DS-GVO/BDSG. David Klein
Читать онлайн книгу.
Kriterien gelegt werden. Um dem Zweckbindungsgrundsatz nicht auszuhöhlen, ist Abs. 4 grundsätzlich restriktiv auszulegen.[467]
241
Fraglich ist auch, wie die Kriterien letztlich zu gewichten sind oder wie damit umzugehen ist, wenn eines der Kriterien nicht erfüllt ist. Insbesondere im Rahmen von Art. 6 Abs. 4 lit. c stellt sich die Frage, ob die Verarbeitung sensibler Daten nach Art. 9 bloß ein Abwägungskriterium oder vielmehr ein Ausschlusskriterium darstellt, dass die Kompatibilitätsprüfung beendet.[468] Der Wortlaut der Norm enthält dahingehend keine eindeutige Aussage. Denn Art. 6 Abs. 4 spricht zwar davon, dass die Kriterien „berücksichtigt“ werden müssen, nicht aber davon, dass auch alle Kriterien eingehalten werden müssen bzw. in für den Betroffenen positiver Weise erfüllt sein müssen. Art. 6 Abs. 4 statuiert insofern eine lediglich eine „Berücksichtigungspflicht“[469], aber keine Verpflichtung des Verantwortlichen diese Kriterien vollständig erfüllen zu müssen.[470] Den Verantwortlichen trifft damit wohl zumindest die Nachweispflicht, dass er sich hinreichend mit den in Art. 6 Abs. 4 genannten Kriterien im Rahmen seiner Kompatibilitätsprüfung auseinandergesetzt hat.[471] Hierfür spricht auch, dass die Kriterien teilweise selbst nur als Beispiele formuliert sind (lit. b und lit. c „insbesondere“; lit. e „wozu (…) gehören kann“).[472] Dies ist auch sinnvoll, da die Norm selbst kein Prüfungsergebnis regulieren will, sondern lediglich die Notwendigkeit und Voraussetzungen des Kompatibilitätstests an sich statuiert.
242
Jedes Kriterium ist vom Verantwortlichen mit Leben zu füllen und die Zulässigkeit des Verarbeitungsvorgangs ergibt sich letztlich anhand einer Gesamtschau der Kriterien. Hierbei ist darauf hinzuweisen, dass lediglich das Letzte der fünf Kriterien überhaupt einen „erfüllbaren“ Status festlegt, nämlich die Tatsache, ob „geeignete Garantien“ bei der Datenverarbeitung vorhanden sind, bspw. Verschlüsselung oder Pseudonymisierung. Aus dem Wortlaut wird hier deutlich, dass dies nicht unter allen Umständen der Fall sein muss, sondern dieser Punkt lediglich in die Vereinbarkeitsprüfung einbezogen werden muss. Umgekehrt ergibt sich daraus gleichfalls, dass eine Vereinbarkeit auch dann noch gegeben sein kann, wenn keine „geeigneten Garantien“ vorhanden sind. Dies kann bspw. der Fall sein, wenn eine Prüfung der anderen vier Kriterien die Erlaubnis einer zweckfremden Vereinbarung in besonderem Maße nahelegt. Die anderen vier Kriterien beschreiben eher einen „Status“ oder bestimmte Umstände eines jeweiligen zweckfremden Verarbeitungsvorgangs. Aus dieser Thematik ergibt sich demnach leider auch die Konturlosigkeit der Vorschrift insgesamt, weil letztlich keine strengen, greif- bzw. messbaren Kriterien für die Vereinbarkeitsprüfung gesetzlich festgelegt wurden, sondern eher unbestimmte, ausfüllungsbedürftige Kriterien. Die Vielzahl wertungsbedürftiger Begriffe erschwert die rechtssichere Entscheidung.[473]
243
Hieraus ergibt sich für den Verantwortlichen in jedem Fall eine Unsicherheit in der Beurteilung der Frage, ob eine zweckfremde Verarbeitung zulässig ist oder nicht. Befindet die verantwortliche Stelle positiv über die Zulässigkeit der Verarbeitung, ist eine ausführliche und gewissenhafte Dokumentation der Prüfungsschritte bis hin zum positiven Ergebnis (aus Sicht des Verantwortlichen), die auch die Gewichtung der einzelnen Kriterien beschreibt, entsprechend Art. 5 Abs. 2 unabdingbar. Andernfalls bleiben die Kriterien lediglich „inhaltslos und dehnbar“.[474] Empfehlenswert ist insoweit eine umfassende Dokumentation, bspw. durch den Datenschutzbeauftragten unter Einbeziehung der betroffenen Fachbereiche in schriftlicher Form (Vermerkform),[475] gegebenenfalls abgezeichnet vom zuständigen Entscheidungsträger im Unternehmen.
aa) Verbindung zwischen den Zwecken (Art. 6 Abs. 4 lit. a)
244
Der Verantwortliche hat nach Art. 6 Abs. 4 lit. a zunächst „jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung“ zu berücksichtigen. Daraus lässt sich als Leitlinie ableiten, dass je weiter der ursprüngliche Erhebungszweck und der Zweck der Weiterverarbeitung sowohl in inhaltlicher, aber auch in zeitlicher Hinsicht auseinander liegen, desto weniger wird von einer Vereinbarkeit der Zwecke auszugehen sein.[476] Es kann davon ausgegangen werden, dass unter diesem Punkt eine zumindest irgendwie geartete Verbindung zwischen den Zwecken bestehen muss, um eine zweckändernde Weiterverarbeitung zu rechtfertigen. Je weiter der Zweck der ursprünglichen Verarbeitung und der Zweck der Weiterverarbeitung auseinander liegen, desto schwieriger lässt sich eine Ausnahme von der zweckgebundenen Verarbeitung rechtfertigen.[477]
245
Einigkeit besteht dahingehend, dass von einer Verbindung zwischen den Zwecken i.S.d lit. a jedenfalls dann ausgegangen werden kann, wenn der neue Zweck ein „logischer nächster Schritt“[478] im Verarbeitungsprozess oder eine naheliegende Folge der ursprünglichen Zweckbestimmung darstellt.[479] Insbesondere in diesen Fällen ist auch aus Sicht der betroffenen Person und ihren Erwartungen mit einer Weiterverarbeitung zu rechnen.[480] Zu weitgehend dürfte es nach dem eindeutigen Wortlaut allerdings sein, es ausreichen zu lassen, dass zwar eine irgendwie geartete denklogische Weiterverarbeitung vorliegt, allerdings keinerlei Verbindung zwischen altem und neuem Zweck mehr existiert.[481] Letztlich sollte geprüft werden, ob ein nachvollziehbarer Sachzusammenhang gegeben ist, um eine Verbindung zwischen den Zwecken festzustellen.
246
Ein Beispiel für eine Zweckänderung ist die Weiterverarbeitung von personenbezogenen Daten zu Werbezwecken die ursprünglich allein zu Zwecken der Erfüllung eines Vertrags erhoben und verarbeitet wurden. Hier sind insbesondere die Aussagen von § 7 Abs. 2 und 3 UWG zu beachten. Demzufolge lässt sich festhalten: Sofern personenbezogene Daten abweichend vom ursprünglichen Erhebungszweck nunmehr zu Werbezwecken verarbeitet werden, liegt eine Zweckänderung vor, deren Zulässigkeit sich nach Art. 6 Abs. 4 beurteilt.[482] Indizien im Rahmen der Kompatibilitätsprüfung liefern insoweit § 7 Abs. 2 und 3 UWG.[483] Sollte der Verantwortliche etwa den Zweck einer sich an die Vertragsabwicklung anschließenden werblichen Nutzung der Daten bereits im Zeitpunkt der Erhebung hinreichend definieren, so steht einer späteren werblichen Nutzung der Daten als kompatibler Nutzung grundsätzlich nichts entgegen. Denn die werbliche Verarbeitung von im Rahmen eines Vertragsverhältnisses erhobenen Daten ist insofern eine nach Art. 6 Abs. 4 zulässige Weiterverarbeitung von ursprünglich zu anderen Zwecken erhobenen Daten.[484] Eine Vereinbarkeit der Zwecke kann in diesem Sinne etwa dann vorliegen, wenn Bestandsdaten von Kunden für Werbezwecke weiterverarbeitet werden, sofern der Weg und die Form der Kommunikation etwa nicht gegen § 7 Abs. 2 und 3 UWG verstoßen. Demgegenüber ist die Datennutzung für Werbezwecke Dritter nach Ersterhebung wohl keine mit dem ursprünglichen Erhebungszweck zu vereinbarende Datenverarbeitung mehr.[485] Ob im Zuge der Weite des Verarbeitungsbegriffs und der Erwähnung von Drittinteressen in Art. 6 Abs. 1 lit. f auch im Falle von Datenübermittlungen zu Werbezwecken Dritter von einem kompatiblen Zweck auszugehen ist, ist letztlich eine Frage, die durch den Europäischen Gerichtshof abschließend zu klären ist.[486] Die DSK hat in diesem Zusammenhang