AKTUELL

U.a. stellt der Ausschuss klar, dass das Prinzip der Zweckbindung erfordert, dass bei einem Vertragabschluss genau festgelegt werden muss, wann eine Verarbeitung zum Zweck gehört und wann nicht. Der Datenschutzausschuss hält den Standpunkt der Artikel 29 Gruppe aufrecht, dass vage Zwecke wie „Verbesserung der Benutzererfahrung“, „Marketingzwecke“, „IT-Sicherheitszwecke“ oder „zukünftige Forschung“, nicht ausreichen.

Der Ausschuss empfiehlt, bei Zweifeln an der Erforderlichkeit zur Vertragserfüllung besser auf eine andere Rechtsgrundlage auszuweichen, z.B. die Einwilligung; die geeignete Rechtsgrundlage zu ermitteln, ist ein Gebot der Fairness und Zweckbindung.

Im Rahmen der Rechenschaftspflicht verlangt der Ausschuss, dass der Verantwortliche, der sich auf Art.6 Abs.1 (b) beruft, drei Dinge nachweisen kann:  a) ein Vertrag besteht, b) der Vertrag ist nach nationalen Vertragsgesetzen gültig c) die Verarbeitung ist objektiv für die Ausführung des Vertrags erforderlich ist. Für Punkt c) setzt der Ausschuss sehr strenge Maßstäbe an: Wörtlich heißt es „ Auch wenn diese Verarbeitungstätigkeiten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht diese Tatsache sie allein nicht „notwendig“ für die Vertragserfüllung.“ Vielmehr muss eine objekte Notwendigkeit belegt werden.

Darüber hinaus verlangt der Ausschuss, dass dann, wenn eine neue Technologie zur Erbringung des Dienstes eingeführt wird, neu bewertet wird, ob die Verarbeitung erforderlich ist oder nicht.

Der Ausschuss vertritt außerdem die Auffassung, dass es unfair und damit niciht zulässig ist, eine Verarbeitung von Daten, die auf Basis von Art. 6 Abs.1 (b) DSGVO erfolgte, nach Beendigung des Vertrages auf eine andere Rechtsgrundlage zu stützen. Wenn hingegen Aufzeichnungen (Speicherungen) für rechtliche Zwecke erfolgen (siehe Art.17), dann ist die zulässig, wenn einige Bedingungen erfüllt werden. Die Verantwortlichen „müssen sie zu Beginn der Verarbeitung eine Rechtsgrundlage dafür ermitteln, und sie müssen von Anfang an klar kommunizieren, wie lange sie planen, Aufzeichnungen für diese nach Beendigung des Vertrages. Wenn sie dies tun, müssen sie die Daten bei Beendigung des Vertrages nicht löschen.“

Der Ausschuss bezieht außerdem Stellung zu verschiedenen Verarbeitungen und sieht diese nicht über Art. 6 Abs. 1 (b) DSGVO legitimierbar: Beispielweise „ kann die Erhebung von organisatorischen Kennzahlen im Zusammenhang mit einer Dienstleistung oder Einzelheiten des Nutzerengagements nicht als notwendig für die Erbringung der Dienstleistung angesehen werden“. Auch die  Verarbeitung zum Zwecke der Verbesserung einer Dienstleistung oder der Entwicklung neuer Funktionen innerhalb eines bestehenden Dienstes, ebenso die Verarbeitung zum Zwecke der Betrugsprävention, sind mit Art.6 Abs.1 (b) DSGVO legitimierbar. Hier sieht er allerdings ein überwiegendes berechtigtes Interesse.

Auch die Erstellung von Profilen bzw. das Auswerten von Nutzerverhalten zur werbefinanzierten Bezahlung/Gegenleistung hält der Ausschuss nicht mit Art. 6 Abs.1 (b) DSGVO legitimierbar. Der Ausschuss sieht die Finanzierung nur als unterstützend an, der Verantwortliche müsse hingegen beweisen, dass diese Verarbeitung tatsächlich notwendig ist.

Zur Leitlinie: (guideline 2/2019)