DSGVO - BDSG - TTDSG

IV. Zweckänderung (Abs. 4)
1. Zweckbindung

164

Art. 5 Abs. 1 lit. b DSGVO enthält als einen die DSGVO prägenden Grundsatz die Zweckbindung einer zulässigen Datenverarbeitung.283 Die Zweckbindung ist nur dann wirksam und kann nicht unterlaufen werden, wenn der Ursprungszweck, wie von der DSGVO verlangt, eindeutig und präzise festgelegt worden war, sodass bei einer Änderung des präzise festgelegten Zwecks die Zulässigkeit der Zweckänderung zu prüfen ist.284 Eine allgemeine, pauschalisierende und zu weiten Interpretationen einladende Zweckbeschreibung würde eine Regelung zur Zweckänderung in Art. 6 Abs. 4 DSGVO und §§ 23, 24 BDSG partiell obsolet machen. Bei der Erhebung eines personenbezogenen Datums dürfen allerdings auch mehrere Zwecke (präzise) festgelegt werden, die alle der betroffenen Person gegenüber transparent zu machen sind (Art. 13 Abs. 1 lit. c bzw. Art. 14 Abs. 1 lit. c DSGVO). Die Zwecke sind im Rahmen der umfassenden Rechenschaftspflicht (Accountability) zu dokumentieren (Art. 5 Abs. 2 DSGVO).

2. Zweckändernde Weiterverarbeitung

165

Art. 6 Abs. 4 DSGVO nennt Kriterien, nach denen eine zweckändernde Weiterverarbeitung (in der DSGVO auch Zweckänderung und Weiterverwendung genannt) – einschließlich der Übermittlung – zulässig ist. Die Kritik an dieser Regelung ist deutlich. Der mit Absatz 4 geschaffenen Zulässigkeit der zweckändernden Weiterverarbeitung fehle „das systematische Konzept“ und es seien „Sinn und Zweck der Vorschrift mehrdeutig“,285 diese sei eine „zu unterschiedlichen Interpretationen herausfordernde Vorschrift“,286 die als „Aufweichung im Dienste von Big Data“ bezeichnet wird287 und die Zweckänderungen in einem derart weiten Umfang zulässig mache, dass dies einer Preisgabe des in der Europäischen Grundrechtecharta288 enthaltenen Prinzips der Zweckbindung gleichkomme.289 Eine isolierte Betrachtung des Absatzes 4 würde dazu führen, dass die angestrebte Harmonisierung über den Umweg der Zweckänderung „ad absurdum geführt werden könnte“.290

a) Zweckänderung ohne Kompatibilitätstest

166

Die hier in Absatz 4 genannten Kriterien sollen bei einem Kompatibilitätstest herangezogen werden, mit dem die Vereinbarkeit des neuen Verarbeitungszwecks mit dem bei der Erhebung angegebenen Zweck geprüft werden muss, um im Falle der Feststellung der Vereinbarkeit eine Zulässigkeit der Weiterverarbeitung begründen zu können – was allerdings nur dann erforderlich ist, wenn nicht schon eine Einwilligung oder eine gesetzliche Erlaubnis für die Weiterverarbeitung mit neuer Zweckbestimmung vorliegt.291

167

Eine gesetzliche Erlaubnis für eine zweckändernde Weiterverarbeitung kann sich aus Art. 6 DSGVO („einer Rechtsvorschrift der Union“) und hierin vornehmlich aus Abs. 1 UAbs. 1 lit. f ergeben. Denkbar sind aber auch außerhalb der DSGVO enthaltene EU-Vorschriften über eine zweckändernde Weiterverarbeitung sowie die ebenfalls aufgeführten Rechtsvorschriften in Mitgliedstaaten. Damit erweist sich Absatz 4 auch als eine Öffnungsklausel zugunsten mitgliedstaatlicher Vorschriften über die Möglichkeiten einer zweckändernden Weiterverarbeitung.292 Deutschland hat davon Gebrauch gemacht und mit den §§ 23, 24 BDSG solche Rechtsvorschriften eines Mitgliedstaats für öffentliche und nichtöffentliche Stellen geschaffen (siehe die Kommentierung zu den §§ 23, 24 BDSG). Rechtsvorschriften, die aufgrund dieser Öffnungsklausel bestehen, müssen aufgrund der Anforderung aus Absatz 4 „eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele“ darstellen.293

168

Die nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorzunehmende Abwägung ist durchaus mit der Kompatibilitätsprüfung unter Berücksichtigung der in Absatz 4 – nicht abschließend – aufgezählten Kriterien vergleichbar.294 Offenbar aufgrund ähnlicher Erwägung wurde die Konstruktion einer fiktiven „hypothetischen“ Neuerhebung vorgeschlagen, bei der für bereits erhobene, vorhandene Daten, für eine Erhebung von Daten aus eigenen Beständen aus internen Quellen eine gesetzliche Erlaubnis aus Art. 6 Abs. 1 DSGVO geprüft wird.295 Diese Anknüpfung an eine (hypothetische) Erhebung ist jedoch gar nicht erforderlich, weil Art. 6 Abs. 1 DSGVO nicht eine Erlaubnis für die Erhebung, sondern allgemein für die Verarbeitung verlangt. Außerdem spricht die DSGVO insbesondere in ErwG 50 davon, dass die Kriterien in Absatz 4 nur dann zur Anwendung kommen sollen, wenn für die Weiterverarbeitung zu einem anderen Zweck keine Einwilligung oder sonstige gesetzliche Erlaubnis vorliegt.296

b) Vereinbarkeitsprüfung („Kompatibilitätstest“) bei fehlender sonstiger Erlaubnis

169

Dagegen wird die Ansicht vertreten, dass eine Erlaubnis nach Absatz 1 für die Weiterverarbeitung zu einem neuen Zweck vorliegen müsse und zusätzlich der Kompatibilitätstest durchzuführen sei (Zwei-Stufen-Theorie).297 Dieser Ansicht ist nicht zu folgen. Vielmehr eröffnet Absatz 4 die Möglichkeit, die rechtmäßig aufgrund einer Erlaubnisgrundlage298 erhobenen Daten auch dann weiterzuverarbeiten, wenn sich für den neuen Zweck keine Erlaubnis aus Art. 6 Abs. 1 DSGVO oder einer sonstigen Vorschrift der Union oder des Mitgliedstaates finden lässt und die Zulässigkeit nur mit einem positiven Ergebnis des „Kompatibilitätstests“ nach Absatz 4 begründbar ist („Ausweitungstheorie“).299 Die Restmenge, nach der ein solcher Kompatibilitätstest angesichts der möglichen Erlaubnis aufgrund einer Interessenabwägung gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO noch bliebe, dürfte gering sein.300 Insgesamt scheint also in der Tat „der Anwendungsbereich der Kriterien schmal“.301 Es wird sich in der Praxis zeigen, für welche Sachverhalte ein Kompatibilitätstest nach Absatz 4 herangezogen wird, für die nicht schon eine Erlaubnis nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO oder nach sonstigen Rechtsvorschriften unmittelbar einschlägig ist.

170

Zunehmend finden in Unternehmen für neue Geschäftsanwendungen Techniken der Business Intelligence Anwendung. Damit sollen in einem operativen System generierte Daten derart aufbereitet werden, dass aus den Daten Schlüsse für Entscheidungen des Managements gezogen werden können.302 Es werden für den Zweck, Managemententscheidungen vorzubereiten, Daten also nicht neu – auf Grundlage eines Erlaubnistatbestands – gewonnen, sondern aus operativ genutzten Datenbanken extrahiert. Die personenbezogenen Daten werden demnach für einen anderen, möglicherweise noch nicht bestimmten Zweck verarbeitet. Ein solches Szenario kann typisch sein für Künstliche Intelligenz mit maschinellem Lernen oder für Big Data-Anwendungen. Ist der Zweck noch nicht bekannt, kann die Zweckänderung nicht auf einen gesetzlichen Erlaubnistatbestand gestützt werden. Ob es ausreicht, die Zweckänderung auf Art. 6 Abs. 4 DSGVO zu stützen, wenn der Zweck nur – wie typischerweise bei Big Data-Anwendungen – unbestimmt umschrieben werden kann (Kundengewinnung; Vorbereitung von Managemententscheidungen), ist nicht abschließend geklärt.303 Für Träger hoheitlicher Gewalt bleibt es bei der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO und dem Ausnahmekatalog für Zweckänderungen des § 23 BDSG (Rn. 154). Eine Vereinbarkeitsprüfung nach Art. 6 Abs. 4 DSGVO ist für eine Datenverarbeitung zur Wahrnehmung öffentlicher Aufgaben kein Weg, um zu einer rechtmäßigen zweckändernden Weiterverarbeitung zu kommen. Dies bestätigt ErwG 50 Abs. 1 Satz 2: „Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird.“ So ist beispielsweise auch die zweckändernde Nutzung von Daten aus dem „Kehrbuch“, die ein bevollmächtigter Bezirksschornsteinfeger als „beliehener Unternehmer“ in Ausübung seiner hoheitlichen Funktion nach § 8 Schornsteinfeger-Handwerksgesetz (SchfHwG) erhebt und verarbeitet, für gewerbliche Zwecke des Handwerkers, beispielsweise für die Bewerbung seiner sonstigen handwerklich-gewerblichen Dienstleistungen als Unternehmer, unzulässig.304 Ob Behörden dann, wenn sie sich bei einer angestrebten zweckändernden Weiterverarbeitung nicht auf eine verfassungsgemäße Rechtsvorschrift stützen können, nicht doch auch eine Kompatibilitätsprüfung vornehmen dürfen, um die Vereinbarung des neuen Zwecks mit dem ursprünglichen, der rechtmäßigen Erhebung zugrunde gelegten Zweck festzustellen, ist aber umstritten.305 Aus verfassungsrechtlichen Erwägungen ist eher Zurückhaltung zu empfehlen.

3. Rechtmäßigkeit der Verarbeitung bei positivem Vereinbarkeitstest
a) Rechtsgrundlage für die zweckändernde Weiterverarbeitung

171

Eine Zweckänderung der Datenverarbeitung – und damit eine Aufweichung der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO306 – von für festgelegte, eindeutige und legitime Zwecke erhobenen Daten ist nach Art. 6 Abs. 4 DSGVO – der inhaltlich der entsprechenden Regelung der DSRl entspricht und nun spezifiziert wurde307 – unter Beachtung der dort genannten Erwägungsbeispiele zulässig. Es lässt sich unterstreichen, dass „der sog. Zweckbindungsgrundsatz ... auch nach der DSGVO keine absolute Geltung“ beanspruchen kann.308 Rechtmäßig ist die Verarbeitung zu einem anderen Zweck allerdings schon dann, wenn dafür eine Einwilligung der betroffenen Person vorliegt oder für die (Weiter-)Verarbeitung ein Erlaubnistatbestand aus einer Rechtsvorschrift der Union oder eines Mitgliedstaates gegeben ist.309 Die Einwilligung in die Verarbeitung zum ursprünglichen Zweck darf aber nicht in eine Einwilligung für den neuen Zweck umgedeutet werden. Die Einwilligung muss sich eindeutig und ohne Zweifel auf den ausdrücklich genannten Zweck der Verarbeitung beziehen.

172

Zu prüfen hat der eine zweckändernde Verarbeitung planende Verantwortliche vor der zweckändernden Weiterverarbeitung also zunächst, ob für die Verarbeitung zu einem anderen Zweck eine Erlaubnis aufgrund einer Einwilligung oder aufgrund eines gesetzlichen Erlaubnistatbestands vorliegt. Ist das der Fall, braucht eine weitere Prüfung der Vereinbarkeit nicht zu erfolgen. Auch ErwG 50 Abs. 2 Satz 1 ist in dieser Hinsicht eindeutig: „Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen.“

173

Fehlt es für die zweckändernde Weiterverarbeitung allerdings an einer Erlaubnis, kann eine Vereinbarkeitsprüfung gemäß Absatz 4 doch zur Rechtmäßigkeit der zweckändernden Weiterverarbeitung führen. Das legt auch der Wortlaut des ErwG 50 Abs. 1 Satz 2 nahe: „In diesem Fall [der Vereinbarkeit] ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten.“ Der Satz ist so zu verstehen, dass für die ursprüngliche Erhebung zu dem (Primär-)Zweck eine Rechtsgrundlage vorhanden sein muss; die Erhebung musste also auf der Grundlage eines Erlaubnistatbestands rechtmäßig gewesen sein. Wenn dann eine Prüfung der Vereinbarkeit entlang der Kriterien des Absatzes 4 aus der Sicht des Verantwortlichen positiv verläuft, braucht „keine andere gesonderte Rechtsgrundlage“ für die zweckändernde Weiterverarbeitung herangezogen zu werden.310

b) Vereinbarkeitsprüfung/Kompatibilitätstest

174

Stellt der Verantwortliche fest, dass der Zweck, zu dem Daten weiterverarbeitet werden sollen, mit dem ursprünglichen Zweck vereinbar ist, dann wäre die zweckändernde Verarbeitung auch dann rechtmäßig, wenn die Verarbeitung weder aufgrund einer Einwilligung noch einer gesetzlichen Vorschrift erlaubt wäre. Liegt eine solche Erlaubnis nicht vor, kann der Verantwortliche prüfen, ob der andere Zweck mit demjenigen Zweck, zu dem die Daten erhoben worden waren, vereinbar ist. Was unter „Vereinbarkeit“ zu verstehen ist, wird von der DSGVO nicht legaldefiniert. Aus dem Normtext erschließt sich, dass eine Vereinbarkeit besteht, wenn der Verantwortliche dies unter Berücksichtigung der in den im Absatz 4 Buchstaben a bis e enthaltenen Kriterien, die nicht abschließend („unter anderem“) aufgezählt sind,311 festgestellt hat.

175

In der Praxis dürfte es angesichts des in Absatz 4 enthaltenen, nicht abschließenden Kriterienkatalogs zu einer nicht unerheblichen Unsicherheit bei der Frage kommen, wie die Vereinbarkeit festzustellen ist; denn der Normtext fordert lediglich auf, dass bei der Prüfung die Kriterien „berücksichtigt“ werden müssten. Die Norm erhellt aber nicht, ob alle Kriterien zutreffen müssen oder ob sie durch weitere ersetzt oder ergänzt werden können und wie dann die Gewichtung aussehen müsste. Weil in Buchstabe b und c die Rede davon ist, dass das Kriterium „insbesondere“ zu berücksichtigen sei, und Buchstabe e erwähnt, dass das Kriterium zu den zu berücksichtigenden Erwägungen „gehören kann“, ist davon auszugehen, dass es dem Verantwortlichen vergleichsweise frei steht, wie er die Vereinbarkeit begründet. Auch werden nicht immer die in Buchstabe e verlangten, aber nicht näher spezifizierten „geeigneten Garantien“ gegeben werden können, zu denen nach den aufgeführten Beispielen Verschlüsselung oder Pseudonymisierung gehören „können“. Insgesamt erweisen sich die Kriterien als wenig präzise und als kaum greifbar oder operabel. Immerhin geben die zu berücksichtigenden Kriterien einen Orientierungsrahmen, den der Verantwortliche nutzen muss, um die Vereinbarkeit zu begründen. Auch hier schlägt der „risikobasierte Ansatz“ der DSGVO durch, nach dem der Verantwortliche abwägen, begründen und dokumentieren muss.312 Die Erwägungen und Ergebnisse der Abwägung sind penibel zu begründen und zu dokumentieren, um die Rechtmäßigkeit der Weiterverarbeitung nachweisen zu können. Die Einbeziehung des Datenschutzbeauftragten, so vorhanden, ist zu empfehlen.

c) Kriterien der Vereinbarkeitsprüfung

176

Nach Buchstabe a ist „jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung“ zu berücksichtigen. Ob damit eine inhaltliche, logische oder zeitliche Verbindung gemeint wird, ist offen; beide Aspekte können von Bedeutung sein. Bei der Begründung müsste es für einen Dritten nachvollziehbar sein, dass diese Zwecke miteinander in einem Zusammenhang stehen und miteinander verbunden sind.

177

Nach Buchstabe b ist der „Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,“ zu berücksichtigen. Dabei spielt es nach ErwG 50 eine Rolle, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Personen, die auf ihren Beziehungen zu dem Verantwortlichen beruhen. Angesprochen wird damit das Verhältnis des Verantwortlichen auf der einen und der betroffenen Personen auf der anderen Seite zueinander und der Umstand, ob die Betroffenen aufgrund dieser Beziehung damit rechnen können, dass ihre rechtmäßig erhobenen Daten auch zweckändernd verarbeitet werden. Eine für die betroffene Person, die in keinem näheren Verhältnis – wie es in Kundenbeziehungen oder Arbeitsverhältnissen der Fall wäre – zum Verantwortlichen steht, überraschender neuer Zweck wäre unvereinbar mit dem ursprünglichen Zweck. Aber auch in einer Kundenbeziehung wäre es für den Kunden eines Supermarkts überraschend, wenn die ihn durch den Supermarkt lotsende Indoor-Navigation-App auch das Kaufinteresse für Marketingzwecke verwenden würde.313 Auch das Tracking über die WLAN-Seriennummer des Smartphones im Geschäft dürfte überraschend sein, auch wenn eine langjährige vertrauensvolle Kundenbeziehung besteht.314 Weitere Beispiele lassen sich im WP 203 der Art.-29-Datenschutzgruppe finden.315

178

Buchstabe c enthält die Aufforderung, „die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 verarbeitet werden,“ zu berücksichtigen. Dieser Hinweis zielt darauf ab, besonders schutzwürdige Daten nicht zum Gegenstand einer zweckändernden Weiterverarbeitung zu machen. Über die hier erwähnten Daten hinaus sind auch andere schutzwürdige Daten zu berücksichtigen. WP 203 der Art.-29-Datenschutzgruppe zählt einige auf. Zu nennen wären die Daten von Kindern, Älteren, Asylsuchenden. Es müssen also keineswegs nur die in Art. 9 DSGV erwähnten besonderen Kategorien personenbezogener Daten sein, die bei der Vereinbarkeitsprüfung zu berücksichtigen sind, sondern auch sonstige sensible Daten, bei denen ein Kompatibilitätstest nicht zu dem vom Verantwortlichen angestrebten positiven Ergebnis kommt. Schutzwürdig wäre aber, was ErwG 50 Abs. 2 erwähnt, wenn der Verantwortliche auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, gegenüber einer zuständigen Behörde hinweist. Eine solche in der Mitteilung liegende „Zweckänderung“ wäre zulässig, wobei sich allerdings eine Einschränkung aus etwaigen Verschwiegenheitspflichten des Verantwortlichen ergeben könnten (ErwG 9, 10).

179

Berücksichtigt werden müssen nach Buchstabe d „die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen“. Die zu beachtenden Folgen können sowohl positiv wie auch negativ sein. Negative wirtschaftliche oder die Reputation des Betroffenen beeinträchtigende Folgen würden zur Unvereinbarkeit führen.

180

Buchstabe e erwartet die Berücksichtigung des Vorhandenseins „geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann“. Der Verantwortliche hat es demnach auch weitgehend in der Hand, selbst dazu beizutragen, dass dieser „Gewichtungsparameter“316 zum Tragen kommt, indem entsprechend Techniken und Verfahren eingesetzt werden, die für geeignete Garantien sorgen.

d) Zweckänderung für privilegierte Zwecke

181

Als vereinbar wird es schon nach Art. 5 Abs. 1 lit. b DSGVO angesehen, wenn die Zweckänderung für im öffentlichen Interesse liegende Archivzwecke für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erfolgt (privilegierter Zweck). Von der Kompatibilität mit dem ursprünglichen Zweck wird dann ausgegangen, wobei aber die in Art. 89 Abs. 1 DSGVO geforderten Garantien beachtet werden müssen.317

e) Zweckbindung bei einer Videoüberwachung

182

Eine strenge Zweckbindung findet sich in § 4 Abs. 3 Satz 3 BDSG. Danach dürfen Daten aus der Videoüberwachung nur weiterverwendet werden, wenn die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit oder die Verfolgung von Straftaten dies erfordert.318 In den §§ 23 und 24 BDSG werden auf der Grundlage der Öffnungsklausel des Art. 6 Abs. 4 DSGVO Voraussetzungen für die zweckändernde Weiterverarbeitung durch öffentliche und nichtöffentliche Stellen normiert. § 23 BDSG enthält einen Katalog von Beispielen, nach denen öffentliche Stellen Daten zu einem anderen Zweck im Rahmen ihrer Aufgabenerfüllung weiterverarbeiten dürfen (siehe § 23 Rn. 7ff.). § 24 Abs. 1 BDSG erlaubt nichtöffentlichen Stellen eine Zweckänderung nur, wenn sie 1. zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder sie 2. zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. § 24 Abs. 1 BDSG schränkt die Zulässigkeit der zweckändernden Weiterverarbeitung von besonderen Kategorien personenbezogener Daten weiter ein (siehe § 24 Rn. 6ff.).