bb) Zusammenhang, in dem die personenbezogenen Daten erhoben wurden (Art. 6 Abs. 4 lit. b)

      248

Des Weiteren hat der Verantwortliche gem. Art. 6 Abs. 4 lit. b „den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen“, zu berücksichtigen. Nach ErwG 50 S. 6 sind dabei insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten zu berücksichtigen. Letztlich fordert lit. b, dass ein Zusammenhang des ursprünglichen Erhebungszwecks mit dem späteren Weiterverarbeitungszweck durch den Verantwortlichen geprüft werden muss. Dabei lässt sich festhalten, dass je näher der neue Zweck im Zusammenhang mit dem ursprünglichen Erhebungszweck steht, desto eher ist die zweckändernde Weiterverarbeitung zulässig.[492] Da ErwG 50 S. 6 insbesondere auf die Erwartungen der betroffenen Person Rücksicht nimmt, ist im Rahmen von lit. b vor allem die Sicht der betroffenen Person und nicht diejenige des Verantwortlichen entscheidend.[493] Insofern ist insbesondere das Vertrauensverhältnis zwischen betroffener Person und Verantwortlichem entscheidend. Daraus folgt, dass etwa für die betroffene Person außerhalb der Erwartung liegende oder überraschende Weiterverarbeitungen zu einer Inkompatibilität der Zwecke führen.[494] Maßgeblich ist hierbei insbesondere die Transparenz im Hinblick auf die vorgenommene Datenverarbeitung bzw. deren Umfang.[495] Demzufolge gilt, dass sofern die verantwortliche Stelle Zwecke der Datenverarbeitung benennt und gleichwohl die Daten darüber hinaus zu anderen Zwecken verarbeitet, i.d.R. eine Inkompatibilität bereits aus der vorangegangenen Intransparenz gegenüber den Nutzern folgt.[496] Transparenzdefizite bzw. Defizite hinsichtlich der Informationspflichten führen damit unmittelbar zu einer Beschränkung der Weiterverarbeitungsbefugnis nach Art. 6 Abs. 4.[497] Insbesondere sofern der Verantwortliche (bewusst oder zumindest fahrlässig) auf die Möglichkeit verzichtet für eine Weiterverarbeitung etwa eine wirksame Einwilligung der betroffenen Person einzuholen, so ist eine Begründung der Weiterverarbeitung über Abs. 4 ausgeschlossen.[498] Zudem erfassen die „vernünftigen Erwartungen“ der betroffenen Personen nur rechtmäßige Datenverarbeitungen.[499] Die Weitergabe von Gesundheitsdaten von Nutzern einer Gesundheits-App, die mittels Analyse- oder Tracking-Tools an Dritte (etwa an Google, Amazon oder Facebook, z.B. zu Werbe- oder sonstigen Zwecken) ohne Kenntnis der Nutzer weitergeleitet werden, kann in diesem Sinne wohl keine kompatible Weiterverarbeitung personenbezogener Daten sein.[500] Auch eine Profilbildung ist mit dem ursprünglichen Zweck unvereinbar, wenn die betroffene Person darüber nicht vorab informiert wurde oder eine Profilbildung für die betroffene Person nicht vorherzusehen war.[501] Insofern ist auch Art. 22 zu beachten, der zeigt, dass dem Profiling eine Sonderrolle zukommt und dementsprechend die betroffene Person ein Recht hat diesem nicht unterworfen zu werden. Sofern der Verantwortliche somit Daten im Rahmen der Ersterhebung verarbeitet und diese später zu Zwecken des Profilings weiterverarbeitet, steht dem Art. 6 Abs. 4 wohl entgegen.

      249

Um den Zusammenhang festzustellen, ist somit ein besonderes Augenmerk auf das Verhältnis zwischen Verarbeiter und Betroffenem zu richten, bspw. für den Fall, dass die Zweckänderung im Rahmen eines Kunden- oder Arbeitsverhältnisses stattfindet. In diesem Zusammenhang ist auf die vernünftigen Erwartungen des Betroffenen abzustellen, ob also dieser, bspw. als Kunde oder Arbeitnehmer, mit einer entsprechenden Weiterverarbeitung rechnen konnte oder musste. In eine entsprechende Prüfung einzubeziehen ist eine Überlegung dessen, was üblich und allgemein erwartete Praxis im gegebenen Kontext sowie in der gegebenen (kommerziellen oder anderen) Beziehung wäre.[502] Eine Orientierung an einer gängigen Praxis scheidet gleichwohl dann aus, wenn diese etwa umstritten, unklar oder rechtswidrig ist.[503] Als Faustformel lässt sich daher festhalten: Je unerwarteter oder überraschender die weitere Verwendung ist, desto wahrscheinlicher ist es, dass sie als unvereinbar angesehen wird.[504]

cc) Art der personenbezogenen Daten (Art. 6 Abs. 4 lit. c)

      250

Relevant ist nach Art. 6 Abs. 4 lit. c ferner die Art der personenbezogenen Daten, insbesondere, ob besondere Kategorien personenbezogener Daten gem. Art. 9 oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 verarbeitet werden. Aufgrund des weiten Wortlauts können aber auch andere Arten personenbezogener Daten zu berücksichtigen sein, denen eine gesteigerte Schutzwürdigkeit zukommt. Die Art.-29-Datenschutzgruppe benennt als Beispiel etwa Kommunikationsdaten oder Standortdaten und sieht sogar eine etwaige Relevanz für den Fall, dass der Betroffene ein Kind ist oder anderweitig zu einem besonders schutzwürdigen Bevölkerungsteil gehört, wie zum Beispiel Asylsuchende oder ältere Menschen.[505] Letztlich kommt es damit i.R.v. Art. 6 Abs. 4 lit. c auf die Schutzwürdigkeit und den Aussagegehalt der Daten an.[506] Im Ergebnis gilt auch hier die Faustformel: Je sensitiver die Daten, desto geringer die Möglichkeit der Weiterverarbeitung.[507] Teilweise wird hierin gar ein Schwerpunkt der Beurteilung des gesamten Kompatibilitätstests gesehen.[508]

dd) Mögliche Folgen der beabsichtigten Weiterverarbeitung (Art. 6 Abs. 4 lit. d)

      251

Ebenso sind gem. Art. 6 Abs. 4 lit. d die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen zu berücksichtigen. Bei der Beurteilung der Folgen der Weiterverarbeitung sind sowohl positive als auch negative Konsequenzen zu berücksichtigen.[509] Dazu gehören auch potenzielle künftige Entscheidungen