Скачать книгу

auszuwerten. Hierbei sind sodann die oben genannten Kriterien sorgfältig in Betracht zu ziehen und ebenso gründlich zu dokumentieren. Darüber hinaus ist bei Big-Data-Anwendungen auch die Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 in Betracht zu ziehen.

      292

      

Eine bemerkenswerte Ausnahme von den vorstehenden Einschränkungen kann gleichwohl in der Zweckänderung im Rahmen der Verarbeitung zu Archiv-, Forschungs- oder statistischen Zwecken gesehen werden. Wie oben bereits grundlegend festgestellt, ist der Kerninhalt von Art. 6 Abs. 4 die Prüfung der Vereinbarkeit von ursprünglichem und neuem, späteren Zweck. Art. 5 Abs. 1 stellt jedoch Voraussetzungen auf, unter denen eine derartige Vereinbarkeitsprüfung bereits von vorne herein als nicht erforderlich erachtet wird: liegt eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vor, gilt diese nicht als unvereinbar mit den ursprünglichen Zwecken, freilich sofern die weiteren Voraussetzungen von Art. 89 Abs. 1[576] vorliegen. Der EU-Gesetzgeber wählte hier das Mittel der Fiktion: Sofern diese, zweifelsohne im Allgemeininteresse liegenden, Zwecke verfolgt werden, wird unterstellt, dass hier keine Unvereinbarkeit mit dem ursprünglichen Zweck vorliegt. Diesen Zwecken kommt daher ein überaus privilegierter Status zu.[577] Aufgrund der Technologieneutralität der DS-GVO (vgl. ErwG 15) lässt sich diese Ausnahme vom Grundsatz, dass für jede Verarbeitung grundsätzlich eine Zweckbindung gilt, ohne Weiteres auch auf Big Data-Verfahren anwenden. Mit anderen Worten: Wird ein Big Data-Projekt unter den Voraussetzungen des Art. 89 Abs. 1 durchgeführt, spielt der ursprüngliche Verarbeitungszweck prinzipiell keine Rolle mehr. Damit wird dem Verantwortlichen eines Big Data-Projekts, das einen privilegierten Zweck verfolgt,[578] eine nicht unerhebliche Hürde genommen.

III. Praxishinweise

1. Relevanz für öffentliche Stellen

      293

      Die Relevanz von zweckändernden Weiterverarbeitungen für öffentliche Stellen wird sich primär aus § 23 BDSG n.F. ergeben.

2. Relevanz für nichtöffentliche Stellen

      294

Die Kompatibilität der Zwecke hat für die betroffene Person erhebliche Bedeutung. Gleichfalls hat die zweckändernde Weiterverarbeitung für viele Verantwortliche sicher einen großen Stellenwert, gerade im Zeitalter der Digitalisierung. Sollen Daten für neue Zwecke weiterverarbeitet werden, ohne dass die Betroffenen diese neuen Zwecke genau kennen, bedingt dies ein „Mehr“ an Verantwortung auf Seiten der verantwortlichen Stelle.[579]

      295

Erhebt ein Energieversorgungsunternehmen im Rahmen einer Big Data Anwendung Daten, dürfte die Analyse der Daten „zur Strategieentwicklung“ als Zweck jedenfalls zu unspezifisch sein. Eine Formulierung, die den Zweck in der „Bereitstellung kundenbezogener Produkte“ definiert, wird den Anforderungen der DS-GVO schon eher gerecht.[580]

      296

Von fehlender Kompatibilität im Rahmen der begrenzten Weiterverarbeitungsbefugnis dürfte auch auszugehen sein, wenn ein Versicherungsunternehmen im Zuge des Versicherungsverhältnisses personalisierte Versichertendaten zu dem Zweck nutzt, Risiken besser einschätzen und neue Produkte entwickeln zu können und diese Daten später an Google zur Anlegung personalisierter Kundenprofile und zur Schaltung personalisierter Werbeangebote bei der Suche im Netz im Hinblick auf andere Produkte weitergibt. Zwar werden Big Data Anwendungen im Rahmen eines Data Minings im Rahmen von Art. 6 Abs. 4 relevant, gleichwohl wird die Weitergabe der personenbezogenen Daten an Google als Drittem zur Erstellung von Kundenprofilen außerhalb des ursprünglichen Verarbeitungszwecks der Big Data Anwendung liegen.[581]

      297

Daten-Backups, die einzig zu technischen Sicherungszwecken angefertigt wurden, können in anderem Zusammenhang relevant werden und zur Auswertung des Verhaltens des „Datenerzeugers“ herangezogen werden, obwohl die Originaldatensätze längst gelöscht wurden.[582] Letztlich wird es für den Verantwortlichen darauf ankommen, ob der Mehrwert, der sich aus der Datenverarbeitung ergibt, bereits bei der ursprünglichen Erhebung und Verarbeitung vorgesehen war, oder ob es sich hierbei um ein zufälliges oder bewusstes „Mehr“ an Vorteilen aus der Datenverarbeitung handelt, die so bisher nicht vorgesehen war.

      298

Eine in ethischer Hinsicht offene Frage stellt sich im Rahmen von Big Data Anwendungen insbesondere dann, wenn sich im Falle einer Analyse von pseudonymisierten Daten oder Metadaten Resultate ergeben, die eine Information des Betroffenen gebieten könnten. Diese Fallkonstellation wird bspw. dann relevant, wenn ein Anbieter einer Gesundheits-App aufgrund der Analyse etwa von pseudonymisierten oder anonymisierten Daten Befunde über gesundheitsgefährdende Krankheiten des Betroffenen feststellt. In der Konsequenz stellt sich somit die Frage, ob der für die Datenverarbeitung Verantwortliche anhand der Daten eine Reidentifikation der betroffenen Person vornehmen darf, wenn er Erkenntnisse zu möglichen gesundheitlichen Risiken für den Betroffenen erlangt und damit unter ethischen Gesichtspunkten zu einer Offenbarung der gewonnenen Information angehalten sein könnte. Für die personenbezogene Datenverarbeitung bedürfte es aber einer Legimitation, die wohl nur in Form einer Einwilligung denkbar wäre. Der Datenschutz würdigt damit das übergeordnete Interesse des Gesundheitsschutzes.[583]

3. Relevanz für betroffene Personen

      299

      Für betroffene Personen hat die Vorschrift ebenso erhebliche Relevanz, weil durch sie Verarbeitungen zu rechtfertigen sind, von denen der Betroffene bisher nicht gewusst hat oder auch nur geahnt hat, dass sie durch den Verantwortlichen durchgeführt werden würden. Er hat seine Daten grundsätzlich zu einem ganz anderen Zweck zur Verfügung gestellt und sieht sich nun einer Verarbeitung gegenüber, mit der er so nicht rechnen konnte oder musste. Insofern ist es teilweise verwunderlich, dass keine allgemeine Interessenabwägung bei der Kompatibilitätsprüfung mehr vorgesehen ist. Gleichwohl hat der Gesetzgeber hier eine eindeutige Entscheidung getroffen. Dem Betroffenen bleibt daher immerhin mit den Mitteln der Auskunft und weiteren Betroffenenrechten ein probates Mittel, um entsprechende Verarbeitungsvorgänge im Blick zu behalten, wobei freilich der Status der Informationspflicht teilweise ebenfalls dem Betroffenen zum Vorteil gereichen kann.

4. Relevanz für Aufsichtsbehörden

      300

      Die Aufsichtsbehörden dürften auf Verarbeitungsvorgänge, die allein auf Art. 6 Abs. 4 gestützt werden, ein besonderes Augenmerk haben, da das Missbrauchsrisiko sowie das ausufernde Potential und die damit einhergehende Beeinträchtigung des Persönlichkeitsrechts von Betroffenen aus Aufsichtsperspektive sicher einiges Gewicht haben dürften. Insofern wird sicher auch die sowieso schon enorm wichtige und an Bedeutung gewinnende Dokumentation gerade im Hinblick auf den Kompatibilitätstest eine gesteigerte Bedeutung erlangen, da so seitens der Aufsichtsbehörde detailliert nachvollzogen werden kann, ob tatsächlich eine „Abwägung“ der Faktoren stattgefunden hat und wie die entsprechenden Entscheidungen des Verantwortlichen getroffen wurden. Dies ist insbesondere vor dem Hintergrund von Bedeutung, dass der Bußgeldrahmen hier bis 20 000 000 EUR oder 4 % des weltweiten jährlichen Unternehmensumsatzes reicht.

5. Relevanz für das Datenschutzmanagement

      301

Скачать книгу