Wer überprüft die Gültigkeit des Vertrags i.R.d. Art. 6 Abs. 1 lit. b DGVO? Estnische Datenschutzbehörde: „Ich nicht.“
Gemäß Art. 6 Abs. 1 lit. b DSGVO ist die Verarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist. Nach dem Wortlaut der Vorschrift ist also ein Vertrag erforderlich. Der EuGH hat in seinem Urteil in der Rechtssache C- 252/21 festgestellt, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich sein muss (Rn. 99). Es muss also ein Vertrag existieren.
Ob ein Vertrag aber tatsächlich zustande gekommen ist, ist jedoch keine Frage der DSGVO. Vielmehr ergibt sich dies in der Regel aus dem nationalen Vertragsrecht - ggfs. basierend auf europäischen Vorgaben. Art. 6 Abs. 1 lit. b DSGVO bezieht sich auch nicht nur auf eine bestimmte Art von Vertrag, sondern spricht von einem "Vertrag" im Allgemeinen. Unklare Position des EDSA
Ob die Datenschutzbehörden davon ausgehen, dass sie im Rahmen ihrer Tätigkeit das (nationale) Vertragsrecht selbst anwenden und überprüfen dürfen, ist leider nicht ganz klar, zumindest nach den Leitlinien 2/2019. In Rn. 9 dieser Leitlinien stellt der EDSA klar, dass "diese Leitlinien sich nicht zur Gültigkeit von Verträgen für Online-Dienste im Allgemeinen äußern, da dies außerhalb der Zuständigkeit des EDSA liegt". Gleichzeitig stellt der EDSA jedoch fest, dass "Verträge und Vertragsbedingungen den Anforderungen des Vertragsrechts genügen müssen". Gemäß Rn. 13 der Leitlinien "müssen Verträge über Online-Dienste nach dem anwendbaren Vertragsrecht rechtsgültig sein". Die Behörden verlangen also in jedem Fall einen gültigen Vertrag. Wenn sie die Gültigkeit jedoch nicht selbst beurteilen können, stellt sich die Frage, wie sie die Einhaltung von Art. 6 (1) b DSGVO überprüfen wollen. Ansicht der estnischen Datenschutzbehörde In einer Entscheidung vom 11. Oktober 2023 erklärte die estnische Datenschutzaufsichtsbehörde, dass sie: "nicht befugt ist, zu beurteilen, ob die Verträge rechtsgültig sind, worin die Forderungen bestehen, ob die Schulden tatsächlich beglichen wurden, ob die Regeln für die Abtretung der Forderung eingehalten wurden oder nicht, da es sich hierbei um Streitigkeiten handelt, die sich aus vertraglichen Beziehungen ergeben." Bei ihrer Überprüfung scheint die estnische Datenschutzbehörde davon auszugehen, dass die Verträge gültig sind, ohne dies selbst überprüfen zu können. Die Behörde scheint also eine Annahme der Gültigkeit zu treffen, wenn keine gegensätzlichen Hinweise vorliegen.
Entscheidung des estnischen Behörde: https://edpb.europa.eu/system/files/2024-01/ee_2023-10_decisionpublic.pdf
|