsultationsverfahren durchgeführt. Die Leitlinien lösen zwar nicht alle Probleme im Bereich der Cookies und der Einbindung von Inhalten Dritter, unterstützen die Verantwortlichen und Datenschutzbeauftragten jedoch bei vielen praxisrelevanten Fragestellungen.

  • Dürfen wir die Daten im Rahmen des Vertrages überhaupt verarbeiten?
  • Brauchen wir eine Einwilligung für die Weitergabe der Daten an unsere Dienstleister?
  • Können Cookies nicht im Rahmen des Kunden-Kontos gesetzt werden?

Das sind nur drei der typischen Fragen, die Datenschutzbeauftragte regelmäßig erhalten. Unabhängig davon, ob es sich um die Zustellung von Angebotsinformationen oder dem Betrieb eines Online-Shops handelt.

Zur Vertragserfüllung dürfen grundsätzlich nur die Daten verarbeitet werden, die auch tatsächlich erforderlich sind. Die Leitlinien betonen aber, dass es nicht zwingend auf die Vereinbarungen des Vertrages ankommt (z.B. Nutzungsbedingungen). Im Rahmen eines Vertragsverhältnisses können Daten für diverse Zwecke verarbeitet werden. Diese müssen jedoch objektiv notwendig sein, wie die Datenweitergabe an Zahlungsdienstleister oder Paketzusteller. Wünscht die betroffene Person allerdings eine Zustellung der Ware an eine Paket-Station und zahlt grundsätzlich mit Kreditkarte, muss die Verarbeitung der Anschrift auf eine alternative Rechtsgrundlage gestützt werden. Zugegebenermaßen ist diese Argumentation aus dem ersten von acht Beispielen der Leitlinien fraglich.

Für die Praxis sind aber genau die „Was geht nicht?“ Hinweise besonders interessant, wie:

  • Optimierung der eigenen Dienstleistung
  • Bildung von Nutzungsprofilen zur Webanalyse (Tracking)
  • Betrugsprävention

Eingegangen wird auch auf weitere, für die Vertragserfüllung irrelevante, spezielle Datenverarbeitungen, wie das Anzeigen von personalisierter Werbung.

Fazit:

Die Leitlinien beantworten sicherlich nicht alle Fragen, bieten jedoch eine solide Orientierungshilfe. Ziel der Leitlinien ist die einheitliche Anwendung der DSGVO innerhalb der EU-Mitgliedsstaaten und Unterstützung der Datenschutz-Aufsichtsbehörden bei der Auslegung der unbestimmten Rechtsbegriffe im Gesetzestext. Ihr Stellenwert sollte deshalb nicht unterschätzt werden.

Zurück