DSGVO - BDSG - TTDSG

f) Erforderlichkeit der Datenverarbeitung

139

Stehen andere Mittel als eine Datenverarbeitung zur Verfügung, um den Zweck zu verwirklichen, wäre die Datenverarbeitung nicht erforderlich. Die „anderen Mittel“ müssen für den Verantwortlichen aber auch zumutbar sein (ErwG 39). Das wäre nicht der Fall, wenn die anderen Mittel mit unzumutbar höheren Investitionen verbunden wären. Das Erforderlichkeitskriterium kann dem unternehmerischen Streben nach Effizienz und wirtschaftlicher Unternehmensführung nicht entgegengehalten werden (siehe auch Rn. 57).244

g) Abwägung mit entgegenstehenden Interessen der betroffenen Personen

140

Ist ein berechtigtes Interesse zu bejahen, dann ist durch Abwägung zu prüfen, ob entgegenstehende Interessen bestehen können. Dabei geht es nicht um Befindlichkeiten einer Einzelperson, sondern um objektivierbare Interessen betroffener Personen. Mit Ausnahme der italienischen und deutschen Übersetzung von ErwG 47 („vernünftige Erwartungen der betroffenen Person“), werden in den anderen Sprachfassungen der DSGVO die Interessen der von einer Verarbeitung typischerweise betroffenen Personen (im Plural: „reasonable expectations of data subjects“) genannt. Gefragt wird summarisch also danach, welche regelmäßigen Erwartungen in einer betroffenen Personengruppe zu berücksichtigen sein werden.245 Diese Betrachtung schließt nicht aus, dass im Einzelfall auch einer Interessenwahrung einer Einzelperson eine besondere Bedeutung im Abwägungsprozess zukommt. Ansonsten steht einer betroffenen Person gerade bei einer pauschalen Abwägung die Möglichkeit des zu einer Einzelfallbetrachtung führenden Widerspruchs nach Art. 21 Abs. 1 Satz 1 DSGVO offen (Rn. 152).

141

Die Prüfung hat streng zu erfolgen, um diese Vorschrift nicht zum Einfallstor für eine in das Belieben des Verantwortlichen gestellte Erlaubnisnorm werden zu lassen. Die Tatsache, dass die Prüfung, ob Interessen der betroffenen Person der Verarbeitung entgegenstehen könnte, vom Verantwortlichen vorgenommen wird, darf nicht zu der Annahme verleiten, dass damit die Abwägung zu einem lediglich formalen Akt verkommt, der den Verantwortlichen komfortabel zu einem von ihm angestrebten Ergebnis verhilft und den Datenschutz dadurch zur Disposition des Datenverarbeiters stellt. Vielmehr ist der Verantwortliche gehalten, unter Berücksichtigung des Grundrechtsschutzes aus Art. 7 und 8 GRCh auch einfachgesetzlich die Persönlichkeitsrechte der betroffenen Personen zu wahren. Die Grundsätze aus Art. 5 DSGVO verpflichten den Verantwortlichen, die Verarbeitung in rechtmäßiger Weise und nach Treu und Glauben zu einem legitimen246 Zweck vorzunehmen (Art. 5 Abs. 1 lit. a DSGVO) und darüber Rechenschaft abzulegen (Art. 5 Abs. 2 DSGVO; Accountability).

142

Die Abwägung erfolgt nach diesem Grundsatz und entsprechend dem risikobasierten Ansatz der DSGVO in der Eigenverantwortung des Verantwortlichen; sie muss indes für den Datenschutzbeauftragten, die Aufsichtsbehörde und die betroffene Person nachvollziehbar, transparent und überzeugend sein. Orientierungshilfen und Leitlinien mögen den Verantwortlichen bei der Abwägung unterstützen. Vorgaben dazu, wie das Ergebnis einer Abwägung nach Buchstabe f im Einzelfall auszusehen hat, dürfen weder die Verfasser von Orientierungshilfen und Leitlinien noch der mitgliedstaatliche Gesetzgeber machen. Auch der Europäische Datenschutzausschuss (Art. 70 Abs. 1 lit. e DSGVO) wird nur Leitlinien und Empfehlungen formulieren können, die dem Verantwortlichen als Orientierungshilfe bei der Abwägung zu dienen vermögen. Die in dem Berichtsentwurf des Europäischen Parlaments vom 16.1.2013 in Art. 6 Abs. 1a, 1b und 1c DSGVO-E noch vorhandenen Regelbeispiele sind dementsprechend in der Schlussfassung der DSGVO gestrichen worden; auch die Überlegung, der Kommission die Befugnis zu delegierten Rechtsakten zu geben, mit denen die Abwägungskriterien näher ausgestaltet werden sollten, setzte sich nicht durch. Eine Überprüfung der Abwägung ist den Aufsichtsbehörden und den Gerichten vorbehalten. Die Notwendigkeit, einen durchaus offenen Tatbestand zu formulieren, trifft hier auf die in der DSGVO eingebauten Instrumente der Eigen-, Selbst- und Fremdkontrolle.

143

ErwG 47 mahnt, dass auf jeden Fall „das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen (ist), wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.

144

Allerdings wird vertreten, dass die Darlegungslast hinsichtlich des Überwiegens des Interesses der betroffenen Personen gegenüber dem Interesse des Verantwortlichen bei der betroffenen Person liege247 und dann, wenn hierzu nichts dargelegt werde, die im Interesse des Verantwortlichen liegende Datenverarbeitung schon zulässig sei. Es sei an der betroffenen Person, darzulegen, dass ihre Interessen höher als die des Verantwortlichen wiegen.248 Dieser Ansicht kann nicht gefolgt werden. Vielmehr muss bereits der Verantwortliche sorgfältig prüfen, ob Interessen der betroffenen Person der Verarbeitung entgegenstehen könnten und gegenüber seinen Interessen überwiegen.249 Die betroffene Person kann dann, wenn eine Abwägung gegen ihre Interessen erfolgt, ihr Widerspruchsrecht aus Art. 21 Abs. 1 Satz 1 DSGVO ausüben (siehe Rn. 152).

145

Denkbar ist, dass im Rahmen eines Vertragsverhältnisses, bei dem die hierfür erforderliche Verarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO zulässig ist, eine weitere Datenverarbeitung durch die die Hauptleistung erbringende Vertragspartei auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt werden kann, wenn etwa ein Kundenprofil erstellt werden soll. In der gehobenen Hotellerie werden Wünsche, Bedarfe und Vorlieben von Hotelgästen auch über den Aufenthaltszeitraum hinaus gespeichert, um das Wohlbefinden der Gäste auch bei einem wiederholten Aufenthalt sicherstellen zu können und die Kunden auf diese Weise zu binden. Mit dieser Ausrichtung an der Serviceorientierung ließe sich die Erlaubnis zur Datenspeicherung mit einer am Kundeninteresse – und somit auch im Interesse des Hotels als dem Verantwortlichen – orientierten Speicherung der Daten in einem Customer Relationship Management-System (CRM) auch aus Buchstabe f ableiten.250

146

Das Abwägungsgebot besagt: Es darf kein Grund zu der Annahme bestehen, dass Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. Wird das Interesse einer betroffenen Person daran, dass keine Datenverarbeitung erfolgt, als gleichwertig eingeschätzt, steht dieses einer Verarbeitung im Interesse des Verantwortlichen nicht entgegen.251 Es sollen im Prinzip mittels Abwägung nur unverhältnismäßige Folgen für den Betroffenen vermieden werden.252

147

Nach dem Normtext selbst wird dem „berechtigten Interesse“ des Verantwortlichen ein „Interesse“ der betroffenen Personen gegenübergestellt. Es muss sich danach weder um ein „berechtigtes“ Interesse253 noch nach dem § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. um ein „schutzwürdiges“ Interesse handelt. Daraus wird geschlossen, dass auch „illegitime“ Interessen grundsätzlich geschützt sein können, etwa das Interesse eines sog. Abmahnanwalts, nicht mit seinem Namen als solchem öffentlich im World Wide Web bezeichnet zu werden.254

148

Das möglicherweise der Verarbeitung entgegenstehende Interesse muss sich nicht allein auf die Wahrung der Privatsphäre oder auf den Schutz der informationellen Selbstbestimmung beziehen. Auch hier können ideelle oder wirtschaftliche Interessen anerkannt werden.255 Der Verantwortliche hat danach eine am Verhältnismäßigkeitsgrundsatz orientierte Abwägung zwischen seinen berechtigten Interessen auf der einen und den Interessen des Betroffenen auf der anderen Seite vorzunehmen. Danach muss also a) beim Verantwortlichen ein berechtigtes Interesse bestehen, zu dessen Wahrung die Datenverarbeitung b) erforderlich sein muss, c) Interessen der betroffenen Person zumindest berührt sein, ohne d) gegenüber den berechtigten Interessen des Verantwortlichen zu überwiegen. Nach diesem Zulässigkeitstatbestand kann die Erhebung, Verarbeitung und Nutzung also selbst dann zulässig sein, wenn die Interessen der betroffenen Person zwar berührt sind, eine Interessenabwägung aber ergibt, dass die Interessen des Verantwortlichen höher wiegen oder zu den Interessen der betroffenen Person gleichwertig sind. Danach ist die Datenverarbeitung regelmäßig zulässig, wenn den für eine Datenverarbeitung sprechenden berechtigten Interessen ein solches Gewicht zukommt, dass die Belange der betroffenen Person demgegenüber zurücktreten müssen.

149

Grundsätzlich gelten die zu § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. herangezogenen Abwägungskriterien auch weiter. Bei der Abwägung werden zahlreiche Faktoren sowohl auf Seiten des Verantwortlichen wie auf derjenigen der betroffenen Person zu berücksichtigen sein. Zu ihnen zählen die Art der personenbezogenen Daten, der mit der Verarbeitung verfolgte Zweck, die Legitimität und Intensität des Eingriffs der Verarbeitung in Grundfreiheiten und -rechte, die Gewährleistung der Datensicherheit und die – unter Umständen von der betroffenen Person selbst hergestellte – öffentliche Zugänglichkeit256 der Daten. Der die DSGVO prägende „risikobasierte Ansatz“ führt dazu, dass vom Verantwortlichen die Abwägung sorgfältig vorzunehmen ist und eine von ihm als zulässig angesehene Datenverarbeitung umso sorgfältiger begründet und dokumentiert werden muss, je eher Zweifel an der zu seinen Gunsten erfolgten Abwägung aufkommen können.257 Zu prüfen ist mit dem ErwG 47, ob eine betroffene Person zum Zeitpunkt der Datenverarbeitung und angesichts der Umstände, unter denen sie erfolgt, „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. Zu bewerten ist also die vernünftige Erwartungshaltung der betroffenen Person, die neben anderen Gesichtspunkten ein Indiz für die Zulässigkeit der Verarbeitung sein kann. Wird im Rahmen der dem Verantwortlichen obliegenden Informationspflichten der Zweck der Datenverarbeitung genau bezeichnet und zugesagt, dass die Daten beispielsweise nicht für Werbezwecke verarbeitet werden, dann bestehen beim Betroffenen auch entsprechende Erwartungen, die nicht durch eine Abwägung zugunsten des Verantwortlichen enttäuscht werden dürfen.258 Auch unter diesem Gesichtspunkt kommt der gem. Art. 13 und 14 DSGVO vom Verantwortlichen herzustellenden Transparenz eine besondere Bedeutung zu.

150

Ein besonderes Augenmerk hat der abwägende Verantwortliche nach dem grammatikalisch misslungenen 2. Hs. von Buchstabe f auf die Interessen von Kindern zu richten (siehe auch Rn. 120). Danach sind mögliche entgegenstehende Interessen von betroffenen Personen besonders dann sorgfältig zu prüfen, wenn es sich bei ihnen um Kinder handelt, die die DSGVO unter einen besonderen Schutz stellt. Die Tatsache, dass die betroffene Person ein Kind ist, schließt nicht von vornherein aus, dass die Abwägung stets oder regelmäßig gegen die Rechtmäßigkeit einer auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützten Datenverarbeitung spricht.259 Der Sorgfaltsmaßstab wird aber erhöht, um die Belange von Kindern besonders aufmerksam zu berücksichtigen.260

h) Informationspflichten

151

Der Verantwortliche, der die Verarbeitung personenbezogener Daten mit Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO begründet, muss die betroffenen Personen darüber informieren und darlegen, welche berechtigten Interessen er mit der Datenverarbeitung verfolgt (Art. 13 Abs. 1 lit. d DSGVO, Art. 14 Abs. 2 lit. b DSGVO). Auf das Widerspruchsrecht aus Art. 21 Abs. 1 und 2 DSGVO ist die betroffene Person hinzuweisen (Art. 13 Abs. 2 lit. b bzw. Art. 14 Abs. 2 lit. c DSGVO). Der Hinweis auf das Widerspruchsrecht hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen (Art. 31 Abs. 4 DSGVO).

i) Widerspruchsrecht

152

Gegen eine Verarbeitung, die sich auf eine Erlaubnis nach Buchstabe f stützt, besteht – anders als bei einer Verpflichtung zur Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO – ein Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DSGVO, wenn sich Gründe für ein überwiegendes Interesse aus der besonderen Situation der betroffenen Person ergeben (Art. 21 Abs. 1 Satz 1 DSGVO). Aber auch dann könnte eine auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützte Datenverarbeitung noch zulässig sein, wenn der Verantwortliche dem „zwingende schutzwürdige Interessen“ entgegenhalten kann (Art. 21 Abs. 1 Satz 2 DSGVO), für die er die Darlegungslast trägt.

III. Spezifische Bestimmungen der Mitgliedstaaten (Abs. 2 und 3)

153

In den Absätzen 2 und 3 finden sich fakultative Öffnungsklauseln, aufgrund derer die Mitgliedstaaten die Erlaubnistatbestände aus Art. 6 Abs. 1 UAbs. 1 lit. c und e DSGVO aktivieren können.261 Absatz 3 sieht als Rechtsgrundlage für eine Verarbeitung nach den Buchstaben c und e solche des Unionsrechts (unmittelbar geltendes Primärrecht)262 und des Rechts des Mitgliedstaates, dem der Verantwortliche unterliegt, vor. Eine rechtliche Verpflichtung oder ein öffentliches Interesse, das in einer Rechtsgrundlage eines Drittstaates normiert wurde, sind folglich ausgeschlossen.263 Damit sind EU-Verordnungen sowie Rechtsvorschriften des Bundes- und Landesrechts, aber auch kommunales Recht und Satzungen anderer juristischer Personen des öffentlichen Rechts erfasst, aber keine individuellen Rechtsakte (Verwaltungsakte) oder Urteile.264 Untergesetzliche Normen, die aufgrund einer Ermächtigungsgrundlage erlassen wurden und unmittelbare Außenwirkung haben,265 sind Bestimmungen im Sinne des Absatzes 2. Zu den spezifischen Bestimmungen zählen vornehmlich Gesetze im formellen Sinn,266 von denen es in Deutschland bereichs- oder fachspezifische Datenschutzregelungen auf Bundes- und Landesebene in ganz erheblicher Zahl gab und die aufgrund dieser Regelung des Absatz 3 erhalten oder an die Rahmenvorschriften der DSGVO terminologisch und inhaltlich angepasst werden müssen.267

154

Die Bestimmungen der Union und in den Mitgliedstaaten sollen spezifische Anforderungen an die zur Erfüllung der Verarbeitung gem. Buchstabe c oder e vorsehen. Sie sollen auch Maßnahmen präzise formulieren, damit eine rechtmäßige und nach Treu und Glauben (siehe dazu Art. 5 Rn. 13) erfolgende Verarbeitung gewährleistet ist.

155

Genau genommen finden sich unter den Buchstaben c und e keine selbstständigen Erlaubnistatbestände.268 Erst in Verbindung mit den spezifischen mitgliedstaatlichen Bestimmungen können sie einen Erlaubnistatbestand für die öffentliche Hand ergeben.269 Nach Absatz 2 dürfen die Mitgliedstaaten „spezifische Bestimmungen“ beibehalten oder einführen. Damit sollen spezifische Anforderungen für die Verarbeitung und „für sonstige Maßnahmen“ präziser bestimmt werden.270 Bezweckt wird damit, eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. Die Anforderung, dass die Bestimmungen der DSGVO präziser bestimmt werden können, schließt eine Wiederholung von Vorschriften der DSGVO aus.271 Anerkannt ist allerdings, dass Wiederholungen von Textpassagen der DSGVO dann zulässig sind, wenn die DSGVO eine Präzisierung durch mitgliedstaatliches Recht zulässt und die Wiederholung als erforderlich gilt, um die Kohärenz sicherzustellen und um die nationalen Vorschriften verständlich und normenklar zu formulieren, ohne den Eindruck entstehen zu lassen, dass die Verordnung nicht direkt anzuwenden sei. Diese Möglichkeit der Wiederholung wird von ErwG 8 ausdrücklich genannt. Deshalb wird es auch als zulässig angesehen, dass das BDSG stellenweise Normtexte der DSGVO in den Wortlaut des BDSG aufnimmt, weil es im Interesse der Rechtsanwender ist, „ein homogenes und verständliches Regelungsgefüge zu schaffen“.272 Dabei ist eine Bezugnahme auf die DSGVO unerlässlich. Mit der Präzisierung dürfen keine verbindlichen Auslegungsregelungen geschaffen werden.

156

Im Absatz 3 werden Anforderungen zusammengefasst, die ein Verantwortlicher zusätzlich zu den Merkmalen zu beachten hat, die sich aus den Erlaubnistatbeständen des Absatz 1 lit. c und e ergeben. Absatz 3 enthält keine eigene Kompetenzermächtigung zur Konkretisierung, sondern erweitert die in Absatz 2 enthaltenen Anforderungen an die Konkretisierung durch die Mitgliedstaaten und schränkt die Ermächtigung inhaltlich weiter ein. Diese Regelungswechselwirkung wurde als „Schranken-Schranke“ bezeichnet.273 So muss sich nach Absatz 3 Satz 1 ein Rechtsgrund dafür, dass eine Verarbeitung auf Art. 6 Abs. 1 UAbs. 1 lit. c oder lit. e DSGVO gestützt werden soll, aus dem Unionsrecht oder dem Recht eines Mitgliedstaates ergeben. Zudem muss diese „Rechtsgrundlage“ auch den weiteren Vorgaben aus den Sätzen 2 und 4 gerecht werden. Danach muss der Zweck der Verarbeitung in der spezifischen Bestimmung festgelegt werden oder der Zweck muss bei einer Verarbeitung nach Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein,274 die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Danach würde es – anders als noch unter dem BDSG a.F.275 – genügen, dass sich aus der Aufgabenbeschreibung einer Vorschrift der Zweck der für die Aufgabenerfüllung erforderlichen Datenverarbeitung ergibt. Die Einschränkung, dass die Bestimmung „eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung“ in Übereinstimmung mit den Grundsätzen aus Art. 5 DSGVO – zu denen nach Abs. 1 lit. b gehört, dass die Daten für „legitime Zwecke“ erhoben werden müssen – gewährleisten muss, führt bei Grundrechtseingriffen (Art. 8 GRCh; Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) durch die Verarbeitung hoheitlicher Stellen dazu, dass die fachgesetzliche Bestimmung zur Ausfüllung der Buchstaben c und e den Zweck der Datenverarbeitung präzise benennen muss.276 Danach darf auch unter der DSGVO nicht allein von einer gesetzlichen Aufgabenbeschreibung in einem Fachgesetz bereits auf die Rechtmäßigkeit der Datenverarbeitung geschlossen werden. Es muss erkennbar sein, welchem Zweck die Datenverarbeitung dient und welcher Art die Daten sind, die verarbeitet werden sollen.

157

Die Mitgliedstaaten können aufgrund des Subsidiaritätsprinzips aus Art. 4 und 5 EUV weitgehend selbst bestimmen, was sie als im öffentlichen Interesse liegend betrachten. Für Deutschland gehört dazu beispielsweise die im BDSG geregelten Vorschriften zur Zulässigkeit des Scoring (§ 31 BDSG).277

158

In den Bestimmungen kann geregelt werden, welche Arten personenbezogener Daten für die Zweckerfüllung verarbeitet werden dürfen und welche Personen von der Bestimmung betroffen sind. Außerdem können Regelungen über die Weitergabe und Zweckbindung der Daten enthalten sein. Das erhellt, dass sich die Präzisierung durch Vorschriften der Mitgliedstaaten nicht allein auf den Wortlaut der Buchstaben c und e bezieht, sondern auch spezifische Vorschriften zu anderen Bestimmungen des Kapitels I der DSGVO sowie wegen des klarstellenden Hinweises in Absatz 2 am Ende (sich auf besondere Verarbeitungssituationen beziehende Spezifizierungen) auf Kapitel IX möglich und zulässig sind.278 Die Formulierung in Art. 6 Abs. 3 UAbs. 2 Satz 2 DSGVO, wonach die Rechtsgrundlage spezifische Bestimmungen „zur Anpassung der Anwendung der Vorschriften dieser Verordnung“ enthalten kann, spricht dafür, dass auch spezifische Regelungen zu Bestimmungen in anderen Kapiteln zulässig sind.279

159

Heranziehen können die Erlaubnistatbestände aus den Buchstaben c und e in Verbindung mit den ergänzend in Absatz 3 geregelten Anforderungen nicht nur Behörden und Institutionen des öffentlichen Rechts, sondern auch juristische und natürliche Personen, die im öffentlichen Interesse Aufgaben wahrnehmen. Der eine im öffentlichen Interesse liegende Aufgabe übernehmende Verantwortliche kann nach ErwG 45 eine natürliche oder juristische Person des Privatrechts sein, wie beispielsweise eine Berufsvereinigung. Es müsste dann die Aufgabe allerdings durch das öffentliche Interesse, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt sein. Aus diesem Grund wird die Regelung der Videoüberwachung in § 4 BDSG als nicht mehr von der Öffnungsklausel des Absatz 3 gedeckt angesehen, weil sie nicht nur die Datenverarbeitung im öffentlichen Interesse spezifiziert, sondern diese auch zur Wahrnehmung des Hausrechts (Abs. 1 Nr. 2) und zur Wahrnehmung berechtigter Interessen (Abs. 1 Nr. 3) erlaubt.280

160

Nach UAbs. 2 Satz 1 muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein oder – bei Heranziehung nur von Buchstabe e – für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Beispiele hierfür aus Deutschland sind etwa das Geldwäschegesetz, das dem „Aufspüren von Gewinnen aus schweren Straftaten“ dient und dafür Pflichten u.a. zur Identifizierung von Vertragspartnern vorsieht und spezielle Normen über die Identitätsprüfung enthält, und das Kreditwesengesetz, das im öffentlichen Interesse die „Durchleuchtung“ der wirtschaftlichen Verhältnisse im Interesse der Betrugsprävention zulässt.

161

Zwingend ist auch Abs. 3 UAbs. 2 Satz 3 zu beachten, wonach das Unionsrecht oder das Recht des Mitgliedstaates ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss. Der Satz 3 muss als deklaratorischer Hinweis auf die Beachtlichkeit des Verhältnismäßigkeitsgrundsatzes verstanden werden, wie er sich wegen der Grundrechtsrelevanz des Eingriffs (Art. 8 GRCh) bereits aus Art. 52 Abs. 1 Satz 2 GRCh ergibt.281 Der Hinweis darauf, dass der Zweck „legitim“ sein muss, ist auch hier Anlass für die Überprüfung, ob der angegebene Zweck der hoheitlichen Datenverarbeitung im Einklang mit der Rechtsordnung, vornehmlich den Grundrechten, steht (Rn. 1 Fn. 1).

162

Optional lässt es UAbs. 2 Satz 2 zu, dass die Rechtsgrundlage nähere Bestimmungen zur Ausgestaltung der Rechtsgrundlage enthält. Dabei ist aber der u.a. durch die Grundsätze des Art. 5 DSGVO vorgegebene Rahmen zu beachten, der durch die Rechtsgrundlage nicht ausgehöhlt werden darf.282 Weil in Abs. 2 ausdrücklich erwähnt wird, dass die Mitgliedstaaten vor Wirksamwerden der DSGVO erlassene Bestimmungen beibehalten können, wird zu prüfen sein, ob diese bei Wirksamwerden der DSGVO vorhandenen Vorschriften den Rahmenanforderungen der DSGVO genügen.

163

ErwG 45 erwartet, dass „im Unionsrecht oder im Recht der Mitgliedstaaten geregelt (wird), für welche Zwecke die Daten verarbeitet werden dürfen“. Diese Rechtsvorschriften sollten weiter die allgemeinen Bedingungen der DSGVO zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisieren. Die Empfehlung gibt weiter Anregungen, dass das Recht der Union bzw. des Mitgliedstaates festlegt, „wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt“.