Europäischer Datenschutzausschuss konkretisiert die Vertragserfüllung als Erlaubnistatbestand
Am 10.04.2019 hat der Europäische Datenschutzausschuss (EDSA) seine „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DS-GVO im Kontext von Online-Dienstleistungen“ ausformuliert.
Art. 6 Abs. 1 b DS-GVO legitimiert die Verarbeitung personenbezogener Daten, soweit sie zur Vertragserfüllung erforderlich ist. Die neue formulierten Leitlinien konkretisieren und schränken diesen Grundsatz insoweit, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Unter Berücksichtigung der in Art. 5 DS-GVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz ist nach den Vorgaben des Europäische Datenschutzausschuss eine Bewertung vorzunehmen, ob Unternehmen die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ stützen können.
Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden. Interessierte Stellen werden die Möglichkeit erhalten das Papier im Rahmen einer öffentlichen Konsultation kommentieren zu können.
Ob die Erforderlichkeit tatsächlich schon dann bejaht werden kann, wenn diese im Rahmen einer Klausel vereinbart wurde oder ob die Erforderlichkeit nicht erst dann angenommen werden kann, wenn die Verarbeitung für die Erfüllung eines Vertrages oder für die Vertragsanbahnung objektiv als erforderlich betrachtet werden muss, ist eine praxisrelevante Frage. Ob das Papier am Ende in dieser Hinsicht mehr Rechtssicherheit bringen wird, bleibt abzuwarten. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Annahme der Leitlinien ausdrücklich.
Das Papier kann in den nächsten Wochen von interessierten Stellen im Rahmen einer öffentlichen Konsultation kommentiert werden.
Bild von Stefan Schweihofer auf Pixabay
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
