ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
173
Fehlt es für die zweckändernde Weiterverarbeitung allerdings an einer Erlaubnis, kann eine Vereinbarkeitsprüfung gemäß Absatz 4 doch zur Rechtmäßigkeit der zweckändernden Weiterverarbeitung führen. Das legt auch der Wortlaut des ErwG 50 Abs. 1 Satz 2 nahe: „In diesem Fall [der Vereinbarkeit] ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten.“ Der Satz ist so zu verstehen, dass für die ursprüngliche Erhebung zu dem (Primär-)Zweck eine Rechtsgrundlage vorhanden sein muss; die Erhebung musste also auf der Grundlage eines Erlaubnistatbestands rechtmäßig gewesen sein. Wenn dann eine Prüfung der Vereinbarkeit entlang der Kriterien des Absatzes 4 aus der Sicht des Verantwortlichen positiv verläuft, braucht „keine andere gesonderte Rechtsgrundlage“ für die zweckändernde Weiterverarbeitung herangezogen zu werden.310
b) Vereinbarkeitsprüfung/Kompatibilitätstest
174
Stellt der Verantwortliche fest, dass der Zweck, zu dem Daten weiterverarbeitet werden sollen, mit dem ursprünglichen Zweck vereinbar ist, dann wäre die zweckändernde Verarbeitung auch dann rechtmäßig, wenn die Verarbeitung weder aufgrund einer Einwilligung noch einer gesetzlichen Vorschrift erlaubt wäre. Liegt eine solche Erlaubnis nicht vor, kann der Verantwortliche prüfen, ob der andere Zweck mit demjenigen Zweck, zu dem die Daten erhoben worden waren, vereinbar ist. Was unter „Vereinbarkeit“ zu verstehen ist, wird von der DSGVO nicht legaldefiniert. Aus dem Normtext erschließt sich, dass eine Vereinbarkeit besteht, wenn der Verantwortliche dies unter Berücksichtigung der in den im Absatz 4 Buchstaben a bis e enthaltenen Kriterien, die nicht abschließend („unter anderem“) aufgezählt sind,311 festgestellt hat.
175
In der Praxis dürfte es angesichts des in Absatz 4 enthaltenen, nicht abschließenden Kriterienkatalogs zu einer nicht unerheblichen Unsicherheit bei der Frage kommen, wie die Vereinbarkeit festzustellen ist; denn der Normtext fordert lediglich auf, dass bei der Prüfung die Kriterien „berücksichtigt“ werden müssten. Die Norm erhellt aber nicht, ob alle Kriterien zutreffen müssen oder ob sie durch weitere ersetzt oder ergänzt werden können und wie dann die Gewichtung aussehen müsste. Weil in Buchstabe b und c die Rede davon ist, dass das Kriterium „insbesondere“ zu berücksichtigen sei, und Buchstabe e erwähnt, dass das Kriterium zu den zu berücksichtigenden Erwägungen „gehören kann“, ist davon auszugehen, dass es dem Verantwortlichen vergleichsweise frei steht, wie er die Vereinbarkeit begründet. Auch werden nicht immer die in Buchstabe e verlangten, aber nicht näher spezifizierten „geeigneten Garantien“ gegeben werden können, zu denen nach den aufgeführten Beispielen Verschlüsselung oder Pseudonymisierung gehören „können“. Insgesamt erweisen sich die Kriterien als wenig präzise und als kaum greifbar oder operabel. Immerhin geben die zu berücksichtigenden Kriterien einen Orientierungsrahmen, den der Verantwortliche nutzen muss, um die Vereinbarkeit zu begründen. Auch hier schlägt der „risikobasierte Ansatz“ der DSGVO durch, nach dem der Verantwortliche abwägen, begründen und dokumentieren muss.312 Die Erwägungen und Ergebnisse der Abwägung sind penibel zu begründen und zu dokumentieren, um die Rechtmäßigkeit der Weiterverarbeitung nachweisen zu können. Die Einbeziehung des Datenschutzbeauftragten, so vorhanden, ist zu empfehlen.
c) Kriterien der Vereinbarkeitsprüfung
176
Nach Buchstabe a ist „jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung“ zu berücksichtigen. Ob damit eine inhaltliche, logische oder zeitliche Verbindung gemeint wird, ist offen; beide Aspekte können von Bedeutung sein. Bei der Begründung müsste es für einen Dritten nachvollziehbar sein, dass diese Zwecke miteinander in einem Zusammenhang stehen und miteinander verbunden sind.
177
Nach Buchstabe b ist der „Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,“ zu berücksichtigen. Dabei spielt es nach ErwG 50 eine Rolle, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Personen, die auf ihren Beziehungen zu dem Verantwortlichen beruhen. Angesprochen wird damit das Verhältnis des Verantwortlichen auf der einen und der betroffenen Personen auf der anderen Seite zueinander und der Umstand, ob die Betroffenen aufgrund dieser Beziehung damit rechnen können, dass ihre rechtmäßig erhobenen Daten auch zweckändernd verarbeitet werden. Eine für die betroffene Person, die in keinem näheren Verhältnis – wie es in Kundenbeziehungen oder Arbeitsverhältnissen der Fall wäre – zum Verantwortlichen steht, überraschender neuer Zweck wäre unvereinbar mit dem ursprünglichen Zweck. Aber auch in einer Kundenbeziehung wäre es für den Kunden eines Supermarkts überraschend, wenn die ihn durch den Supermarkt lotsende Indoor-Navigation-App auch das Kaufinteresse für Marketingzwecke verwenden würde.313 Auch das Tracking über die WLAN-Seriennummer des Smartphones im Geschäft dürfte überraschend sein, auch wenn eine langjährige vertrauensvolle Kundenbeziehung besteht.314 Weitere Beispiele lassen sich im WP 203 der Art.-29-Datenschutzgruppe finden.315
178
Buchstabe c enthält die Aufforderung, „die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 verarbeitet werden,“ zu berücksichtigen. Dieser Hinweis zielt darauf ab, besonders schutzwürdige Daten nicht zum Gegenstand einer zweckändernden Weiterverarbeitung zu machen. Über die hier erwähnten Daten hinaus sind auch andere schutzwürdige Daten zu berücksichtigen. WP 203 der Art.-29-Datenschutzgruppe zählt einige auf. Zu nennen wären die Daten von Kindern, Älteren, Asylsuchenden. Es müssen also keineswegs nur die in Art. 9 DSGV erwähnten besonderen Kategorien personenbezogener Daten sein, die bei der Vereinbarkeitsprüfung zu berücksichtigen sind, sondern auch sonstige sensible Daten, bei denen ein Kompatibilitätstest nicht zu dem vom Verantwortlichen angestrebten positiven Ergebnis kommt. Schutzwürdig wäre aber, was ErwG 50 Abs. 2 erwähnt, wenn der Verantwortliche auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, gegenüber einer zuständigen Behörde hinweist. Eine solche in der Mitteilung liegende „Zweckänderung“ wäre zulässig, wobei sich allerdings eine Einschränkung aus etwaigen Verschwiegenheitspflichten des Verantwortlichen ergeben könnten (ErwG 9, 10).
179
Berücksichtigt werden müssen nach Buchstabe d „die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen“. Die zu beachtenden Folgen können sowohl positiv wie auch negativ sein. Negative wirtschaftliche oder die Reputation des Betroffenen beeinträchtigende Folgen würden zur Unvereinbarkeit führen.
180
Buchstabe e erwartet die Berücksichtigung des Vorhandenseins „geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann“. Der Verantwortliche hat es demnach auch weitgehend in der Hand, selbst dazu beizutragen, dass dieser „Gewichtungsparameter“316 zum Tragen kommt, indem entsprechend Techniken