Europäischer Datenschutzausschuss konkretisiert die Vertragserfüllung als Erlaubnistatbestand
Am 10.04.2019 hat der Europäische Datenschutzausschuss (EDSA) seine „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DS-GVO im Kontext von Online-Dienstleistungen“ ausformuliert.
Art. 6 Abs. 1 b DS-GVO legitimiert die Verarbeitung personenbezogener Daten, soweit sie zur Vertragserfüllung erforderlich ist. Die neue formulierten Leitlinien konkretisieren und schränken diesen Grundsatz insoweit, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Unter Berücksichtigung der in Art. 5 DS-GVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz ist nach den Vorgaben des Europäische Datenschutzausschuss eine Bewertung vorzunehmen, ob Unternehmen die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ stützen können.
Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden. Interessierte Stellen werden die Möglichkeit erhalten das Papier im Rahmen einer öffentlichen Konsultation kommentieren zu können.
Ob die Erforderlichkeit tatsächlich schon dann bejaht werden kann, wenn diese im Rahmen einer Klausel vereinbart wurde oder ob die Erforderlichkeit nicht erst dann angenommen werden kann, wenn die Verarbeitung für die Erfüllung eines Vertrages oder für die Vertragsanbahnung objektiv als erforderlich betrachtet werden muss, ist eine praxisrelevante Frage. Ob das Papier am Ende in dieser Hinsicht mehr Rechtssicherheit bringen wird, bleibt abzuwarten. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Annahme der Leitlinien ausdrücklich.
Das Papier kann in den nächsten Wochen von interessierten Stellen im Rahmen einer öffentlichen Konsultation kommentiert werden.
Bild von Stefan Schweihofer auf Pixabay
Das könnte Sie auch interessieren
-
BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.
Mehr erfahren -
Folge 91: KI-Kompetenz und KI-Kompetenzen
KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:
Mehr erfahren -
Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem
Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte
Mehr erfahren
