Die Erforderlichkeit der Datenverarbeitung begegnet einem in der DSGVO immer wieder – beispielsweise im Rahmen der Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO) oder den Datenverarbeitungs-Grundsätzen (Art. 5 Abs. 1 DSGVO). Obwohl die Rechtmäßigkeit der Verarbeitung vom Begriff der Erforderlichkeit abhängt, ist er unbestimmt und auslegungsbedürftig. Wir erklären, wie Sie die Erforderlichkeit einer Datenverarbeitung bewerten.
Allgemeines Prinzip der Erforderlichkeit
Die Erforderlichkeit einer Datenverarbeitung ist objektiv zu beurteilen. Es dürften keine subjektiven Maßstäbe für die Bewertung herangezogen werden. „Erforderlich“ bedeutet, dass die Verarbeitung auf die Daten beschränkt ist, die zur Erfüllung der zugrundeliegenden Verpflichtung und deren Zwecke benötigt werden.
Was im konkreten Zusammenhang „benötigt“ wird, ist für die Verantwortlichen aber oft genauso schwer zu beurteilen. Es ist wichtig zu verstehen, dass „erforderlich“ nicht mit „praktisch“, „hilfreich“, „wirtschaftlich sinnvoll“ oder „zweckdienlich“ gleichzusetzen ist.
Grundsätzlich gilt: Wenn es eine zumutbare Alternative gibt, ist diese primär zu nutzen. Erst dann, wenn ein Ausweichen oder ein Verzicht auf die Daten unzumutbar ist, ist die Erforderlichkeit gegeben.
Es muss keine zwingende Abhängigkeit zwischen der Datenverarbeitung und der Zweckerreichung bestehen. Sofern der Zweck der Verarbeitung aber auch ohne die Daten in zumutbarer Weise erfüllt werden kann, ist die Verarbeitung nicht erforderlich.
Erforderlichkeit im Rahmen des Art. 6 Abs. 1 DSGVO
Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn zumindest eine der darin aufgeführten Rechtsgrundlagen einschlägig ist. Abgesehen von der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) setzten alle Rechtsgrundlagen die Erforderlichkeit der Datenverarbeitung voraus, beispielsweise
- zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO),
- zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
- oder zur Wahrung berechtigter Eigen- oder Fremdinteressen (Art. 6 Abs. 1 lit. f DSGVO).
Auch in Bezug auf Art. 6 Abs. 1 DSGVO ist die „Erforderlichkeit“ eng auszulegen (EuGH, 04.10.2024 – C-621/22). Aus dem allgemeinen Prinzip der Erforderlichkeit lässt sich für Art. 6 Abs. 1 DSGVO Folgendes ableiten:
Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Erforderlichkeit liegt vor, wenn ein Vertrag mit der betroffenen Person geschlossen wurde und der Vertragszweck ohne die Datenverarbeitung nicht (effizient) erfüllt werden kann. Der Verantwortliche der Verarbeitung muss nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die Verarbeitung nicht erfüllt werden kann (EuGH, Urteil vom 12. September 2024, Az.: C-17/22, C-18/22).
Erforderlichkeit zur Erfüllung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
Erforderlichkeit liegt vor, wenn die Verarbeitung personenbezogener Daten notwendig ist, um vorvertragliche Anfragen des Betroffenen zu bearbeiten, einen Vertragsschluss vorzunehmen oder eigene Rechte geltend zu machen.
Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Erforderlichkeit liegt vor, wenn der Verantwortliche einer rechtlichen Verpflichtung unterliegt und er die Daten zur Erfüllung dieser Verpflichtung und zu dem sich aus der Verpflichtung ergebenden Zweck verarbeiten muss. Daten, die lediglich nützlich sein könnten oder für einen anderen Zweck erhoben werden sollen, sind nicht erforderlich.
Erforderlichkeit zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Erforderlichkeit liegt vor, wenn das berechtigte Interesse an der Verarbeitung nicht durch andere Mittel erreicht werden kann, die weniger stark in die Grundrechte und Freiheiten der betroffenen Person eingreifen (EuGH, Urteil vom 4. Oktober 2024, Az.: C-621/22). Nachdem ein berechtigtes Interesse und die Erforderlichkeit der Verarbeitung festgestellt wurden, muss der Verantwortliche eine umfangreiche Interessenabwägung durchführen.
Beispiele für die Erforderlichkeit der Datenverarbeitung
Die Adresse eines Kunden ist erforderlich, um eine Bestellung durchzuführen, eine Ware zu liefern oder eine Rechnung zu stellen. Zusätzlich kann eine Telefonnummer erforderlich sein, wenn Nachfragen vorhersehbar sind oder ein kurzfristiger Liefertermin vereinbart werden muss. Die Verarbeitung erfüllt somit die Voraussetzungen des Art. 6 Abs. 1 lit. b DSGVO.
Im Gegensatz dazu ist die Verarbeitung der Anrede in der Regel nicht erforderlich, um den Vertragszweck zu erfüllen (EuGH, 09.01.2025 – C-394/23).
Die Angabe einer E-Mail-Adresse ist erforderlich, wenn ein Dienst aus Sicherheitsgründen über ein Double-Opt-in-Verfahren bereitgestellt wird. Auch für die Beantwortung einer elektronisch gestellten Anfrage wird eine E-Mail-Adresse benötigt. Die Verarbeitung erfüllt die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO. Im Gegensatz dazu wäre hier die zusätzliche Verarbeitung einer Telefonnummer nicht erforderlich.
Eine Bank darf im Rahmen einer Kreditvergabe zulässigerweise Informationen über die Bonität des Interessenten einholen, selbst wenn die Abwicklung des Kreditvertrages auch ohne diese Informationen möglich wäre. Entsprechendes gilt normalerweise auch für den Vermieter einer Wohnung. Der Vertragsabschluss wäre der Bank oder dem Vermieter ohne die Bonitätsprüfung aufgrund eines erhöhten Schutzbedürfnisses nicht zumutbar. Die Verarbeitung erfüllt deshalb die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO. Eine Bonitätsprüfung wäre bei Geschäften ohne besondere Risiken hingegen nicht zulässig.
Fazit
Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Verarbeitungszweck nicht auf andere zumutbare Weise erreicht werden kann. “Erforderlich” ist also nicht, was bequem oder sinnvoll erscheint, sondern nur das, was zur Erreichung eines datenschutzrechtlich legitimierten Zwecks notwendig ist. Die Grenze ist eng zu ziehen.
Der Begriff der „Erforderlichkeit“ wird oftmals zu eigenen Gunsten falsch interpretiert. Vielen Verantwortlichen ist jedoch nicht bewusst, dass dies zur Rechtswidrigkeit der Datenverarbeitung und Bußgeldern sowie Schadensersatz führen kann. Sie sollten diese Beurteilung dementsprechend ernst nehmen und sich bei Unsicherheiten an einen Datenschutzexperten wenden.