Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die betroffene Person Vertragspartei ist oder erkennbar auf eigene Anfrage Vertragspartei werden möchte.

Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

Vertragsparteien sind diejenigen, die an dem Abschluss der Einigung mitgewirkt haben und für die sich aus der Vereinbarung gegenseitige Rechte und Pflichten ergeben.

Wer im Internet ein Produkt bestellt, muss verschiedene Angaben machen. Ohne den Namen, die Adresse und die Zahlungsdaten des Bestellers kann das Paket mit dem bestellten Produkt nicht auf den Weg zum Kunden gebracht und abgerechnet werden. Eine Einwilligung zur Verarbeitung dieser personenbezogenen Daten ist nicht notwendig. Die DSGVO trägt durch Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO dem Umstand Rechnung, dass der Verkäufer zur Erfüllung eines Vertrages bestimmte Daten benötigt. Wohin darf er die Ware liefern? Wer bekommt die Rechnung an welche Anschrift? Über welche Kreditkarte wird der Spaß bezahlt?

Der Vertragsbegriff

Die DSGVO ist eine europaweit geltende gesetzliche Regelung und muss in jedem Staat der EU unmittelbar zur Anwendung kommen und zu einem einheitlichen Ergebnis bei der Rechtsanwendung führen. Es gibt allerdings keine europaweit geltenden Begriffe »Vertrag« bzw. »Erfüllung«, da es kein einheitliches europäisches Vertrags- bzw. Zivilrecht gibt. Die Begriffe »Vertrag« und »Erfüllung« dürfen daher nicht rechtstechnisch eng im Sinne des deutschen Bürgerlichen Gesetzbuchs (BGB) verstanden werden, sondern sind im Sinne der Rechtssicherheit weit auszulegen.

Als praktische Konsequenz ergibt sich daraus zum einen, dass neben vorvertraglichen Maßnahmen, auch vertragsähnliche Schuldverhältnisse unter den Begriff »Vertrag« fallen (beispielsweise die Geschäftsführung ohne Auftrag). Zum anderen wird durch den Begriff »Erfüllung« nicht nur Vertragserfüllung im rechtstechnischen Sinne als Erfüllung der Hauptleistungspflicht, sondern auch die Erfüllung der Nebenleistungspflichten erfasst (beispielsweise Gewährleistungs- und Schadensersatzpflichten, sekundäre Leistungspflichten wie Pflicht zur Rechnungsstellung oder Erteilung einer Quittung).

Betroffene Person als Vertragspartei

Die betroffene Person muss zwingend Vertragspartei sein. Und der die Daten der betroffenen Person verarbeitende Verantwortliche? Dieser muss nicht Vertragspartei sein! Daher ist Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO auch dann einschlägig, wenn eine Datenverarbeitung stattfindet, weil das zur Durchführung (Erfüllung) eines Vertrages bzw. einer vorvertraglichen Maßnahme zwischen der betroffenen Person und einem Dritten erforderlich ist. Beispielsweise kann ein Rückversicherer, der den Abschluss eines Versicherungsvertrages zwischen einer Versicherung und einem Versicherten bzw. einem Versicherungsinteressenten erst ermöglicht, der für diese Zwecke auf die Daten des Versicherten bzw. des Interessenten zugreifen können muss, die Verarbeitung auf die »Vertragserfüllung« stützen. Weitere Szenarien, in denen Dritte sich auf die Vertragserfüllung berufen können sind die Aufgabenerfüllung eines Inkassounternehmens oder auch des WEG-Verwalters (gegenüber Mietern).

In derartigen Konstellationen sind aber unbedingt die Informationspflichten der Artikel 13 und 14 DSGVO zu beachten und die betroffene Person über den Datenzugriff bzw. die Datenübertragung transparent zu unterrichten (Stichwort: »Datenschutzerklärung«).

Erforderlichkeit

Maßgebliche Voraussetzung der Rechtsgrundlage ist, neben einem rechtsgültigen Vertrag, die Erforderlichkeit der Verarbeitung für die Vertragsdurchführung. Es werden alle Verarbeitungsschritte legitimiert, die erforderlich sind, um den Vertragszweck zu erreichen. Eine Definition des Begriffs »Erforderlichkeit« ist in der DSGVO nicht enthalten. Wir können aber Rückgriff auf Erwägungsgrund 39 nehmen:

Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.

Maßstab der Erforderlichkeit ist damit in erster Linie also die Einschätzung des Verantwortlichen bezüglich der Zumutbarkeit der Zweckerfüllung mit anderen Mitteln, insbesondere deshalb, weil nur dieser die rechtlichen und wirtschaftlichen Risiken einschätzen kann, die mit der Leistungserbringung zusammenhängen. Allerdings darf das nicht dahingehend verstanden werden, dass jede Maßnahme, die zur Erreichung des Zwecks lediglich förderlich wäre, zur Erforderlichkeit führt, denn das würde zu weit gehen. Etwas ist eben nur dann »erforderlich«, wenn es zur Zweckerreichung kein gleichgeeignetes milderes Mittel gibt. Zu verstehen ist die Erforderlichkeit folglich (bezogen auf die zu verarbeiteten Daten) im Sinne eines »must have« und nicht eines »nice to have«.

Nur wenn die Vertragsparteien ihren Verpflichtungen nicht nachkommen oder die Rechte ohne die Datenverarbeitung nicht wahrnehmen können, ist das Merkmal der Erforderlichkeit erfüllt.

Die Erforderlichkeit bemisst sich dabei im Einzelfall in Abhängigkeit (vor allem) davon, um welchen Vertragstypus es sich handelt und was der Vertrag genau beinhaltet. Der Schuster darf die Schuhgröße seines Kunden speichern, um passende Schuhe herzustellen, aber die generelle Speicherung von Kundenpräferenzen für Marketingzwecke ist nicht erforderlich. Genauso wenig sind Kundenbindungsmaßnahmen in Form von Werbemails »erforderlich« im Sinne des Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO.

Vertragsanbahnung

Auch die Datenverarbeitung im Zusammenhang mit der Vertragsanbahnung kann unter den Anwendungsbereich von Artikel 6 Absatz 1 Satz 1 Buchstabe b) DSGVO fallen, soweit sie »auf Veranlassung« (= Anfrage) des Betroffenen erfolgte, etwa für die Erstellung von Vertragsangeboten und Kostenvoranschlägen auf Nachfrage oder Veranlassung des Betroffenen.