Bei der Suche nach der richtigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten geht eine Selbstverständlichkeit oftmals unter: die Verarbeitung zur Vertragserfüllung. Viele Verständnisprobleme im Datenschutzrecht sind auf die fehlende Kenntnis dieser Vorschrift zurückzuführen.
Einwilligungen ersetzen den Vertrag oft als Rechtsgrundlage
Es kommt ja immer noch einiges durcheinander bei der DSGVO und ihrer Umsetzung. Weiterhin werden einem grundlos Auftragsverarbeitungsverträge angeboten, oder langjährige Kunden bestehen auf einer Einwilligung, ohne die eine Weiterführung der Geschäftsbeziehung angeblich nicht möglich sei. Dabei geht oft unter, dass viele Verarbeitungsvorgänge meist völlig unproblematisch sind, da Sie auf einer Ermächtigungsgrundlage beruhen, die regelmäßig übersehen oder falsch gelesen wird: die Verarbeitung zur Erfüllung eines Vertrages gemäß Artikel 6 Abs. 1 lit b) DSGVO. Im Fokus steht hier meistens die Weitergabe der personenbezogenen Daten an einen Dritten.
Viele Verarbeitungsvorgänge unproblematisch
Eine Verarbeitung ist entsprechend dieser Norm rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.
Gegenstand des Vertrages der erfüllt werden will, ist nicht eine Verarbeitung der personenbezogenen Daten an sich (dieser Denkfehler führt bisweilen zu den Abgrenzungsschwierigkeiten mit der Einwilligung). Es muss sich vielmehr aus der Natur des Vertrages ergeben, dass zu seiner Erfüllung die Verarbeitung der Daten schlichtweg erforderlich ist. Hierbei kann es sich auch um eine Nebenverpflichtung aus dem Vertrag handeln.
Nebenverpflichtung als Rechtsgrundlage
Ein gutes Beispiel für Verarbeitungsvorgänge auf Grund von Nebenverpflichtungen ist das klassische Mietverhältnis. Hauptleitungspflicht des Vermieters ist natürlich, das Mietobjekt zur Verfügung zu stellen. Den Vermieter treffen aber noch eine ganze Reihe anderer Verpflichtungen aus dem Vertrag. Er muss ggf. den Elektriker vorbeischicken, der Rauchmelder muss überprüft, der Stromzähler abgelesen, oder es müssen bauliche Maßnahmen vorgenommen werden. Das sind alles Verarbeitungsvorgänge. Denn der Elektriker, der Kontrolleur, der Ableser oder der Architekt wird zwangsläufig personenbezogene Daten vom Vermieter bekommen und das ist für die Erfüllung des Mietvertrages auch notwendig bzw. erforderlich.
Weitergabe oftmals sogar Pflicht
Bevor Sie sich also die Frage stellen, ob Sie die Einwilligung einer Person für die Verarbeitung benötigen, oder ob Sie einen Auftragsverarbeitungsvertrag mit einem Dienstleister schließen müssen, sollten Sie zunächst prüfen, ob die Datenweitergabe nicht ohnehin erforderlich ist, um Ihren Verpflichtungen aus einem Vertragsverhältnis mit dem Betroffenen nachzukommen. Sollten Sie eine Pflichtverletzung begehen, wenn Sie die Daten nicht weitergeben, spricht doch einiges dafür, dass Sie genau das tun sollten.
Über den Autor
Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:
Danke für diesen kurzen Artikel.
Zwar ist der „große Ansturm“ von Anfragen zum Abschluss eines Vertrages zur Auftragsverarbeitung oder zur Einwilligung in die Verarbeitung anscheinend vorbei, aber uns erreichen immer noch regelmäßig solche Anfragen von Kunden, Vertriebspartnern, Geschäftspartnern etc.
Leider übersehen viele dabei, dass der Katalog von Rechtsgrundlagen neben der Einwilligung und dem Vertrag zur Auftragsverarbeitung noch weitere Möglichkeiten der zulässigen Übermittlung bietet. So sollte bspw. auch § 26 Abs. 1 BDSG oder Art. 6 Abs. 1 lit. b) DS-GVO beachtet werden, wenn Mitarbeiter bspw. im Rahmen der täglichen Kundenkommunikation Ihre personenbezogenen Daten an den Kunden übermitteln. In diese Übermittlung kann insbesondere der Arbeitgeber nicht im Namen seiner Arbeitnehmer ohne weiteres einwilligen, da sonst der Arbeitgeber in unzulässiger Weise über die Datenverarbeitung seiner Arbeitnehmer bestimmen würde. Solche Einwilligungsvereinbarungen erreichen uns auch häufig.
Ich gehe jedoch davon aus, dass sich im Laufe der nächsten Wochen und Monate das Thema Datenübermittlung etwas beruhigen wird.
Nur auf welche Rechtsgrundlage stützt sich der Empfänger? Er hat keinen Vertrag mit dem Betroffenen (Mieter), darum fällt diese Variante aus. Bleibt wohl nur das „berechtigte Interesse“, was mir dafür aber eher nicht gemacht zu sein scheint.
Für uns ist durchaus vorstellbar, dass sich der Empfänger ebenso auf den Mietvertrag zwischen Vermieter und Mieter berufen kann. Der Wortlaut des Art. 6 Abs. 1 lit. b) DSGVO setzt zumindest nicht voraus, dass der Verarbeitende Vertragspartei sein muss.
Moin, ich wollte mich auf diesen Kommentar noch zurückmelden und bestätigen, dass zumindest die Literatur euer Auslegung Recht gibt. Danke für die damalige Antwort!
Dann bleibt aber noch immer die Frage, wie der Dritte (z.B. Elektriker) seiner Informationspflicht nachkommen soll. Soll er allen Mietern vorab eine Datenschutzerklärung übermitteln? Ich bin gespannt auf Eure Ideen.