Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/22

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Hintergrund
28. Oktober 2021

DSGVO: Was heißt eigentlich genau „erforderlich“?

Gratis
DSGVO: Was heißt eigentlich genau „erforderlich“?
Bild: iStock.com / D3Damon
0,00 (0)
drucken
Auf den Grund gegangen
Juristen beantworten diese Frage knapp mit „Es kommt darauf an.“ Damit es für Sie nicht bei der Lieblingsantwort der Juristen bleibt, gibt dieser Beitrag Hilfestellung für die Praxis.

Die Datenschutz-Grundverordnung (DSGVO) enthält den Begriff „erforderlich“ insgesamt 115 Mal.

Fünf der sechs Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO setzen eine „erforderliche“ Verarbeitung voraus.

Pauschale Aussagen sind deshalb unmöglich, zumal Literatur, Gerichte und Datenschutzaufsichtsbehörden den Begriff – teilweise abhängig vom Sachverhalt – auch noch gänzlich unterschiedlich auslegen.

In der Praxis stellen sich häufig die folgenden Fragen:

  • Wann ist eine Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags erforderlich?
  • Wann ist sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich?
  • Und wann ist sie im Beschäftigungs­verhältnis erforderlich?

Meist geht es also um die Rechtmäßigkeit einer Verarbeitung gemäß Art. 6 Abs. 1 Buchst. b und f DSGVO oder § 26 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG).

Erster Hinweis: Erwägungsgrund 39

Doch zunächst von Anfang an: Einen ersten Hinweis, was unter „erforderlich“ zu verstehen ist, liefert Erwägungsgrund 39 der Datenschutz-Grundverordnung.

Hiernach sollen personenbezogene Daten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Darüber hinaus sollen Verantwortliche die Daten nur verarbeiten, wenn sie den Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreichen können.

Will man herausarbeiten, was „erforderlich“ bedeutet und was in einer konkreten Verarbeitungssituation „erforderlich“ ist, empfiehlt es sich also, einen Schritt zurückzutreten und sich zuerst auf die Grundsätze der Verarbeitung in Art. 5 Abs. 1 DSGVO zu besinnen.

Grundsätze der Verarbeitung

Ausgangspunkt ist der Grundsatz der Zweckbindung in Art. 5 Abs. 1 Buchst. b DSGVO.

Es ist zu fragen, ob der Verantwortliche die personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke erhoben hat. Diese legitimen Zwecke gilt es zu bestimmen und zu dokumentieren.

Eine Verarbeitungstätigkeit, die sich nicht (mehr) im Rahmen einer legitimen Zweckbindung bewegt, ist – von zulässigen Zweckänderungen abgesehen – unrechtmäßig und deshalb nie erforderlich.

Im zweiten Schritt ist zu fragen, ob die Verarbeitung der personenbezogenen Daten den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 Buchst. c beachtet.

Ist die Verarbeitung also auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt, ist sie dem Zweck angemessen und erheblich?

Dabei sind z.B. Zweck, Kategorie der verarbeiteten Daten, Dauer der Verarbeitung und Eigenarten der betroffenen Personen zu berücksichtigen. Ist das nicht der Fall, kann die Verarbeitung ebenfalls nicht „erforderlich“ sein.

Erst in einem dritten Schritt ist auf die einzelnen Erlaubnistatbestände abzustellen.

Erforderlichkeit innerhalb der Erlaubnistatbestände

Erforderlichkeit zur Vertragserfüllung

Bedeutet „Erforderlichkeit“, dass es schlechthin unmöglich wäre, den Vertrag ohne die Verarbeitung zu erfüllen? Hat der Verantwortliche einen Einschätzungsspielraum? Darf er die personenbezogenen Daten nur für vertragswesentliche Pflichten verarbeiten? Oder ist relevant, ob kein gleich geeignetes Mittel ersichtlich ist, das die betroffenen Personen weniger belastet?

Diese Fragen sind nicht abschließend geklärt. In der Zwischenzeit besteht eine Möglichkeit darin, die Grundsätze der Verarbeitung zu beachten (siehe oben) und sich an der Rechtsprechung des Bundesgerichtshofs (BGH) zu orientieren.

Der BGH hat, ebenso wie viele Experten in der juristischen Fachliteratur, darauf abgestellt, ob die Verarbeitung notwendig ist, um die vertraglichen Haupt- und Nebenpflichten oder gesetzliche Pflichten zu erfüllen.

Die bloße Zweckdienlichkeit der Verarbeitung soll nicht ausreichen. Die Einordnung nimmt der Bundesgerichtshof anhand des Vertragsinhalts und der charakteristischen Leistungen vor.

Positiv-Beispiel: Für ein soziales Netzwerk ist es zur Erfüllung des Nutzungsvertrags erforderlich, die personenbezogenen Daten der Kommunikationspartner zu verarbeiten, die für die Übermittlung einer privaten Nachricht notwendig sind.

Das Gleiche gilt für die in einer solchen Nachricht enthaltenen Daten. Denn die Übermittlung von Nachrichten zwischen den Nutzern gehört zu den Hauptleistungspflichten des Anbieters.

Verantwortliche, die sich durch „kluge“ Vertragsgestaltung selbst eine Grundlage schaffen möchten, um weitgehende oder einseitige Verarbeitungstätigkeiten zu legitimieren, sollten sich zurückhalten.

Das gilt insbesondere für Verarbeitungsvorgänge, die üblicherweise auf Grundlage einer Einwilligung gemäß Art. 6 Abs. 1 Buchst a DSGVO stattfinden.

Der Europäische Datenschutzausschuss hält es für unzulässig, sollte der Verantwortliche die Einwilligung durch fernliegende, von ihm erfundene Vertragspflichten ersetzen.

Auch die Aufsichtsbehörden gehen von einer engen Sichtweise aus. Danach sollen Verantwortliche die Verarbeitung auf das absolut Notwendige beschränken. Verarbeitungen, die nur nützlich oder bequem sind, sind deshalb nicht erforderlich.

Negativ-Beispiel: Um für potenzielle Inkasso-Maßnahmen vorbereitet zu sein, speichert ein Online-Shop-Betreiber vorsorglich alle Zahlungsinformationen der Kunden dauerhaft, insbesondere Bankverbindungen, von denen aus Zahlungen an den Shop-Betreiber erfolgt sind.

Diese Vorratsdatenspeicherung ist zwar nützlich, aber nicht erforderlich. Denn die Zahlungsinformationen können im Ernstfall schon veraltet sein.

Erforderlichkeit bei der Interessenabwägung

Die Bestimmung der „Erforderlichkeit“ unter Art. 6 Abs. 1 Buchst. f DSGVO orientiert sich an der Frage, ob für den berechtigten Zweck kein gleich geeignetes Mittel vorhanden ist, das die betroffenen Personen weniger belastet.

Das soll die Verarbeitung auf das notwendige Maß beschränken. Eine weitergehende Interessenabwägung erfolgt dabei losgelöst von der Erforderlichkeit.

Negativ-Beispiel: Ein Website-Betreiber will seinen Kunden maßgeschneiderte Werbung anbieten und verarbeitet dazu den genauen Standort des Geräts des Nutzers, indem er IP-Adressen und in der Umgebung des Kunden verfügbare WLAN-Hotspots auswertet.

Wichtig ist jedoch, dass die denkbare, weniger intensive Verarbeitung tatsächlich auch zum gleichen Erfolg führen kann. Greift eine alternative Verarbeitung zwar weniger in Rechte der betroffenen Personen ein, ist aber weniger erfolgversprechend, bleibt die gewollte Verarbeitung trotzdem erforderlich.

Positiv-Beispiel: Eine Schule möchte generell wissen, ob Eltern dagegen sind, Einzelfotos ihrer Kinder anfertigen und veröffentlichen zu lassen, um sie im Klassenraum der Kinder auszuhängen.

Die Klassenlehrerin speichert die Namen der Kinder, deren Eltern das nicht wollen, in einer Liste, um zu verhindern, dass solche Einzelfotos erstellt und ausgehängt werden. Auf eine Einzelabfrage vor jeder Fotoaktion, die die Liste überflüssig machen könnte, verzichtet die Schule.

Erforderlichkeit im Beschäftigungsverhältnis

Bei Verarbeitungen im Beschäftigungsverhältnis nach § 26 Abs. 1 Satz 1 BDSG läuft die Prüfung der Erforderlichkeit auf eine umfassende Abwägung der widerstreitenden Interessen von Arbeitgeber und Beschäftigten hinaus.

„Erforderlichkeit“ bedeutet hier, dass die Verarbeitung überhaupt geeignet ist, die in § 26 Abs. 1 S. 1 BDSG genannten Zwecke zu erfüllen.

Im nächsten Prüfungsschritt ist – ähnlich wie bei der Interessenabwägung – zu hinterfragen, ob ein gleich wirksames, für den Beschäftigten milderes Mittel existiert, das dem Arbeitgeber zumutbar ist. Danach sind die widerstreitenden Positionen gegeneinander abzuwägen.

Negativ-Beispiel: Der Arbeitgeber erfasst mithilfe von GPS-Sendern die Position der Dienstwagen eines Angestellten einschließlich Startort, Zielort und Zeit, um einen Diebstahl des Fahrzeugs zu verhindern.

Zusammenfassung

Die Erforderlichkeit ist abhängig vom konkreten Sachverhalt und der relevanten Norm zu bestimmen.

Damit macht es die DSGVO Verantwortlichen, Auftragsverarbeitern und ihren Datenschutzbeauftragten schwer, schnell zu allgemeinen Lösungen zu kommen.

Stets gilt aber: Eine Verarbeitung, die gegen die Grundsätze der Zweckgebundenheit und Datenminimierung verstößt, ist nie erforderlich.

Sascha Kremer, Marc Meerkamp

Sascha Kremer Marc Meerkamp
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
DP
Sascha Kremer
Sascha Kremer ist Fachanwalt für IT-Recht sowie externer Datenschutzbeauftragter bei Kremer Rechtsanwälte in Köln.
DP
Marc Meerkamp
Marc Meerkamp ist Rechtsanwalt sowie Datenschutzbeauftragter bei Kremer Rechtsanwälte in Köln.
zu den Kommentaren
Verwandte Beiträge
13. Mai 2022
DP+
Haben Sie einmal das theoretische Grundgerüst, gilt: „Training on the job“ ist die beste Möglichkeit, bei Datenschutz-Audits sattelfest zu werden
Bild: iStock.com / putilich

Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

Praxisbericht
13. Mai 2022
DP+
Alle Optionen offenhalten? Das ist bei der Datenverarbeitung aus Datenschutzsicht bei der Zweckbestimmung keine gute Idee.
Bild: iStock.com / useng

Zweckbestimmung: Wie konkret muss sie ausfallen?

Ratgeber
Vorlagen
12. Mai 2022
Gratis
Wer ist hier Verantwortlicher im Sinner der DSGVO? Der Betriebsrat muss den Datenschutz nur einhalten. Verantwortlicher ist ganz klar der Arbeitgeber!
Bild: sdecoret / iStock / Getty Images Plus

Arbeitgeber oder Betriebsrat: Wer ist der Verantwortliche?

News
10. Mai 2022
Gratis
Risikobasierter Ansatz für Datenübermittlung in Drittländer? Nein, sagt die österreichische Datenschutzbehörde DSB und lehnt dies ganz klar ab!
Bild: Lazy_Bear / iStock / Getty Images Plus

Risikobasierter Ansatz für Datenübermittlung in Drittländer?

News
Drittland
06. Mai 2022
Gratis
Podcast datenschutz-praxis

Datenschutz und Cloud | Podcast Folge 30

Podcast
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.