DS-GVO/BDSG. David Klein
Читать онлайн книгу.
Kategorie von Empfängern hinaus (so § 4 Abs. 3 BDSG a.F.), indem grundsätzlich auch eine umfangreiche Information, insbesondere über die Rechte der Betroffenen Person, zu erfolgen hat. Im Rahmen der Informationspflichten ist es nach Ansicht der Art.-29-Datenschutzgruppe sogar notwendig, dass die Transparenzinformationen gegenüber betroffenen Personen regelmäßig aufzufrischen sind. Dies sei auch dann notwendig, wenn sich inhaltlich keine Änderungen ergeben haben.[54] Dem ist entgegenzuhalten, dass betroffene Personen, die keinen Überblick mehr über die Transparenzinformationen haben, sich diesen im Rahmen des Auskunftsersuchens gem. Art. 15 verschaffen können. Sämtliche Betroffene ungefragt in regelmäßigen Abständen mit Informationen zu behelligen, führt lediglich zu „Transparency Fatigue“.[55] Die Informationen würden dann bei tatsächlicher inhaltlicher Änderung gar nicht mehr zur Kenntnis genommen. Zudem erscheint es unbillig, Verantwortliche gem. Art. 83 für etwas haften zu lassen, das in den Art. 13 und 14 nicht vorgeschrieben ist.
41
Erweitert wurde auch das Auskunftsrecht der betroffenen Person (Art. 15). Weitere Konkretisierungen des Grundsatzes der Transparenz finden sich in der Verpflichtung zur Benachrichtigung des Betroffenen von Datenschutzverstößen (Art. 34) und der Veröffentlichung der Angaben zum betrieblichen oder behördlichen Datenschutzbeauftragten (Art. 37 Abs. 7).
42
Wesentliches Ziel von Zertifizierungen der Datenschutzkonformität ist die Transparenz. Nach ErwG 100 sollen Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen ermöglichen, den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen zu ermöglichen. Das Zertifizierungsverfahren ist seinerseits in Art. 42 geregelt. Diese Transparenzpflichten werden auf Grundlage der Öffnungsklausel in Art. 23 konkretisiert bzw. eingeschränkt in den §§ 23–36 BDSG n.F. sowie bei der Videoüberwachung öffentlich zugänglicher Räume in § 4 Abs. 2 BDSG n.F.
III. Zweckbindung, Abs. 1 lit. b (Purpose Limitation)
43
Ein wesentlicher Kern der DS-GVO ist auch der Grundsatz der Zweckbindung. Dieser ergibt sich schon aus Art. 8 Abs. 2 S. 1 der GRCh. Er soll verhindern, dass einmal erhobenen und gespeicherten Daten nicht für beliebige Zwecke weiterverarbeitet werden.[56] Damit begrenzt der Grundsatz der Zweckbindung die Verarbeitungsmöglichkeiten auf einen legitimen, gegenüber der Betroffenen Person informierten, Zweck.
44
Die Verarbeitung muss für „festgelegte“ Zwecke erfolgen. Damit muss die Zweckbestimmung schon zum Zeitpunkt der Datenerhebung festgelegt sein. Die Festlegung bedingt entsprechende Informationspflichten gem. Art. 13 und 14, wonach betroffene Personen über die festgelegten Zwecke zu informieren sind.
45
Eine bestimmte Form ist für die Zweckfestlegung nicht vorgeschrieben. Es ist aber zu berücksichtigen, dass der Verantwortliche nach Art. 5 Abs. 2 die Einhaltung des Zweckbindungsgrundsatzes nachweisen können muss. Eine rein gedankliche Zweckfestlegung wird hierzu nicht ausreichen. Vielmehr muss die Festlegung in einer Weise dokumentiert werden, die es Dritten erlaubt, sie nachzuvollziehen. Geeignet ist hierfür jedenfalls die Dokumentation der Verarbeitungswecke in Schriftform.[57] Sofern andere Formen die notwendige Nachweisfunktion erfüllen, sind auch diese Formen praktikabel.
46
Art. 5 Abs. 1 lit. b fordert die Verarbeitung für „eindeutig“ festgelegte Zwecke. Damit wird eine hinreichende Bestimmtheit gefordert. Das schließt nicht aus, dass bei bestehenden ausreichenden Rechtsgrundlagen auch umfangreichere Bearbeitungen festgelegt werden können. Die Verwendung des Plurals „Zwecke“ macht deutlich, dass auch bei der Datenerhebung mehrere illegale Zwecke zur Datenverarbeitung zulässig sind, z.B. Vertragserfüllung und personalisierte Werbung. Die „Legitimität“ hinsichtlich der festgelegten Zwecke nimmt Bezug auf die Rechtmäßigkeit, die ihrerseits gem. Art. 5 Abs. 1 lit. a ein Grundsatz der DS-GVO ist.
47
Eine Zweckänderung und damit eine Durchbrechung des Zweckbindungsgrundsatzes stellt die Weiterverarbeitung dar. Diese ist unter bestimmten Voraussetzungen gem. Art. 6 Abs. 4 für eine Datenverarbeitung zu anderen, als dem bei der Datenerhebung festgelegten Zweck, zulässig.[58] Die zweckändernde Datenverarbeitung ist allerdings nur unter eingeschränkten Bedingungen zulässig.
48
Erforderlich ist eine Vereinbarkeit von ursprünglichen und neuen Zweck. Hierzu werden in Art. 6 Abs. 4 einschränkende Kriterien genannt. Falls diese Kriterien nicht erfüllt werden, die Weiterverarbeitung zu geänderten Zweck unvereinbar mit dem ursprünglichen Zweck ist, müssen die Daten erneut erhoben werden.[59] Ansonsten muss der Betroffene nach ErwG 50 in die Verarbeitung für den neuen Zweck einwilligen.
49
Unbestritten ist, dass für zweckändernde Weiterverarbeitung eine Rechtsgrundlage notwendig ist.[60] Nach ErwG 50 S. 2 ist im Fall der Kompatibilität der Verarbeitungszwecke keine andere gesonderte Rechtsgrundlage erforderlich, als diejenige, der Erhebung der personenbezogenen Daten. Die wörtliche Auslegung des ErwG 50 ist vor dem Hintergrund des Grundsatzes der Rechtmäßigkeit der Datenverarbeitung problematisch. Deshalb muss für eine zweckändernde Weiterverarbeitung sowohl dieselbe als auch eine eigenständige Rechtsgrundlage vorliegen.
50
Eine Weiterverarbeitung ist auch auf Grundlage einer Rechtsvorschrift der Union oder der Mitgliedstaaten zulässig. Die Regelungen der §§ 23 und 25 BDSG n.F. sehen eine zweckändernde Datenverarbeitung bzw. Datenübermittlung durch öffentliche Stellen vor; § 24 n.F. regelt die zweckändernde Datenverarbeitung durch nicht öffentliche Stellen.[61]
51
Archivzwecke, Forschungszwecke und statistische Zwecke: Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt als nicht unvereinbar mit dem ursprünglichen Zweck, sofern die Voraussetzungen des Art. 89 Abs. 1 vorliegen. Dies bedeutet, dass nach Abs. 1 lit. e Hs. 2 TOM zu ergreifen sind, um die Weiterverarbeitung auf diese Zwecke zu begrenzen.