Allgemein, Datenschutz, International, News

EDSA-Guidelines zur Datenverarbeitung bei Online-Services

Online-Services

In den am 9.4.2019 angenommenen Guidelines 2/2019 (version for public consultation) erörtert der Europäische Datenschutzausschuss (EDSA) die Zulässigkeit der Verarbeitung personenbezogener Daten auf Basis von Art 6 Abs 1 lit b DSGVO im Zusammenhang mit unterschiedlichen Online-Services.

Nach Art 6 Abs 1 lit b DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. In den Guidelines 2/2019 hält der EDSA fest, dass auf dieser Basis keine Verarbeitungstätigkeiten legitimiert werden können, die zwar nützlich, aber objektiv gesehen nicht notwendig sind, um das vertragliche Service durchführen zu können; es sei diesbezüglich ein strenger Maßstab anzulegen.

So könne Datenverarbeitung zu Zwecken der Verbesserung des Services („service improvement“), der Betrugsprävention („fraud prevention“) oder verhaltensbasierter Werbung („online behavioural advertising“) nach Ansicht des EDSA grundsätzlich nicht auf Art 6 Abs 1 lit b DSGVO gestützt werden: Die Datenverarbeitung sei in keinem dieser Fälle erforderlich, um den Vertrag mit dem Nutzer zu erfüllen; sie müsste jeweils durch eine andere Rechtsgrundlage legitimiert werden.

Eine Personalisierung von Inhalten („personalisation of content“) könnte nach dem EDSA hingegen ein wesentliches bzw vom Nutzer erwartetes Element bestimmter Online-Services darstellen: In Bezug auf Nachrichten-Services, bei denen dem Nut-zer auf Basis eines von ihm angelegten Interessenprofils maßgeschneiderte Inhalte unterschiedlicher Quellen auf einer Oberfläche angeboten werden, könne eine Personalisierung als objektiv erforderlich angesehen werden, um den Vertrag mit dem Nutzer zu erfüllen. Anders zu beurteilen wären hingegen Fälle, in denen personalisierte Inhalte nur geliefert werden, um die User-Interaktion zu fördern: So sei Art 6 Abs 1 lit b DSGVO etwa nicht anwendbar, wenn bei einer Hotelbuchungsplattform vergangene Buchungen des Nutzers in einem Profil gespeichert werden, um diesem bei künftigen Abfragen bestimmte Hotels vorzuschlagen; auch hier sei eine andere Rechtsgrundlage zu prüfen.