Скачать книгу

a) DSRL

      228

Der Zweckbindungsgrundsatz wurzelt in Art. 5 lit. b der Konvention Nr. 108 des Europarates.[422] Dieser wurde in abgewandelter Form auch in die DSRL übernommen. Die DSRL bestimmte in ErwG 28, dass die Verarbeitung personenbezogener Daten dem angestrebten Zweck zu entsprechen habe, dafür erheblich sein musste und nicht darüber hinauszugehen habe. Es wurde insbesondere festgelegt, dass die Zwecke eindeutig und rechtmäßig sein müssen und bei der Datenerhebung festgelegt werden müssen. Auch fand sich hier der explizite Hinweis, dass die Zweckbestimmungen der Weiterverarbeitung nach der Erhebung nicht mit den ursprünglich festgelegten Zwecken unvereinbar sein dürfen. Diese Weiterverarbeitung wurde sodann nochmals in ErwG 29 näher erläutert. Dort wurde nämlich die Weiterverarbeitung personenbezogener Daten für historische, statistische oder wissenschaftliche Zwecke als „im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung“ angesehen. Hierfür musste der umsetzende Mitgliedstaat „geeignete Garantien“ vorsehen. Diese müssen insbesondere ausschließen, dass die Daten für Maßnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden. Die wesentlichen Inhalte dieser Erwägungsgründe finden sich auch in Art. 6 Abs. 1 lit. b der DSRL wieder.

b) BDSG a.F.

      229

Zentrale Norm im Hinblick auf eine Zweckänderung im BDSG a.F. war § 28 Abs. 2, der die Datenverarbeitung „für einen anderen Zweck“ regelte. Bereits hierin war also eine „Durchbrechung des Zweckbindungsgrundsatzes“ angelegt.[423] Diese Ausnahme beschränkte sich jedoch auf die Übermittlung und die Nutzung, andere Nutzungsarten im Rahmen einer Zweckänderung waren lediglich nach § 28 Abs. 1 BDSG a.F. zulässig. Die geregelten Anwendungsfälle waren auf die Wahrung eigener berechtigter Interessen oder das Vorliegen allgemein zugänglicher Daten sowie auf die Wahrung berechtigter Interessen Dritter, die Gefahrenabwehr sowie die wissenschaftliche Forschung begrenzt. Für die zweckändernde Weiterverarbeitung der öffentlichen Stellen war § 14 Abs. 2 BDSG a.F. die zentrale Norm. Hierin wurden neun Tatbestände geregelt, nach denen bei Vorliegen der entsprechenden Voraussetzungen das Speichern, Verändern oder Nutzen „für andere Zwecke“ als zulässig erachtet wurde. Größtenteils finden sich die dort normierten (Ausnahme-)Tatbestände in der gleichen oder in ganz ähnlicher Form auch im BDSG n.F. wieder.[424]

c) WP der Art.-29-Datenschutzgruppe

      230

Die Art.-29-Datenschutzgruppe beschloss im Jahr 2013 ihre – bis dato lediglich in englischer Sprache verfügbare – „Opinion 03/2013 on purpose limitation“ (WP203), die den Grundsatz der Zweckbindung analysiert und Leitlinien für die praktische Anwendung des Grundsatzes im Rahmen des damaligen Rechtsrahmens sowie politische Empfehlungen für die Zukunft formuliert.[425] Im Wesentlichen stellte die Art.-29-Datenschutzgruppe fest, dass der Grundsatz der Zweckbindung aus zwei Hauptbausteinen besteht: Personenbezogene Daten müssen für bestimmte, ausdrückliche und legitime Zwecke erhoben werden („Zweckbestimmung“) und die Daten dürfen nicht „mit diesen Zwecken unvereinbar“ weiterverarbeitet werden, was zu einer „kompatiblen Verwendung“ verpflichtet. Eine etwaige Weiterverarbeitung zu einem anderen Zweck wurde allerdings nicht von vornherein grundsätzlich als inkompatibel bezeichnet, vielmehr stellte die Art.-29-Datenschutzgruppe fest, dass die Kompatibilität von Fall zu Fall beurteilt werden müsse. Eine stichhaltige Kompatibilitätsbewertung erfordere eine Bewertung aller relevanten Umstände. Dabei sollte ein Kriterienkatalog zu Rate gezogen werden, anhand dessen die Kompatibilität beurteilt werden sollte. Dieser Kriterienkatalog entspricht weitestgehend dem heute in der DS-GVO in Art. 6 Abs. 4 befindlichen Katalog. Für die Auslegung der Norm dürften daher die von der Art.-29-Datenschutzgruppe erdachten Ausführungen herangezogen werden können.[426] Eine konkrete Ausarbeitung zum Zweckbindungsgrundsatz nach der DS-GVO existiert bisher nicht. Da die Art.-29-Datenschutzgruppe aber bereits in ihrem WP 203 auf die DS-GVO verwiesen hatte und der von ihr erarbeitete Kriterienkatalog insoweit auch Eingang in die finale Fassung der DS-GVO gefunden hat, ist davon auszugehen, dass sich die Art.-29-Datenschutzgruppe in Zukunft mit diesem Thema noch einmal ausführlicher auseinandersetzen wird. Erste Anmerkungen zum Kriterienkatalog aus Transparenzgesichtspunkten enthalten die „Guidelines on transparency under Regulation 2016/679“ (WP260).[427]

II. Kommentierung

1. Einführung

      231

Art. 6 Abs. 4 betrifft die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden. Dabei ist die Vorschrift im Zusammenhang mit Art. 5 Abs. 1 lit. b und Art. 6 Abs. 1 zu lesen.[428] Nach Art. 5 Abs. 1 lit. b dürfen personenbezogene Daten auf der Grundlage des einschlägigen Erlaubnistatbestandes für die Ersterhebung nicht weiterverarbeitet werden, wenn die Weiterverarbeitung in einer Weise erfolgt, die mit den bei Erhebung der Daten festlegten Zwecken nicht vereinbar ist.[429] Dies bedeutet letztlich, dass eine Zweckänderung bzw. Weiterverarbeitung von Daten zulässig ist, wenn eine Vereinbarkeit der Zwecke vorliegt (dazu ausführlich unter Rn. 235).[430] Art. 6 Abs. 1 regelt wiederum als Verbot mit Erlaubnisvorbehalt, unter welchen Bedingungen eine Verarbeitung personenbezogener Daten zulässig ist. Art. 6 Abs. 4 setzt daher den Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b fort und gestaltet ihn aus.[431] Hinsichtlich der Zweckänderung gab es eine umfassende Diskussion im Rahmen des Gesetzgebungsprozesses.[432] Als Vorbild der Norm gilt Art. 9 des niederländischen Datenschutzgesetzes.[433] Kerngehalt ist die so genannte „Kompatibilitätsprüfung“, wonach eine zweckfremde Weiterverarbeitung unter bestimmten Voraussetzungen zulässig sein kann. Eine Kompatibilitätsprüfung nach einer Zweckänderung sah bereits die DSRL vor, allerdings ohne dies konkreter zu spezifizieren. Dies hat nun die DS-GVO getan, dabei jedoch fortwährend auslegungsbedürftige Kriterien aufgestellt.[434]

      232

      Bei einer zweckändernden Weiterverarbeitung muss der Verantwortliche feststellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, „vereinbar“ ist. Was mit „Vereinbarkeit“ zwischen den Zwecken gemeint ist, lässt die DS-GVO offen und definiert diesen Begriff nicht, sondern statuiert lediglich, dass bei der Prüfung, ob diese Verbindung gegeben ist, bestimmte Kriterien berücksichtigt werden müssen. Die DS-GVO schreibt die Kompatibilitätsprüfung damit bei einer Zweckänderung zwar abstrakt vor, überlässt ihre Durchführung und insbesondere ihre Ausfüllung jedoch dem Verantwortlichen. Sofern eine zweckändernde Weiterverarbeitung unter Verstoß gegen Abs. 4 und ohne einen Erlaubnistatbestand nach Art. 6 Abs. 1 durchgeführt wird, unterfällt dies grundsätzlich Art. 83 Abs. 5 lit. d. Demnach kann im Falle eines Verstoßes eine Geldbuße von bis zu 20 000 000 EUR oder 4 % des gesamten weltweiten Jahresumsatzes eines Unternehmens fällig werden.

      233

Umstritten ist, ob es für die zweckändernde Weiterverarbeitung einer eigenen Rechtsgrundlage bedarf

Скачать книгу