Der Vertrag als Rechtsgrundlage für die Verarbeitung

Juristen kennen diesen Satz aus der Prüfung im Zivilrecht: Vertrag, Vertrauen, Gesetz. Bevor der Blick ins Gesetz geht, muss geschaut werden, ob im Rahmen der Vertragsfreiheit ein Vertrag zwischen den Parteien vorrangig als Rechtsgrundlage dient. Auch im Datenschutzrecht kann der Vertrag als Rechtsgrundlage für die Verarbeitung von Daten herangezogen werden. In diesem Beitrag wollen wir uns der teilweise stiefmütterlich behandelten und oft missverstandenen Rechtsgrundlage „Vertrag“ aus Art. 6 Abs. 1 lit. b DSGVO widmen.

Einwilligung oder Vertrag, das ist die Frage

Bevor man sich die Frage stellt, ob die Einwilligung die richtige Rechtsgrundlage für die Verarbeitung von Daten einer Person ist, sollte zunächst geprüft werden, ob nicht doch der Vertrag in Betracht kommt.

Der Vertrag als Rechtsgrundlage liegt meist nicht nur näher, sondern birgt auch oft nicht die Hindernisse, die eine Einwilligung mit sich bringt. In einfach gelagerten Fällen, die unten in den Beispielen angesprochen werden, wird die eine oder der andere nach einer längeren Prüfung der Einwilligung schlussendlich die Augen verdrehen, weil vielleicht zu kompliziert gedacht wurde.

Aus Erfahrung kann ich sagen: Es lohnt sich zunächst einen Blick auf den Vertrag zu werfen.

Was versteht man unter Vertrag nach Art. 6 Abs. 1 b DSGVO?

In Art. 6 Abs. 1 lit. b DSGVO heißt es:

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Die Erfüllung eines Vertrages setzt naturgemäß einen Vertrag voraus. Unter Vertrag versteht hier die DSGVO grundsätzlich ein vertragliches Schuldverhältnis zwischen zwei Parteien.

Nun könnte man es sich einfach machen und auf das deutsche Zivilrecht verweisen:

Die meisten Schuldverhältnisse werden typischerweise durch Vertrag begründet (vgl. § 311 Abs. 1 BGB). Der Vertrag kommt durch (mind.) zwei übereinstimmende Willenserklärungen zweier unterschiedlicher Rechtssubjekte zustande (vgl. § 145 BGB).

Vor Inkrafttreten der DSGVO richtete sich die Formulierung des § 28 Abs. 1 S. 1 Nr. 1 BDSG aF

wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,

nach der Definition des deutschen Zivilrechts aus § 311 BGB.

Unionsrechtlich autonomer Vertragsbegriff

Die Begriffsbestimmung des deutschen Zivilrechts greift jedoch nicht bei der Auslegung der Begriffe der DSGVO, da sonst kein einheitlicher Rechtsraum in der Union gewährleistet werden könnte, wenn jede Nation ihren unterschiedlichen zivilrechtlichen Begriff des Vertrags anwendet. Die Formulierung Erfüllung eines Vertrags ist unionsrechtlich autonom auszulegen.

Ein unionsrechtliches Zivilrecht existiert nicht – wie wird das Problem also gelöst?

Der Vertrag nach Art. 6 Abs.1 lit. b DSGVO erfasst rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse (so wie es bisher in § 28 Abs. 1 S. 1 Nr. 1 aF normiert war). Nur darf nicht mehr die Definition des deutschen Zivilrechts angewendet werden.

Einseitige Verträge, wie zum Beispiel die Auslobung oder eine Gewinnzusage, fallen nicht unter den Begriff „Vertrag“ nach Art. 6 Abs. 1 lit. b DSGVO. Auch Tarifverträge und Betriebsvereinbarungen sind keine Verträge nach lit. b DSGVO. Weitere Verträge schauen wir uns weiter unten in den Beispielen an.

Was sind vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO?

In Art. 6 Abs. 1 lit. b DSGVO ist nicht nur die Reden vom Vertrag, sondern auch von vorvertraglichen Maßnahmen. Zeitlich betrachtet ist damit sowohl das Stadium der Vertragsverhandlungen als auch der Vertragsanbahnung umfasst.

Vorvertragliche Vertragsanbahnung oder Verhandlung können im Zivilrecht grundsätzlich von beiden Parteien aufgenommen werden. Nicht aber unter der Definition des lit. b DSGVO: Voraussetzung für eine vorvertragliche Maßnahme ist, dass die immer auf Anfrage von der betroffenen Person erfolgt.

Vertragsverhandlungen

Vertragsverhandlungen liegen in der Regel vor, wenn die Parteien in entsprechende Vorgespräche eingetreten sind. Oft wirbt das Unternehmen A unverbindlich mit einem Produkt, auf das sich B meldet und seinerseits weitere Informationen zu den Konditionen einholt. Die Vertragsverhandlung ist davon geprägt, dass beide Parteien verhandeln, sprich in Kontakt treten und die wesentlichen Eigenschaften des Geschäfts (essentialia negotii) besprechen bzw. festlegen.

Vorvertragliche Vertragsanbahnung

Von einer vorvertraglichen Vertragsanbahnung spricht man so lange einseitig nur von einer Partei Initiativen zum Abschluss eines Vertrags ausgegangen sind. Liegt eine Vertragsanbahnung vor, stellt sich die Folgefrage, in welchem Umfang Daten von der betroffenen Person bereits in diesem Stadium verarbeitet werden dürfen. Dies lässt sich gut anhand des Beispiels Bonitätsprüfung darstellen: Im Stadium der vorvertraglichen Vertragsanbahnung zu einem Dauerschuldverhältnis möchte A von B die Bonität prüfen und hierfür Daten bei einer Auskunftei abfragen. Die herrschende Meinung nimmt für die Abfrage zur Bonität des B die vorvertragliche Vortragsanbahnung als Rechtsgrundlage.

Unbegrenzte Privatautonomie oder Einschränkung durch Erforderlichkeit?

Der Abschluss eines Vertrages ist durch die Vertragsfreiheit bestimmt. Eine Vertragspartei kann selbst bestimmen, mit wem und über was sie einen Vertrag schließt. Vertragsgegenstand können komplexe Strukturen von Informationen und Daten werden. Sind dann zwangsweise alle Daten des Vertrages Gegenstand der Verarbeitung der Daten nach Art. 6 Abs. 1 lit. b DSGVO? Lässt sich das trennscharf abgrenzen und wenn ja, wie?

Wir wollen uns zwei klassische Theorien anschauen, um einen Bewertungsmaßstab für die Erforderlichkeit der Datenverarbeitung zu finden: Den abstrakten und den konkreten Vertragsbegriff.

Abstrakter Vertragsbegriff

In der Literatur gibt es den Lösungsansatz des abstrakten Vertragsbegriffs. Für die kodifizierten Verträge, wie Kauf-, Werk-, Dienstvertrag usw. werden abstrakte Maßstäbe angesetzt. Anhand des Wesenskerns des Vertragstyps werden nur die Datenverarbeitungsprozesse, die für den Vertrag erforderlich sind, als rechtmäßig eingestuft.

Wie sollen aber komplexe Sachverhalte behandelt werden, bei denen der klassische Vertrag, A verkauft an B eine Waschmaschine und braucht seine Lieferadresse, nicht vorliegt und auf den ersten Blick der Datenverarbeitungsprozess vielleicht nicht erforderlich ist? Das lässt sich mit abstrakten Strukturen kaum bewältigen.

Konkreter Vertragsbegriff

Wo es die abstrakte Theorie gibt, ist die konkrete Theorie nicht weit. Der konkrete Vertragsbegriff stellt, anders als der abstrakte, auf jeden konkreten und individuellen Vertrag ab.

Der einzelne Vertrag wird individuell analysiert und anhand des Gegenstands, der Funktion, der Zwecke, der Parteien usw. werden die vertraglichen Rechte und Pflichten herausgearbeitet. Bei der Anwendung des konkreten Begriffs wird der Privatautonomie auch Rechnung getragen, da den Parteien unterstellt werden kann, sie können die essentialia negotii frei gestalten.

Das birgt aber ein Folgeproblem: Werden die konkreten Vertragsklauseln herangezogen, könnte gleichzeitig das zu prüfende Erforderlichkeitskriterium aus Art. 6 Abs. 1 lit. b DSGVO beschränkt werden oder gar überwiegend leerlaufen.

Was ist denn überhaupt erforderlich? Maßstab der Erforderlichkeit ist stets der mit der Verarbeitung verfolgte Zweck. Je konkreter der Zweck vom Verantwortlichen festlegt wird, desto eingeschränkter ist die nachfolgende Erforderlichkeitsprüfung.

Ist aber Inhalt einer Vertragsklausel, dass bei Nutzung des angebotenen Dienstes die zu verarbeitenden Daten in der Cloud verarbeitet werden, so wäre denklogisch die Cloud-Nutzung zwingend erforderlich, um diese Klausel zu erfüllen. Die Prüfung, ob der Einsatz der Cloud nach Art. 6 Abs. 1 lit. b DSGVO wirklich für die Datenverarbeitung erforderlich ist oder nicht, wäre hier obsolet.

Das könnte an der untergeordneten Position des Erforderlichkeitskriteriums liegen. Denn in gewisser Weise ist der Art. 6 Abs. 1 lit. b DSGVO an das zivilrechtliche Vertragsrecht gekoppelt, sodass auch hier die Maßstäbe aus dem Zivilrecht als Einschränkung dienen: Gesetzeswidrige, sittenwidrige (§§ 134, 138 BGB) oder vertragliche Regelungen, die gegen Treu und Glauben (§ 242 BGB) oder das AGB-Recht (§§ 305 ff. BGB) verstoßen, führen grundsätzlich zur Unwirksamkeit des Vertrages und der Erforderlichkeit der Datenverarbeitung.

Die untergeordnete Position des Erforderlichkeitskriteriums könnte aber auch der schwammigen Definition geschuldet sein. Orientierung bietet Erwägungsgrund 39 S. 9, wonach eine Verarbeitung dann zulässig ist, wenn der Zweck nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Dadurch erscheint erst einmal verständlich, dass ein Rückgriff auf das zivilrechtliche Vertragsrecht gemacht wird.

Die Rückkoppelung zwischen Erforderlichkeitsprüfung und zivilrechtlichem Vertragsrecht bewirkt also eine Prüfung sowohl der zivilrechtlichen Wirksamkeitskontrolle als der datenschutzrechtlichen Erforderlichkeit.

Durch die Prüfung beider Kriterien kann zumindest ein gewisses Maß an Rechtssicherheit gewährleistet werden, indem herausgestellt werden kann, was der Verantwortliche im konkreten Fall darf und was nicht.

Aktueller Streitstand bei Aufsichtsbehörden und Gerichten

Die Aufsichtsbehörden und Teile der Gerichte haben sich hierzu auch geäußert.

Zunächst zur Position des EDSA

Bei der Frage, ob Art. 6 Abs. 1 lit. b DSGVO eine geeignete Rechtsgrundlage für die Verarbeitung von Daten im Rahmen eines Online-Vertragsdienstes darstellt, hat der EDSA (siehe dort Rn. 30) sich wie folgt positioniert:

Es sollten das spezifische Ziel, der Zweck oder die Zielsetzung der Dienstleistung berücksichtigt werden. Voraussetzung für die Anwendbarkeit von Artikel 6 Absatz 1 Buchstabe b ist, dass die Verarbeitung für einen Zweck, der integraler Bestandteil der Erbringung dieses vertraglichen Dienstes an die betroffene Person ist, objektiv notwendig ist.

Es sei nicht allein ausreichend anhand des Inhalts der einzelnen Vertragsklauseln zu bewerten, welche Datenverarbeitung für die Vertragsdurchführung erforderlich ist. Ansonsten könnten Online-Händler die Kategorien der personenbezogenen Daten oder den Umfang, welcher für die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO erforderlich ist, künstlich ausweiten.

Aktueller Stand der relevanten EuGH-Verfahren

Dem EuGH wurden vom österreichische Oberste Gerichtshof (OGH) im Rechtsstreit Maximilian Schrems v Facebook Ireland Ltd eine Reihe von Fragen vorgelegt. Darunter fand sich auch eine Kernfrage: Einwilligung oder Vertrag?

Hier von Bedeutung ist die Frage, auf welcher Rechtsgrundlage Meta (ehemals Facebook) die Daten von Betroffenen / Nutzenden für personalisierte Werbung verarbeitetet.

Vor Inkrafttreten der DSGVO stellte sich Facebook auf den Standpunkt, dass die Nutzenden ihre Einwilligung in die Verabreitung ihrer Daten für personalisierte Werbung gegeben hätten. Durch die neuen Regelungen der DSGVO sind aber die Anforderungen für eine gültige Einwilligung deutlich erhöht worden, verbunden mit der Möglichkeit, die Einwilligung jederzeit widerrufen zu können.

Facebook änderte daraufhin kurzerhand die Argumentation, dass die Nutzenden nicht eingewilligt, sondern einen Nutzungsvertrag geschlossen und personalisierte Werbung bestellt hätten, indem sie die Schaltfläche „Registrieren“ betätigen und damit den Nutzungsbedingungen von Facebook zustimmten. Indem nun ein Vertrag vorlag, sei es laut Facebook zulässig gewesen, den Nutzenden die Rechte zu entziehen, die mit der Einwilligung nach der DSGVO verbunden waren. Sobald die Einwilligung wegfiele und ein Vertrag vorliege, würden die Erfordernisse einer Einwilligung schlicht nicht mehr gelten.

Durfte Facebook einfach eine andere Rechtsgrundlage annehmen? Das Urteil zur Rechtsache Schrems vs Meta (C-446/21) steht zwar noch aus. In der Rechtssache BKartA vs Meta (mehr dazu hier) hat der EuGH aber zwischenzeitlich klargestellt, dass er von einem abstrakten Vertragsbegriff ausgeht. Demnach sei es unerheblich, ob eine Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung von Nutzen ist. Vielmehr muss die Datenverarbeitung objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Objektiv unerlässlich heißt, dass der Hauptgegenstand des Vertrags ohne die geplante Datenverarbeitung nicht erfüllt werden kann und es keine praktikable, weniger einschneidenden Alternativen zu ihr gibt.

Daran, dass die Personalisierung der Inhalte eine der für den Betroffenen unerlässliche Leistung von Meta und somit von Art. 6 Abs. 1 lit. b DSGVO gedeckt sei, hatte der EuGH erhebliche Zweifel:

„Gleichwohl erscheint die Personalisierung der Inhalte – vorbehaltlich der Überprüfung durch das vorlegende Gericht – nicht erforderlich, um dem Nutzer die Dienste des sozialen Online-Netzwerks anzubieten. Diese Dienste können gegebenenfalls in Form einer gleichwertigen Alternative an ihn erbracht werden, die nicht mit einer solchen Personalisierung verbunden ist, so dass diese nicht objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Dienste ist.“

Abgrenzung der Vertragserfüllung zum „Bezahlen mit Daten“

Und wie wird die Vertragserfüllung zum umgangssprachlich genannten „Bezahlen mit Daten“ abgegrenzt? Bei diesem Konstrukt wird ein Produkt oder Dienstleistung durch Geldzahlungen Dritter meist für (personalisierte) Werbung an die Nutzer finanziert. Durch die plakative Bezeichnung „Bezahlen mit Daten“ verfestigt sich aber die Vorstellung, dass die Überlassung der personenbezogenen Daten zur Verarbeitung eine vertragliche Leistung des Betroffenen sei.

Dabei ist umstritten, ob das möglich ist. Aktuell wäre das ein atypischer Vertrag, also ein Vertrag, der nicht gesetzlich geregelt ist. Diese sind zwar aufgrund der Privatautonomie grundsätzlich auch zulässig, aber nur soweit sie nicht gegen gesetzliche Verbote oder zwingendes Recht verstoßen. Das steht aber im Raum. Denn datenschutzrechtlich ist problematisch, dass bei einer Leistung in Form von Daten das Ausüben des Grundrechts, etwa durch die Geltendmachung des Rechts auf Löschung, vertragliche Sanktionen auslöst und dieses somit einschränken würde. Zudem hätte diese Konstruktion auch zivilrechtliche Probleme zur Folge. Es besteht grundsätzlich eine Kontrollfreiheit der Hauptleistungspflichten. Daher könnte auch keine gerichtliche Angemessenheitskontrolle über den Umfang der Datenverarbeitung mehr stattfinden. Unter anderem aus diesen Gründen ist der europäische Gesetzgeber beim Gesetzgebungsverfahren zur digitalen Inhalte Richtlinie wieder davon abgerückt, Daten im Gesetz explizit als Gegenleistung zu bezeichnen. Mehr dazu finden Sie auch in unserem Beitrag Bezahlen mit Daten im Verhältnis zur DSGVO und TTDSG.

Doch auch wenn man das Dulden der Datenverarbeitung als Hauptleistung definieren würde, passt Art. 6 Abs. 1 lit. b DSGVO nicht als Rechtsgrundlage. Denn nach dem EuGH (C-252/21) muss eine darauf gestützte Datenverarbeitung objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Die Datenverarbeitung wäre dann aber nicht Teil der vom Verantwortlichen für den Betroffenen bereitgestellte Leistung, sondern eben dessen vertragliche Gegenleistung.

Hingegen denkbar wäre, dass das „Bezahlen mit Daten“ auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden könnte. Bei der Abwägung der berechtigten Interessen sind nach EG 47 die vernünftigen Erwartungen der betroffenen Person sowie der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf diese Person zu berücksichtigen. Nach Ansicht des EuGH sorgt wohl der Umstand, dass Online-Dienste kostenlos sind, nicht dafür, dass dessen potentielle Nutzer vernünftigerweise damit rechnen müssen, dass der Anbieter ihre Daten ohne Einwilligung für Werbung verarbeitet.

Insoweit wird das „Bezahlen mit Daten“ häufig nur aufgrund von Art. 6 Abs. 1 lit. a DSGVO zulässig sein. Dabei ist aber noch nicht geklärt, ob für eine Freiwilligkeit dieser Einwilligung (insbesondere auch in Hinblick auf das Kopplungsverbot) auch immer eine kostenpflichtige Alternative angeboten werden muss. Der EuGH hat sich dazu nur ausdrücklich bei Diensten mit einer beherrschenden Stellung auf dem Markt wie Facebook geäußert. Diese müssen für eine freiwillige Einwilligung dem Nutzer die Möglichkeit geben, einzelne Verarbeitungsvorgänge, die für die Erfüllung des Vertrags nicht erforderlich sind, verweigern zu können. Sollte Betroffene dies tun, darf ihnen die Nutzung des Dienstes auch nicht vollständig verweigert werden. Vielmehr sei dem Nutzer (gegebenenfalls gegen ein angemessenes Entgelt) eine gleichwertige Alternative anzubieten, die nicht mit nicht erforderlichen Datenverarbeitungsvorgängen einhergeht.

Praxisbeispiele: Wann ist der Vertrag als Rechtsgrundlage sinnvoll?

Nach der Theorie kommt die Praxis: Wir wollen drei typische und kurze Fallkonstellationen nennen, bei denen der Vertrag als Rechtsgrundlage sinnvoll ist.

Beispiel 1
Vertragshauptbestandteil ist die Verarbeitung der Daten des Vertragspartners: A verkauft an B eine Waschmaschine und braucht seine Lieferadresse.

Beispiel 2
Vorvertragliche Vertragsanbahnung: A möchte von B die Bonität prüfen und hierfür Daten bei einer Auskunftei abfragen.

Beispiel 3
Ärztlicher Behandlungsvertrag: Arzt behandelt B und verarbeitet Daten (zusätzlich ist Art. 9 DSGVO wegen Verarbeitung von Gesundheitsdaten zu beachten, was aber hier nicht weiter thematisiert werden soll)

Im Zweifel Einwilligung? – Nein.

Wie gesagt: Es lohnt sich zunächst einen Blick in den Vertrag zu werfen.

Denn wenn zwischen zwei Parteien ein Vertrag besteht und die Verarbeitung für die Erfüllung des Vertrags in dem Sinne objektiv notwendig oder auch (weniger streng) objektiv sinnvoll ist, kann als Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO genommen werden.

Die Einwilligung ist an höhere Hürden gebunden und kann widerrufen werden, weshalb aus Sicht des Verantwortlichen es sogar von Vorteil sein kann, die Verarbeitung auf den Vertrag zu stützen, sofern die Voraussetzungen vorliegen. Durch die Rückkoppelung zwischen Erforderlichkeitsprüfung und zivilrechtlichem Vertragsrecht muss aber sowohl eine zivilrechtliche Wirksamkeitskontrolle als auch die datenschutzrechtliche Erforderlichkeit geprüft werden.

Auch wenn, wieso auch immer, zunächst fast schon automatisch die Einwilligung als Rechtsgrundlage gewählt wird, sollte zumindest die Prüfung des Vertrags, der Vertragsverhandlungen oder der vorvertraglichen Vertragsanbahnung als Rechtsgrundlagen nicht vergessen oder übersehen werden.

Eine saubere Prüfung ist wie immer unerlässlich: Der Vertrag umfasst immer nur die Daten des Vertragspartners. Wird die Verarbeitung von Daten anderer Personen Vertragsgegenstand, läge ein unwirksamer Vertrag zu Lasten Dritter vor.