DS-GVO/BDSG. David Klein
Читать онлайн книгу.
22 BDSG n.F. vorliegen. Sofern bei einer zweckändernden Weiterverarbeitung durch Behörden zu ihrer Aufgabenerfüllung also besondere Kategorien personenbezogener Daten einbezogen sind, müssen über das Vorliegen eines Erlaubnistatbestands des § 23 Abs. 1 BDSG n.F. hinaus weitere Voraussetzungen erfüllt sein. Namentlich muss ein Erlaubnistatbestand des Art. 9 Abs. 1 erfüllt sein oder ein solcher des § 22 BDSG n.F. Beide Vorschriften regeln explizit die Verarbeitung besonderer Kategorien personenbezogener Daten.[539]
aa) Allgemeines
275
§ 24 BDSG n.F. regelt die Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen. Sie betrifft damit den unmittelbaren Anwendungsbereich von Art. 6 Abs. 4, stellt jedoch gegenüber diesem andere Anforderungen i.S.v. weiteren Tatbeständen auf, nach denen eine zweckändernde Verarbeitung zulässig sein soll. Insofern gelten die Vorschriften nebeneinander. Teilweise wird mangels Regelungsbefugnis des deutschen Gesetzgebers § 24 BDSG als unionsrechtswidrig erachtet (vgl. dazu bereits Rn. 237 und 258 f.).[540] Die Vorschrift orientiert sich an den Regelungen der § 28 Abs. 2 Nr. 2 lit. b, § 28 Abs. 2 i.V.m. Abs. 1 Nr. 2 sowie § 28 Abs. 8 S. 1 i.V.m. Abs. 6 Nr. 1 bis 3 und Abs. 7 S. 2 BDSG a.F.[541]
bb) Norminhalt des § 24 Abs. 1 BDSG
276
Nach § 24 Abs. 1 Nr. 1 BDSG n.F. ist die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist. Ein weiterer Erlaubnistatbestand für eine zweckändernde Weiterverarbeitung wäre, wenn sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist (Nr. 2). In beiden Fällen dürfen zudem nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.
(1) Gefahrenabwehr und Strafverfolgung (§ 24 Abs. 1 Nr. 1 BDSG)
277
Nach dem reinen Wortlaut der Vorschrift, der über den Wortlaut im BDSG a.F. hinausgeht, da dieser nur „Übermittlungen und Nutzungen“ regelte und nun sämtliche Verarbeitungen erfasst sind, können nichtöffentliche Stellen zur Gefahrenabwehr und Strafverfolgung personenbezogene Daten zweckfremd verwenden. Da nichtöffentliche Stellen aber regelmäßig keine Aufgaben der Gefahrenabwehr oder der Strafverfolgung übernehmen, wird die Vorschrift in der Regel für Auskunftsverfahren von Behörden gegenüber Privaten dienen. Ein Verantwortlicher sollte darauf achten, ob eine spezialgesetzliche Auskunftspflicht gegenüber Behörden besteht. Sofern dies nicht der Fall ist, wird sie im Rahmen der Interessenabwägung zu beurteilen haben, ob sie personenbezogene Daten herausgeben darf. Hierbei wird man sich der Faustformel bedienen können: Je schwerwiegender die Gefahr oder die zu verfolgende Strafe, desto geringer das Interesse des Betroffenen an einem Ausschluss der Verarbeitung.
(2) Zivilrechtliche Ansprüche (§ 24 Abs. 1 Nr. 2 BDSG)
278
Nach Abs. 1 Nr. 2 können Daten zweckändernd zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche verarbeitet werden, sofern dies für die Zweckerreichung erforderlich ist. Sofern man nicht der Ansicht ist, dass die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche bereits vom ursprünglichen Verarbeitungszweck erfasst ist, weil dies als notwendiges Annex zur Datenverarbeitung anzusehen ist (zum Beispiel im Rahmen eines Vertragsschlusses, bei dem die Parteien in Streit geraten sind), ist der vorliegende Erlaubnistatbestand eine notwendige Vorschrift, um Datenverarbeitungen im Nachgang zu zweckgebundenen Verarbeitungsvorgängen für die Geltendmachung zivilrechtlicher Ansprüche zu rechtfertigen.
cc) Norminhalt des § 24 Abs. 2 BDSG
279
Hierzu kann auf die Kommentierung zu § 23 Abs. 2 BDSG n.F. verwiesen werden.[542]
e) § 49 BDSG n.F.
280
§ 49 BDSG regelt eine „Verarbeitung zu anderen Zwecken“ und bestimmt, dass es sich bei dem anderen Zweck um einen solchen des § 45 BDSG handeln muss (Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten sowie gegebenenfalls Vollstreckung von Strafen, Maßnahmen, Erziehungsmaßregeln oder Zuchtmitteln und von Geldbußen). Auch ein anderer Zweck kommt in Betracht, sofern dies in einer Rechtsvorschrift explizit vorgesehen ist (§ 49 S. 2 BDSG). Zur zweckfremden Verarbeitung muss der Verantwortliche befugt sein, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig sein. § 49 BDSG befindet sich in Teil 3, den „Bestimmungen für Verarbeitungen zu Zwecken gem. Art. 1 Abs. 1 RL (EU) 2016/680“[543] und ist daher nur im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit anwendbar.
a) Definition von „Big Data“
281
Es gibt keine trennscharfe Definition des Begriffs „Big Data“.[544] Nach einer weitgehend anerkannten Begriffsbestimmung bezeichnet Big Data die Analyse großer Datenmengen aus vielfältigen Quellen in hoher Geschwindigkeit mit dem Ziel, wirtschaftlichen Nutzen zu erzeugen.[545] Demnach liegen stets vier Merkmale vor: Eine gigantische Datenmenge aus unterschiedlichsten Quellen, die in enormer Geschwindigkeit einer zuverlässigen Auswertung zugeführt werden.[546]
b) Praktischer Bedarf nach Big Data-Anwendungen
282
Praktisch zeigt sich ein immenses Bedürfnis, Big Data-Verfahren anzuwenden. Dies liegt nicht nur daran, dass verschiedenste Anwendungsfelder den Einsatz von Big Data nicht nur erlauben, sondern künftig überaus empfehlenswert machen.[547]Big Data-Analysen ermöglichen es, auf fundamentaler Ebene weitreichende und äußerst nützliche Informationen zu generieren, bspw. zur proaktiven Problemerkennung (z.B. Krankheiten,[548] genetische Prädispositionen, Falldatenbanken[549]), für Prognosen (z.B. Wetter,[550] Konjunktur oder Katastrophenwarnsysteme[551]), zur Auswertung und Optimierung (Informationsangebote, Entscheidungsfindung, intelligente Verkehrssysteme oder Stromnetze[552] aber auch Smart bzw. Connected Cars[553]) sowie in Bezug auf demographische Aspekte (z.B. zur Entwicklung neuer Geschäftsmodelle, der Schaffung neuer Arbeitsplätze und generell wirtschaftlichen Wachstums[554]). Die Menschheit hatte bis zum Jahr 2013 etwa 2,8 Zettabyte (eine Billion Gigabyte) an digitalen Daten hervorgebracht, jährlich wird von einer Steigerungsrate von 50