a) Allgemeines

      238

Der Wortlaut der Vorschrift ist etwas unglücklich formuliert und lässt ihren Gehalt erst nach genauer Analyse erkennen:[458] Sofern eine Datenverarbeitung nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht, kann ein Verantwortlicher eine Verarbeitung zu einem anderen Zweck als zu demjenigen durchführen, zu dem die personenbezogenen Daten erhoben wurden – vorausgesetzt, er stellt fest, dass die Verarbeitung zu einem anderen Zweck mit dem ursprünglichen Zweck vereinbar ist. Dies bedeutet zum einen, dass eine Zweckänderung bereits durch eine Einwilligung oder gesetzliche Vorschrift zulässig sein kann.[459] Erst wenn weder eine entsprechende Einwilligung noch eine gesetzliche Erlaubnis für die zweckändernde Weiterverarbeitung besteht, findet Art. 6 Abs. 4 Anwendung.

      239

Kerninhalt der Vorschrift ist demnach die Prüfung der Vereinbarkeit von ursprünglichem und neuem bzw. späterem Zweck im Rahmen einer Weiterverarbeitung von Daten. Der Wortlaut des ErwG 50 gibt weiter Aufschluss über den Inhalt der Norm. Ein Verantwortlicher muss demnach schrittweise vorgehen, indem er zunächst prüft, ob eine Einwilligung für die zweckfremde Verarbeitung vorliegt oder eine Rechtsvorschrift der Union oder der Mitgliedstaaten die Verarbeitung rechtfertigen würde. In diesem Fall ist es auch möglich, dass die Verarbeitung trotz nicht miteinander zu vereinbarender Zwecke durchgeführt wird.[460] Dies unterstreicht auch ErwG 50 S. 7: Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf einer gesetzlichen Erlaubnis, dann sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke verarbeiten dürfen. Es bedarf dann keiner Prüfung der Voraussetzungen von Art. 6 Abs. 4 mehr. Wenn indes keine Einwilligung oder gesetzliche Erlaubnis vorliegt, muss der Verantwortliche die Vereinbarkeit der Zwecke der Datenverarbeitung entsprechend den Voraussetzungen des Art. 6 Abs. 4 prüfen.

      240

Eine Definition der Vereinbarkeit der Zwecke liefert die DS-GVO nicht. So bleibt offen, was eine Vereinbarkeit der Zwecke bedeutet und wann diese gegeben ist.[461] Vielmehr legt die Norm dem Verantwortlichen die Prüfung der Vereinbarkeit anhand der in der Verordnung genannten Kriterien auf. Diese sind nicht abschließend, denn der Wortlaut bezeichnet die genannten als die „unter anderem“ für die Feststellung der Kompatibilität relevanten Kriterien.[462] Fraglich ist zudem, ob es für die Beurteilung der Vereinbarkeit der Zwecke auf die Sicht des Verantwortlichen[463] oder die Sicht der betroffenen Person[464] ankommt. Letztlich sind nach ErwG 50 S. 6 sowie Art. 6 Abs. 4 lit. b und d zumindest auch die Erwartungen der betroffenen Person zu berücksichtigen. Die Entscheidung über eine Vereinbarkeit muss gleichwohl letztlich der Verantwortliche treffen. Es ist zudem nicht unmittelbar ersichtlich, welche weiteren Kriterien nach dem Willen des Verordnungsgebers in die Vereinbarkeitsprüfung miteinbezogen werden sollen. Der nicht abschließende Katalog des Art. 6 Abs. 4 und die Offenheit des Tatbestandes führen damit zu einer erheblichen Rechtsunsicherheit für Verantwortliche und Rechtsanwender.[465] Gleichwohl enthält ErwG 50 S. 6 eine Leitlinie, der die Prüfung der Zulässigkeit der Weiterverarbeitung zu folgen hat. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Personen in Bezug auf die weitere Verwendung ihrer Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob auch hinsichtlich der beabsichtigten Weiterverarbeitung geeignete Garantien bestehen (vgl. ErwG 50 S. 6). Dementsprechend wird bspw. vorgeschlagen, die Tatsache der erweiterten Verarbeitung im Rahmen des dem Betroffenen bekannten Unternehmensgegenstandes mit einzubeziehen oder wie in der Vergangenheit verfahren wurde und ob es Datenpannen oder Beschwerden in nennenswertem Umfang gegeben hat.[466] Hierbei ist allerdings problematisch, dass sich dadurch kaum eine Eingrenzung der möglichen Kriterien vornehmen lässt, da insofern grundsätzlich sämtliche – sowohl unmittelbar als auch mittelbar – mit dem jeweiligen Verarbeitungsvorgang im Zusammenhang stehende Umstände theoretisch berücksichtigt werden könnten. So könnte bspw. zu erwägen sein, zumindest im Falle umfangreicher Datenverarbeitungsvorgänge, zu einem eher entfernten (aber gegebenenfalls immer noch zu vereinbarenden) Zweck auch die finanzielle Ausstattung des Verantwortlichen einzubeziehen, um einem höheren Verstoß- und damit Geldbußerisiko vorzubeugen. Daneben könnten Allgemeininteressen an der Weiterverarbeitung in die Prüfung miteinfließen oder inwieweit Rechte oder Interessen Dritter tangiert werden. Insbesondere im Rahmen von Big Data-Anwendungen und Datenverarbeitungen etwa zur Verbesserung der Sicherheit von Produkten sind derartige Abwägungsparameter bedeutsam. Allerdings verbleibt in jedem Fall das Risiko, dass die Abgrenzung zu „noch einzubeziehenden“ und „bereits irrelevanten“ Kriterien derzeit schwerlich rechtssicher zu treffen sein wird, zumal die DS-GVO hierfür außer dem Katalog des Art. 6 Abs. 4 und ErwG 50 S. 6 keinerlei Anhaltspunkte bietet. In der Praxis sollte daher der Fokus vorrangig auf die fünf in