DS-GVO/BDSG. David Klein
Читать онлайн книгу.
zudem, dass sich der Dritte gegenüber der öffentlichen Stelle verpflichtet, die Daten nur für den Übermittlungszweck zu verarbeiten. Da sich die Bindung an den Übermittlungszweck schon aus dem Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b ergibt, regelt die Norm konstitutiv nur den Zwang sich dieser Bindung auch gegenüber der Behörde zu verpflichten. Die rechtliche Bedeutung ist unklar. Die Erklärung könnte etwa als rechtsgeschäftliche Willenserklärung Ansprüche der Behörde gegenüber dem Empfänger begründen.[677]
2. § 25 Abs. 2 S. 2 BDSG: Zweckändernde Weiterverarbeitung
35
§ 25 Abs. 2 S. 2 BDSG bestimmt, dass eine Weiterverarbeitung der Daten durch den Empfänger zu anderen Zwecken als denjenigen, die der ursprünglichen Übermittlung zugrunde lagen, (nur) dann zulässig ist, wenn eine Übermittlung durch die öffentliche Stelle auch zu den neuen Zwecken hätte erfolgen dürfen (die Voraussetzungen des S. 1 erfüllt wären) und die übermittelnde Behörde der Zweckänderung zustimmt. Möchte die nichtöffentliche Stelle also Daten, die sie zur Rechtsdurchsetzung erhalten hat, für statistische Zwecke nutzen, muss die Behörde, welche die Daten erhoben und dem Dritten übermittelt hat, dieser Änderung zustimmen. Außerdem müsste eine (neue) Datenübermittlung zu statistischen Zwecken durch die öffentliche Stelle zulässig sein.
36
Insofern ist eine Anfrage bei der Behörde, welche die Daten ursprünglich übermittelte, erforderlich, die von dieser inhaltlich wie ein neues Übermittlungsersuchen zu behandeln ist. Das Erfordernis der Anfrage erscheint insbesondere angesichts der nach § 25 Abs. 2 S. 1 BDSG erforderlichen, verpflichtenden Erklärung des Dritten gegenüber der Behörde, von einer zweckändernden Verarbeitung abzusehen, sachgerecht.[678]
37
§ 25 Abs. 2 S. 2 BDSG bestimmt nicht nur Anforderungen, die an eine Zweckänderung zu stellen sind, sondern enthält vor allem einen Zulässigkeitstatbestand für die Weiterverarbeitung, insofern diese Anforderungen erfüllt sind. Insoweit normiert der Abs. 2 S. 2 für die zweckändernde Weiterverarbeitung nach einem Übermittlungsvorgang einen eigenen (engen) Zulässigkeitstatbestand, der es dem Empfänger verbietet, sich hierüber hinaus auf den allgemeinen Rechtfertigungsgrund des § 24 BDSG zu berufen.
IV. Datenübermittlung besonderer Kategorien (§ 25 Abs. 3 BDSG)
38
Eine Übermittlung sog. sensibler Daten (Art. 9 Abs. 1) ist nach § 25 Abs. 3 BDSG nur zulässig, wenn neben den Voraussetzungen des § 25 Abs. 1 oder 2 BDSG ein Ausnahmetatbestand nach Art. 9 Abs. 2 oder § 22 BDSG vorliegt. Auch Art. 9 Abs. 1 enthält ein prinzipielles Verarbeitungsverbot, von welchem in den in Abs. 2 geregelten Fällen[679] oder nach § 22 BDSG, der sich wiederum auf die Öffnungsklausel des Art. 9 Abs. 2 stützt, abgewichen werden kann.[680] § 25 Abs. 3 BDSG wiederholt insofern lediglich deklaratorisch die ohnehin geltenden Ausnahmeregelungen für die Verarbeitung von besonders sensiblen Daten für den Fall der Datenübermittlung.[681]
V. Benachrichtigungspflichten bei zweckändernder Übermittlung
39
Da der Übermittlungszweck regelmäßig vom Erhebungszweck abweicht und die Übermittlung daher mit einer Zweckänderung verbunden ist (vgl. Rn. 20), entstehen durch die Datenübermittlung typischerweise Benachrichtigungspflichten aus Art. 13 und 14.[682] Eine Benachrichtigungspflicht entsteht (im Übrigen nach Art. 83 Abs. 5 bußgeldbewährt) gem. Art. 13 Abs. 3, wenn die Daten bei der betroffenen Person erhoben wurden, und gem. Art. 14 Abs. 4, wenn sie an anderer Stelle erhoben wurden.[683] Sowohl Art. 13 Abs. 3 als auch Art. 14 Abs. 4 bestimmen, dass die betroffene Person vor der Datenübermittlung zu unterrichten ist. Bereit zu stellen sind Informationen über den neuen Zweck sowie alle maßgeblichen Informationen, die auch bei der Datenerhebung nach den jeweiligen Abs. 2 zur Verfügung zu stellen waren. Diese Regelungen werden durch die §§ 32 und 33 BDSG beschränkt.[684]
Anmerkungen
Abrufbar unter: https://datenethikkommission.de/gutachten/, zuletzt abgerufen am 29.4.2020.
Vgl. ABl. C Nr. 192/7, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:C:2012:192:FULL&from=pl, zuletzt abgerufen am 29.4.2020.
Abrufbar unter http://dipbt.bundestag.de/doc/btd/06/038/0603826.pdf, zuletzt abgerufen am 29.4.2020.
Vgl. ErwG 32, 42, 43.
Vgl. ErwG 44–50, 55, 56.
Vgl. Plath-Plath Art. 4 Rn. 2.
Vgl. Redeker IT-Recht, Anhang: Künftige Änderungen durch die Datenschutz-Grundverordnung, Rn. 1393.
Vgl. Härting Datenschutz-Grundverordnung,