Einwilligung und Vertrag in der DSGVO – Was bedeutet das Kopplungsverbot?

Heute möchte ich mich mal einer ganz essentiellen Frage widmen, die viele Datenschutzexperten im Zusammenhang mit der EU Datenschutzgrundverorndung (DSGVO) diskutieren:

„Wie stehen Art. 6 (1) a) und Art. 6 (1) b) DSGVO mit Blick auf das Kopplungsverbot zueinander?“

Hintergrund:
Wie die Experten wissen, betrifft Artikel 6 (1) a) DSGVO die Verarbeitung von Daten aufgrund einer Einwilligung, wohingegen Artikel 6 (1) b) DSGVO die Verarbeitung zum Zwecke der Erfüllung/Eingehung eines Vertrages abdeckt. Wenn also eine dieser Rechtsgrundlagen herangezogen werden kann, ist die Datenverarbeitung legal.

    „Article 6 Lawfulness of processing
    1. Processing shall be lawful only if and to the extent that at least one of the following applies:
    (a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
    (b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;(…)”

    „Artikel 6 Rechtmäßigkeit der Verarbeitung
    (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
    a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
    b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;(…)“

Ein Kernelement des Datenschutzrechts wird hier zwar noch nicht explizit genannt, ergibt sich jedoch aus anderen Artikeln der DSGVO: Die Selbstbestimmung und Freiwilligkeit des Betroffenen. So statuiert Artikel 7 (4) DSGVO für Einwilligungen:

    „Article 7 Conditions of consent
    (…) 4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.”

    „Artikel 7 Bedingungen für die Einwilligung
    (…) (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Interpretation:
Was auf den ersten Blick ein „Kopplungsverbot“ ist, kann auf den zweiten Blick als eine verwirrenden Verquickung von Rechtsgrundlagen gelesen werden:

Eine Datenverarbeitung basierend auf einer Einwilligung könnte demnach nur wirksam sein, wenn sie für die Erfüllung eines Vertrages notwendig ist. Aber genau das ist ja die Rechtsgrundlage „Vertrag“ nach Artikel 6 (1) a) DSGVO. Die Folge dieser Interpretation des Artikel 7 (4) DSGVO wäre, dass es keine separaten Einwilligungen mehr gibt und Artikel 6 (1) a) und b) stets kumulativ vorliegen müssen. Das ist aber m.E. weder vom Gesetzgeber gewollt, noch ist es mit Blick auf das Selbstbestimmungsrecht des Betroffenen geboten:

Artikel 6 (1) DSGVO statuiert keinerlei „Hierarchie“ in der Auflistung der Rechtsgrundlage, gibt lediglich vor, dass „at least“/“mindestens“ einer der Bedingungen erfüllt sein muss. Damit stehen die Rechtsgrundlagen eindeutig weder kumulativ zueinander, noch schließen sie sich gegenseitig aus. Artikel 6 DSGVO spiegelt vielmehr wieder, dass es Fälle gibt, in denen mehrere Rechtsgrundlage zum gleichen Zeitpunkt eine Datenverarbeitung rechtfertigen können. Das kann man auch aus den Erwägungsgründen (43) und (44) erkennen:

    „(43) In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance.
    (44) Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.“

    „(43) Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
    (44) Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist.“

Um ein konkretes Beispiel zu geben: Ein Online Shop nimmt eine Bestellung entgegen und erfasst hierbei die Adresse und Zahldaten. Ohne diese Daten kann der Vertrag nicht erfüllt werden (Artikel 6 (1) b)) und aufgrund von Buchhaltungs- und steuerrechtlichen Vorgaben (Artikel 6 (1) c)) müssen diese Daten auch erhoben werden. Um bei diesem Beispiel zu bleiben: Wenn der Vertrag erfüllt wurde, also die Lieferung der Bestellung erfolgte, fällt der Rechtsgrund „Vertrag“ weg, diese Daten zu verarbeiten. Nun kommt ins Spiel, dass das Unternehmen aber gesetzliche Dokumentationspflichten hat. Im Ergebnis „überlappen“ sich die beiden Rechtsgrundlagen, rechtfertigen also die Datenverarbeitung aus zwei unterschiedlichen Gründen, ohne sich gegenseitig zu beeinflussen. Im Bereich dieser Überlappung reicht also eine Rechtsgrundlage aus, die Daten rechtmäßig verarbeiten zu dürfen.

Beurteilung:
Das bedeutet für das Verhältnis von Einwilligung und Vertrag:
Ich brauche solange nicht nach einer Einwilligung zu fragen, wie die Verarbeitung bestimmter Daten für die Vertragsdurchführung/-erfüllung erforderlich und demnach gemäß Artikel 6 (1) b) DSGVO legitimiert ist. Der Betroffene hat hier sein Selbstbestimmungsrecht ausgeübt, in dem er freiwillig den Vertrag geschlossen hat. Die Vertragsautonomie entspricht hierbei also der informationellen Selbstbestimmung. Noch einmal eine Einwilligung abzuverlangen, ist obsolet und im Übrigen auch dem Risiko der Abmahnung / Bußgelder ausgesetzt, wenn diese unwirksam ist.

Folgerichtig liegt der Anwendungsbereich von Artikel 7 (4) DSGVO und damit des Kopplungsverbots ausschließlich in den Fällen, in denen über den Vertragszweck hinaus Daten verarbeitet und diese Verarbeitung mit der Verarbeitung weiterer „nicht vertragsrelevanter“ Daten oder zu „nicht vertragsrelevanten Zwecken“ verbunden wird. Im Umkehrschluss bedeutet es, dass eine Einwilligung auch dann wirksam ist, wenn sie zwar nicht an einen Vertrag gekoppelt ist, gleichwohl aber nicht für die Vertragserfüllung erforderlich ist.

Praxistip:
Entscheidend ist für alle Unternehmen ist daher, genau zu überlegen, 1. was genau Leistungsbestandteil im Rahmen des Vertrages ist und die erhobenen Daten hierfür erforderlich sind sowie 2. ob darüber hinaus oder zu anderen Zwecken Daten erhoben und verwendet werden.



Links:
DSGVO in Deutsch
DSGVO in Englisch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.