DSGVO - BDSG - TTDSG

I. Allgemeines
1. Bedeutung der Vorschrift

1

Aus Art. 8 Abs. 2 Satz 1 GRCh folgt, dass personenbezogene Daten von hoheitlichen Stellen nur „mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet“ werden dürfen.1 Als primären Grundsatz der Verarbeitung personenbezogener Daten verlangt auch Art. 5 Abs. 1 lit. a DSGVO, dass personenbezogene Daten – von staatlichen wie privaten Stellen – nur rechtmäßig verarbeitet werden und nach Buchstabe b auch nur „für festgelegte, eindeutige und legitime Zwecke“ erhoben worden sein dürfen.2 Hieran knüpft Art. 6 DSGVO an. Schon die Überschrift „Rechtmäßigkeit der Verarbeitung“ bringt dies zum Ausdruck. Art. 6 Abs. 1 UAbs. 1 DSGVO listet die in Betracht kommenden Erlaubnistatbestände auf, aus denen sich die Rechtmäßigkeit der Verarbeitung ergeben kann. Über die in Abs. 1 UAbs. 1 lit. a bis f aufgeführten Rechtmäßigkeitsalternativen hinaus kann es allerdings spezifische Regelungen im Unionsrecht oder im Recht der Mitgliedstaaten aufgrund einer in der DSGVO enthaltenen Öffnungsklausel geben.3

2

Weitere mitgliedstaatliche Datenschutzvorschriften mit fachspezifischen Erlaubnistatbeständen für die Verarbeitung personenbezogener Daten finden sich darüber hinaus dann, wenn sie der Umsetzung einer fachspezifischen Richtlinie wie beispielsweise der RL 2016/680 (Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung) oder RL 2002/58/EG (E-Privacy-Richtlinie) dienen. Nationales Datenschutzrecht findet sich auch, wenn der Mitgliedstaat eine Datenschutzvorschrift mit Erlaubnistatbestand auf einem Gebiet verabschiedet, auf dem die EU nach dem AEUV keine Regelungskompetenz besitzt. Insofern kann nicht die Rede davon sein, dass Art. 6 DSGVO die Erlaubnistatbestände für die Verarbeitung personenbezogener Daten abschließend regelt.4 Damit bleibt es bei der aus dem nationalen Datenschutzrecht bekannten Situation, dass sich auch aus dem allgemeinen Datenschutzrecht, bestehend aus BDSG und Landesdatenschutzgesetzen, und den fachspezifischen Datenschutzgesetzen Erlaubnistatbestände ergeben können. Es gilt auch unter der DSGVO, dass stets zu prüfen ist, ob für eine Datenverarbeitung (neben oder statt der DSGVO) andere Datenschutzvorschriften zur Anwendung kommen, aus denen sich eine Erlaubnis für die Verarbeitung personenbezogener Daten ergeben können. Darunter sollte nach einer Mitteilung des BMI5 auch § 23 KUG fallen, der Ausnahmen vom Verbot der Verarbeitung von Bildnissen vorsieht. Nach einer Entscheidung des BGH6 findet das KUG allerdings aufgrund der Öffnungsklausel des Art. 85 Abs. 2 DSGVO nur für eine Verarbeitung von Bildnissen im journalistischen Bereich Anwendung. Die §§ 22, 23 KUG stellen Regelungen zur Umsetzung des Medienprivilegs dar.

3

Es besteht demzufolge weiter eine große Zahl von Gesetzen, die in dem 1. Anpassungsgesetz des Bundes7 mit dem BDSG als Artikel 1 und dem 2. Gesetz zur Anpassung des Datenschutzrechts8 aufgeführt sind und Erlaubnistatbestände enthalten oder die sich aus Anpassungsgesetzen der Länder ergeben oder, ohne in Anpassungsgesetzen erwähnt zu werden, aufgrund von Öffnungsklauseln weiter gelten oder neu verabschiedet werden. Es kann deshalb kaum die Rede davon sein, dass die DSGVO zu einer Vereinheitlichung des Datenschutzrechts innerhalb der EU geführt hat.9 Insofern trifft die Bemerkung zu, dass die DSGVO eher Richtliniencharakter habe (siehe Art. 94 Rn. 5).10

4

Auch unter der DSGVO wird das Datenschutzrecht vom Grundsatz des „Verbots mit Erlaubnisvorbehalt“ geprägt. Ein gesetzliches Verbot im verwaltungsrechtlichen Sinn, das durch einen Verwaltungsakt aufzuheben wäre, enthält die Vorschrift, die als Verbotsadressaten auch die öffentlichen Stellen anspricht, nicht.11 Die legislativen Ausnahmen vom Verbot ergeben sich unmittelbar aus dem Gesetz selbst. Soweit öffentliche Stellen personenbezogene Daten erheben, handelt es sich um einen Eingriff in das Datenschutzgrundrecht und bedarf einer gesetzlichen Legitimation; insoweit lässt sich von einem „Verbot mit Eingriffsvorbehalt“ sprechen. Die Datenverarbeitung öffentlicher Stellen oder solcher, die öffentliche Aufgaben wahrnehmen, „bedarf einer detaillierten gesetzlichen Ermächtigung, die festlegt, unter welchen Bedingungen die Behörden zu welchem Zweck welche Daten erheben dürfen“.12

5

Das gilt nicht in gleicher Weise für die Verarbeitung durch Private, die nicht durch eine „Eingriffserlaubnis“ legitimiert werden müsste. Zur Freiheit gehört die offene Kommunikation, das Sammeln und Verbreiten (auch) von personenbezogenen Daten. Dass die Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2 Abs. 1 lit. c DSGVO) dem sachlichen Anwendungsbereich der DSGVO entzogen ist („household exemption“ – Haushaltsausnahme) bringt dieses zum Ausdruck.13 Gleichwohl hat der (europäische) Gesetzgeber aufgrund grundrechtlicher Schutzpflichten auch einen Ausgestaltungsauftrag, um Freiheitsrechte zu sichern. Wie in vielen anderen Rechtsbereichen, von denen nur das Verbraucherschutz- und AGB-Recht zu nennen sind, so gibt es auch beim Datenschutz im nicht-öffentlichen Bereich den Verfassungsauftrag, das Selbstbestimmungsrecht durch Regulierung zu wahren. Die technischen Möglichkeiten der Profilbildung, der personalisierten Big-Data-Auswertungen, der individuellen Beeinflussung von Wahl- und Marktverhalten auf der Grundlage von Auswertungen personenbezogener Daten, die in unvorstellbarem Ausmaß bei der Nutzung des elektronischen Fernabsatzes preisgegeben und die in Sozialen Medien verbreitet werden, erfordern gesetzliche Schutzmaßnahmen. Die Datensammlungen, -analysen und -nutzungen durch die sog. „Internetgiganten“ aus kommerziellem und politischem Interesse rücken immer mehr in das öffentliche Bewusstsein, dass die mittelbare Schutzwirkung der Grundrechte für die Freiheitswahrnehmung ebenso weit gehen kann wie die unmittelbare.

6

Das Fraport-Urteil des Bundesverfassungsgerichts erhellt, dass „je nach Gewährleistungsinhalt und Fallgestaltung die mittelbare Grundrechtsbindung Privater einer Grundrechtsbindung des Staates vielmehr nahe oder auch gleich kommen (kann). Für den Schutz der Kommunikation kommt das insbesondere dann in Betracht, wenn private Unternehmen die Bereitstellung schon der Rahmenbedingungen öffentlicher Kommunikation selbst übernehmen“.14 Daraus folgt auch die Pflicht des (europäischen) Gesetzgebers, den selbstbestimmten Umgang der betroffenen Person mit den sich auf seine Person beziehenden und beziehbaren Daten so zu regeln, dass das Grundrecht auf Datenschutz auch in Privatrechtsbeziehungen wirksam bleibt.15 Die allgemeinen Grundsätze des Datenschutzes, wie sie in Art. 5 DSGVO festgelegt wurden und zu denen an erster Stelle die Pflicht zur Herstellung von Transparenz und Zweckbindung gehören, sind Ausdruck dieses Verfassungsverständnisses, das auch den (privaten) Verantwortlichen ausreichend Raum gewährt, ihre Grundrechte in einem fairen Ausgleich mit den Grundrechten der betroffenen Personen zur Geltung zu bringen. Es ist deswegen verfassungsrechtlich geboten, dass die DSGVO, die zunächst in den allgemeinen Regelungen zwischen öffentlichen und nicht-öffentlichen Stellen nicht (mehr) differenziert, ein allgemeines Verbot mit Erlaubnisvorbehalt statuiert. Mit Art. 6 Abs. 1 UAbs. 1 DSGVO und insbesondere mit der Erlaubnis nach Buchstabe f wird den Einzelfällen besonders in Privatrechtsverhältnissen durch Abwägung auch der Interessen der Verantwortlichen angemessen Rechnung getragen.

7

Wegen des auch weiter geltenden alternativlosen „Verbots mit Erlaubnisvorbehalt“16 ist unabdingbare Voraussetzung für die Rechtmäßigkeit der in Art. 4 Nr. 2 DSGVO legaldefinierten Datenverarbeitung das Vorhandensein einer Erlaubnis durch eine Einwilligung oder durch eine der in Abs. 6 Abs. 1 UAbs. 1 lit. b bis f DSGVO vorgesehenen Erlaubnistatbestände. Für besondere Kategorien personenbezogener Daten enthält Art. 9 Abs. 1 DSGVO ein spezielles ausdrückliches Verbot („ist untersagt“) mit den das Verbot zurücknehmenden Erlaubnistatbeständen in Abs. 2, der die Erlaubnistatbestände bei besonderen Kategorien personenbezogener Daten abschließend und ohne Rückgriffsmöglichkeit auf die allgemeinen Erlaubnistatbestände in Art. 6 Abs. 1 UAbs. 1 DSGVO regelt.17 Das aus dem Grundrecht auf Informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) folgende „Verbot der Verarbeitung personenbezogener Daten mit Eingriffsvorbehalt“ und das aus dem § 4 Abs. 1 BDSG a.F. bekannte einfachgesetzliche „Verbot mit Erlaubnisvorbehalt“ haben auch unter der DSGVO – trotz vereinzelter Kritik an diesem Grundsatz18 – weiterhin Bestand.19 Art. 8 Abs. 2 Satz 1 GRCh bestimmt, dass die Daten von natürlichen Personen nur mit Einwilligung der betroffenen Person oder aufgrund einer sonstigen gesetzlich geregelten legitimen20 Grundlage verarbeitet werden dürfen. Daher ist das Verbotsprinzip verfassungsrechtlich determiniert.21 Auch wenn dieses Grundrecht primär ein Abwehrrecht gegen staatliche Eingriffe ist (Art. 51 GRCh), so folgt daraus auch die Pflicht des Gesetzgebers, den Datenschutz auch auf der Ebene der Privatrechtsbeziehungen zur Wirksamkeit zu verhelfen. Diesem Auftrag kommt die Verordnung mit Art. 6 DSGVO nach. Im Weiteren werden dann die vom Verantwortlichen entlang dem Pflichtenkatalog der DSGVO zu ergreifenden Maßnahmen davon abhängen, wie groß das Risiko für die Verletzung von Persönlichkeitsrechten der betroffenen Person eingeschätzt wird (risikobasierter Ansatz).22 Ausgenommen von dem Verbot mit Erlaubnisvorbehalt ist nach Art. 2 Abs. 2 lit. c DSGVO allerdings die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Haushaltsausnahme; siehe oben Rn. 5 und Art. 2 Rn. 16ff.).

8

Auf der Ebene des Sekundärrechts ist der (europäische) Gesetzgeber gehalten, die grundrechtlich geschützten Interessen von Verantwortlichen und betroffenen Personen durch einfachgesetzliche Vorschriften zum Ausgleich zu bringen.23 Dies erfolgte auf Grundlage der Datenschutzrichtlinie auch bislang schon durch nationales Recht mit dem Verbot mit Erlaubnisvorbehalt nach § 4 Abs. 1 BDSG a.F.

9

Einfachgesetzlich beginnt Art. 6 Abs. 1 DSGVO mit der Bedingung: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der [in Art. 1 UAbs. 1 lit. a bis f DSGVO] genannten Bedingungen erfüllt ist.“ Ist das nicht der Fall, ist die Verarbeitung personenbezogener Daten verboten, es sei denn, es ergeben sich Erlaubnistatbestände aus den Fachgesetzen, die aufgrund von Öffnungsklauseln neben oder anstelle der DSGVO zur Anwendung kommen, oder aus Erlaubnissen, die sich aus Vorschriften außerhalb des Anwendungsbereichs der DSGVO ergeben. Damit ist Art. 6 Abs. 1 DSGVO diejenige Vorschrift, aus der sich in der Regel eine Erlaubnis für die Verarbeitung personenbezogener Daten im sachlichen und räumlichen Anwendungsbereich der DSGVO (Art. 2 und 3 DSGVO) ergibt.

10

Die EU war zur Gewährleistung des in Art. 16 Abs. 1 AEUV (Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten) und des mit dem wortgleichen Art. 8 GRCh verbürgten Grundrechts auf Datenschutz angetreten, mit der DSGVO auf „rasche technologische Entwicklungen und die Globalisierung“ (ErwG 6) zu reagieren, die den Datenschutz vor neue Herausforderungen gestellt haben. Im Fokus waren die weltweit agierenden Anbieter sozialer Medien und solche Unternehmen, die die Nutzer des Internets tracken und Profile anlegen. Gleichwohl macht die DSGVO jedenfalls bei den Erlaubnistatbeständen keinen Unterschied, ob ein globaler Konzern, ein lokaler Sportverein oder ein Handwerksbetrieb personenbezogene Daten verarbeitet. Ausnahmen bestehen etwa nur, wenn weniger als 250 Beschäftigte im Unternehmen tätig sind, sodass die Verpflichtung entfallen kann, ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30 Abs. 5 DSGVO). Eine Differenzierung des Risikopotenzials findet auf dieser Ebene nicht statt. Zutreffend ist der Befund von Roßnagel: „In keiner Regelung werden die spezifischen Grundrechtsrisiken z.B. von smarten Informationstechniken im Alltag, von Big Data, Cloud Computing oder datengetriebenen Geschäftsmodellen, Künstlicher Intelligenz und selbstlernenden Systemen angesprochen oder gar gelöst. Die gleichen Zulässigkeitsregeln, Zweckbegrenzungen oder Rechte der betroffenen Person gelten für die wenig riskante Kundenliste beim „Bäcker um die Ecke“ ebenso wie für diese um Potenzen risikoreicheren Datenverarbeitungsformen. Insbesondere durch abstrakte Zulässigkeitsregelungen wie in Art. 6 Abs. 1 werden die spezifischen Grundrechtsrisiken verfehlt.“24

11

Hinzu kommt, dass für nicht-öffentliche Verantwortliche neben der Erlaubnis aus einer Einwilligung oder wegen der Notwendigkeit, Daten zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO) vornehmlich die sehr weitreichende Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zur Verfügung steht, bei der der Verantwortliche eine Interessenabwägung vornimmt, mit der ein Mehr an Rechtssicherheit gegenüber der Situation unter dem BDSG a.F. nicht zu erwarten ist.25 Es wird auf die Rechtsprechung und den Europäischen Datenschutzausschuss ankommen, hier Leitplanken einzuziehen. Immerhin erkennt die DSGVO das Problem, wenn sie zwar das Profiling selbst nicht regelt, es in ErwG 72 aber heißt, dass der nach Art. 68 DSGVO eingerichtete Europäische Datenschutzausschuss verbindliche Leitlinien zum Profiling herausgeben soll.

12

Die Erlaubnistatbestände des Art. 6 DSGVO können nur in der Zusammenschau mit weiteren Vorschriften der DSGVO zu einer rechtmäßigen Verarbeitung führen. So sind die Grundsätze aus Art. 5 DSGVO stets mit zu berücksichtigen. Im Zusammenhang mit dem Erlaubnistatbestand der Einwilligung sind die Anforderungen an die Wirksamkeit der Einwilligung aus Art. 4 Nr. 11 und Art. 7 DSGVO zu beachten. Bei der im Zusammenhang mit der Anbahnung oder Durchführung eines Vertragsverhältnisses erforderlichen Verarbeitung der Daten von Kindern, die das 16. Lebensjahr nicht vollendet haben, ist zu bedenken, dass die Sorgeberechtigten gem. Art. 8 DSGVO ihre Einwilligung geben müssen, wenn ein Anbieter von Diensten in der Informationsgesellschaft die Vertragsdaten oder weitere Daten verarbeiten will, die nicht für den Vertragszweck erforderlich sind (siehe Art. 8 Rn. 24ff.).

13

Gehören die zu verarbeitenden Daten zu einer besonderen Kategorie von Daten, ist Art. 9 DSGVO heranzuziehen. Sollen die Daten in einen Drittstaat übermittelt werden, so hängt die Zulässigkeit der Datenverarbeitung davon ab, dass in einer zweiten Stufe der Zulässigkeitsprüfung die Anforderungen aus Art. 44 DSGVO erfüllt werden können (siehe Art. 44 Rn. 14ff.). Will eine Behörde personenbezogene Daten für hoheitliche Zwecke verarbeiten, so hat sie Art. 6 Abs. 1 UAbs. 2 DSGVO zu beachten, der eine auf UAbs. 1 lit. f gestützte Verarbeitung ausschließt.

2. Entstehungsgeschichte und bisherige Regelung

14

Eine mit Art. 6 Abs. 1 DSGVO vergleichbare Regelung fand sich in Art. 7 DSRl, in der ebenfalls das Verbot mit Erlaubnisvorbehalt vorgesehen und Erlaubnistatbestände genannt wurden.26

3. Regelungszweck

15

Die Vorschrift führt die zentralen Erlaubnistatbestände auf, aufgrund derer die Rechtmäßigkeit der Verarbeitung personenbezogener Daten gegeben sein kann. Anders noch als das BDSG a.F. wird im Normtext nicht zwischen verschiedenen Phasen der Datenverarbeitung differenziert, sodass unter „Datenverarbeitung“ nach der Legaldefinition des Art. 4 Nr. 2 DSGVO alle Phasen einer Verarbeitung einschließlich der Erhebung und Übermittlung zu verstehen sind, für die es jeweils eine Erlaubnis geben muss. Weitere Erlaubnisse können sich bei besonderen Kategorien aus Art. 9 Abs. 2 DSGVO ergeben. Daneben ist Art. 5 DSGVO zu beachten, der nicht nur die Rechtmäßigkeit der Verarbeitung voraussetzt, sondern auch weitere Anforderungen nennt, wie die Daten zu verarbeiten sind.27

4. Normadressaten

16

Anders als noch im BDSG a.F. wird in der DSGVO grundsätzlich und im Wesentlichen nicht zwischen öffentlichen Stellen und nichtöffentlichen Stellen unterschieden; eine Ausnahme gibt es dort, wo aus verfassungsrechtlichen Gründen ein Eingriff durch eine hoheitliche Stelle auf einer Rechtsgrundlage beruhen muss, die hinreichend bestimmt ist (siehe Buchstaben c und e). Weil das bei der auf einer Abwägung von Interessen beruhenden Erlaubnis gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO nicht der Fall ist, sieht UAbs. 2 vor, dass dieser Erlaubnistatbestand nicht für die von Behörden in Erfüllung ihrer hoheitlichen Aufgaben vorgenommene Verarbeitung gilt (siehe Rn. 121f.). Siehe zu der Frage, ob und ggf. in welchem Umfang hoheitliche Stellen ihre Datenverarbeitung auf eine Einwilligung stützen können, die Kommentierung zu Art. 7 Rn. 21ff.28

17

Sich nicht auf die Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. e Alt. 2 DSGVO können sich die nicht-öffentlichen Verantwortlichen (Private) berufen, weil dieser Erlaubnistatbestand denjenigen vorbehalten ist, bei denen „die Verarbeitung ... für die Wahrnehmung einer Aufgabe erforderlich (ist), die ... in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“.

18

Die Erlaubnistatbestände können auch von Institutionen der Strafverfolgung und des Justizvollzugs sowie von den für die Gefahrenabwehr zuständigen Behörden nicht in Anspruch genommen werden, für die Art. 8 RL (EU) 2016/680 bzw. die mitgliedstaatlichen Umsetzungsgesetze einschlägig sind. Das wären in Deutschland §§ 45ff. BDSG und die einschlägigen Umsetzungsgesetze, die zumeist Bestandteil der Datenschutzgesetze der Länder sind. Die Organe der Europäischen Union finden Erlaubnistatbestände in Art. 5 VO (EG) 45/2001.

19

Ansonsten folgt aus der nunmehr weitgehend einheitlichen Regelung für öffentliche und nicht-öffentliche Verantwortliche, dass sowohl die nicht-öffentlichen wie die öffentlichen Verantwortlichen – unter vorgenannter Einschränkung – ihre Erlaubnis für die jeweils beabsichtigte Datenverarbeitung dem Art. 6 Abs. 1 UAbs. 1 DSGVO zu entnehmen haben, wenn die Tätigkeit des Verantwortlichen (Art. 4 Nr. 7 DSGVO) im Lichte des Art. 2 Abs. 2 DSGVO in den sachlichen Anwendungsbereich der Verordnung fällt. Neben den Verantwortlichen sind auch die Auftragsverarbeiter, die betroffenen Personen, die Aufsichtsbehörden, die Mitgliedstaaten und die Union Adressaten von Vorschriften der DSGVO.

II. Erlaubnistatbestände (Abs. 1)

20

Ist der Anwendungsbereich der DSGVO eröffnet, so finden sich die zentralen Erlaubnistatbestände in Art. 6 Abs. 1 U Abs. 1 DSGVO. Der Verantwortliche hat für jede Phase der Verarbeitung, die in der Legaldefinition des Art. 4 Nr. 2 DSGVO aufgeführt wird, und für den jeweiligen mit der Verarbeitung verfolgten Zweck die Erlaubnis anhand der Tatbestandsmerkmale der in Betracht gezogenen Erlaubnisnorm zu prüfen. Die Rechtmäßigkeit der Verarbeitung ist in allen vom Gesetz genannten Phasen (Art. 4 Nr. 2 DSGVO) vom Vorliegen einer Erlaubnis abhängig, auch schon die Erhebung von Daten (Art. 5 Abs. 1 lit. b DSGVO). Es wird aufgrund der Rechtsprechung des Bundesverfassungsgerichts auch unter der DSGVO und im Lichte des Art. 8 GRCh davon ausgegangen werden können, dass „ungezielt und allein technikbedingt zunächst miterfasste“ und „unmittelbar nach der Signalaufbereitung technisch wieder spurenlos ausgesonderte“ Daten vom Verbot nicht erfasst werden.29

21

Art. 6 Abs. 1 UAbs. 1 erklärt es ausdrücklich für denkbar, dass mehrere Erlaubnisnormen nebeneinander bestehen können („mindestens eine der nachstehenden Bedingungen“ muss erfüllt sein). Auch Art. 17 Abs. 1 lit. b DSGVO ist ein Argument dafür, dass die Verarbeitung auf mehrere Erlaubnistatbestände, zumindest auf einen Erlaubnistatbestand neben der Einwilligung, gleichzeitig gestützt werden kann. Dies hat auch der EuGH in der Rechtssache Fashion-ID bestätigt.30 So kann nach dem Widerruf einer Einwilligung das Recht auf Löschung verwehrt werden, wenn die Erlaubnis zur Verarbeitung auch aus einer anderen Erlaubnis folgt.31

22

Erfolgt die Datenverarbeitung zur Erfüllung einer Rechtspflicht (lit. c), so wird dies oft auch im Interesse des Verantwortlichen liegen (lit. f).32 Der gleiche Erlaubnisgrund kann auch herangezogen werden, wenn die rechtmäßig verarbeiteten Daten zu einem anderen Zweck verarbeitet werden sollen, was nur bei der Erlaubnis aufgrund einer Einwilligung nicht möglich wäre.

23

Bei allen Erlaubnistatbeständen von lit. b bis lit. f ist das „übergeordnete Prinzip“33 der Erforderlichkeit zu beachten. Erforderlich ist die Datenverarbeitung nur, wenn eine Aufgabe oder ein Zweck ohne Verarbeitung der personenbezogenen Daten nicht oder nicht in zumutbarer Weise erfüllt werden kann (dazu näher Rn. 57ff.).