DSGVO - BDSG - TTDSG

V. Rechtsfolgen bei Verstößen

183

Ein Verstoß gegen Art. 6 Abs. 1 DSGVO kann gem. Art. 83 Abs. 5 lit. a DSGVO sanktioniert werden. Das ist der Fall, wenn es für die Verarbeitung personenbezogener Daten keine Erlaubnis durch Einwilligung oder einen gesetzlichen Erlaubnistatbestand gibt. Verstößt eine zweckändernde Datenverarbeitung gegen Art. 6 Abs. 4 DSGVO, so kann diese Rechtsverletzung mit der schweren Sanktion aus Art. 83 Abs. 5 lit. d DSGVO geahndet werden (20 Mio. EUR Bußgeld oder 4 % des Jahresumsatzes des Unternehmens).319

184

Jede betroffene Person kann neben ihren sonstigen Rechten aus der DSGVO wie dem auf Löschung gem. Art. 17 Abs. 1 lit. d DSGVO auch einen Schadensersatz gegenüber dem Verantwortlichen und ggf. dem Auftragsverarbeiter geltend machen, wenn ihr aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstand (Art. 82 Abs. 1 DSGVO).

185

Ein subjektives Recht auf gerichtlichen Rechtsschutz steht der betroffenen Person bei einer Verletzung ihrer Rechte aus der DSGVO (und dem BDSG) durch unerlaubte Datenverarbeitung auch unmittelbar aus Art. 8 GRCh zu. Den Weg zu einem wirksamen gerichtlichen Rechtsbehelf weist Art. 79 Abs. 2 DSGVO, wonach vor dem zuständigen Gericht des Mitgliedstaates, in dem der Verantwortliche bzw. der Auftragsverarbeiter eine Niederlassung hat, zu klagen ist. Die Klage kann auch vor einem Gericht des Mitgliedstaates erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, wenn der Verantwortliche bzw. der Auftragsverarbeiter nicht eine Behörde ist, die in Ausübung ihrer hoheitlichen Befugnisse handelte (Satz 2).

186

Aus der Perspektive der Wettbewerber stellt ein Verstoß gegen die Marktverhaltensregel des Art. 6 DSGVO einen (unlauteren) Rechtsbruch dar (§ 3a UWG), der einen Unterlassungsanspruch begründen kann. Unter den Voraussetzungen des § 2 Abs. 2 Nr. 11 UKlaG kann von einer qualifizierten Einrichtung eine Unterlassung im Wege der Verbandsklage (Art. 80 DSGVO) erhoben werden.

1 Siehe zur „Zur Dogmatik der Datenverarbeitung als Grundrechtseingriff“ mit Erläuterung der für den Datenschutz verfassungsrechtlichen Relevanz von Artt. 7 und 8 GrCh und des für die verfassungsrechtliche Bewertung des BDSG und anderer nationaler Datenschutzvorschriften noch relevanten Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (Recht auf informationelle Selbstbestimmung) Roßnagel, NJW 2019, 1. 2 Die Verwendung des Terminus „legitim“ sowohl in Art. 8 Abs. 2 Satz 1 GRCh („auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet“) als auch in Art. 5 Abs. 1 lit. b DSGVO weist darauf hin, dass die Rechtsgrundlage selbst verfassungsgemäß sein muss. Die Datenverarbeitung bedarf nicht nur eines Erlaubnistatbestands, sondern es ist zu gewährleisten, dass der Zweck nicht von der Rechtsordnung missbilligt wird; siehe dazu Specht, GRUR Int. 2017, 1040, 1042, m.w.N., sowie pointiert Rost, vorgänge 221/222 (2018), 79, 84f. 3 Zu den hier angesprochenen Regelungen zählen nicht nur Gesetze im formellen Sinn, sondern aufgrund von Art. 88 DSGVO auch weiterhin Betriebsvereinbarungen, siehe jetzt Korinth, ArbRB 2018, 47; Wurzberger, ZD 2017, 258. 4 Siehe aber Sydow, in: Sydow, EU-Datenschutzgrundverordnung, Einl. Rn. 71; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 9; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 1 (abschließende und erschöpfende Aufzählung). 5 So eine Mitteilung des BMI, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html. 6 BGH, Urt. v. 7.7.2020 – VI ZR 246/19, K&R 2020, 830, bestätigt vom BGH, Urt. v. 29.9.2020 –VI ZR 449/19, AfP 2020, 488. 7 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) v. 30.6.2017, BGBl. I, S. 2097. 8 Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) v. 20.11.2019, BGBl. I, S. 1626. 9 Vgl. Schaar, vorgänge 221/222 (2018), 31, 37 („datenschutzrechtlichen Flickenteppich“); Roßnagel, vorgänge 221/222 (2018), 17, 22f. (Ziel, einen soliden, kohärenten, einheitlichen Rechtsrahmen für den Datenschutz in allen Mitgliedstaaten der Union zu bilden, wurde verfehlt); Laue, ZD 2016, 463. Gegen den Vorwurf „Flickenteppich“ wendet sich Greve, NVwZ 2017, 737. 10 Siehe etwa Peifer, PinG 2016, 222, 223. 11 Deshalb bevorzugt Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, § 4 BDSG a.F. Rn. 1, den Begriff „Verbotsgrundsatz“. 12 Masing, NJW 2012, 2305, 2306. 13 Kritisch zur Herausnahme aus dem Anwendungsbereich Gola/Lepperhoff, ZD 2016, 9, 12. 14 BVerfG, Urt. v. 22.2.2011 – 1 BvR 699/06, NJW 2011, 1201, Rn. 59 = BVerfGE 128, 226, 248f. 15 Dagegen vehement Veil, NVwZ 2018, 686, 695, der meint, dass „das Verbot mit Erlaubnisvorbehalt im privaten Bereich zu einem Rechtfertigungszwang grundrechtlich geschützten Verhaltens“ führe: „Kollateralschäden sind alle anderen Grundrechte. Das Datenschutzrecht folgt einer Abschottungslogik, die einseitig zulasten von Meinungs-, Presse-, Informations-, Kunst- und Wissenschaftsfreiheit sowie unternehmerischer Freiheit geht.“ Ähnlich auch Bull, Netzpolitik, S. 136. 16 Für die Beibehaltung bzw. Stärkung des Verbotsprinzips Buchner/Schwichtenberg, GuP 2016, 218, 219; Albrecht, CR 2016, 88, 91; Spindler, DB 2016, 937, 939; Karg, DuD 2013, 75; Weichert, DuD 2013, 246; Buchner, DuD 2016, 155, 157f.; Hornung, ZD 2012, 99; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 1; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 14; Spindler, Persönlichkeitsschutz im Internet, Gutachten F zum 69. DJT, S. 102. Vgl. auch Brühann, in: Grabitz/Hilf/Nettesheim, EU-Recht, Art. 7 DSRl Rn. 6. 17 Ebenso die Kommentierung hier von Mester, Art. 9 Rn. 2; Schulz, in: Gola, DS-GVO, Art. 9 Rn. 1; Schiff, in: Ehmann/Selmayr, DS-GVO, Art. 9 Rn. 9; Kampert, in: Sydow, EU-Datenschutzgrundverordnung, Art. 9 Rn. 63; a.A. Weichert, in: Kühling/Buchner, DSGVO, Art. 9 Rn. 4; Robrahn/Bremert, ZD 2018, 291, 295. 18 Den Grundsatz des Verbots mit Erlaubnisvorbehalt trotz der eindeutigen grundrechtlichen Vorgabe aus Art. 8 Abs. 2 Satz 1 GRCh ablehnend Veil, NVwZ 2018, 686, 688f.; Bull, Netzpolitik, 2013, S. 136; Nettesheim/Diggelmann, VVDStRL 2011, 7; Härting, in: Taeger, IT und Internet, S. 687; Härting/Schneider, ZRP 2011, 233; Härting, AnwBl 2012, 716; Härting, BB 2012, 459; Härting, in: Leible/Kutschke, Schutz der Persönlichkeit im Internet, 2013, S. 55; Härting/Schneider, CR 2015, 819, 822; Schneider, ITRB 2011, 243; Schneider, AnwBl 2011, 233; Schneider, ITRB 2012, 180; Schneider/Härting, CR 2014, 306, 308; Peifer, K&R 2011, 543; Giesen, PinG 2013, 62; Giesen, NVwZ 2019, 1711, 1714 („Totalitäre Tendenz; Gefahr „totalitärer Phanasien“). Kritisch hinsichtlich dieses Schutzkonzepts im nicht-öffentlichen Bereich, das „rechtspolitisch, aber auch rechtsstaatlich bedenklich“ sei, Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 42, unter Hinweis auf Stentzel, PinG 2016, 45, und Bull, Sinn und Unsinn des Datenschutzes, S. 13. 19 Gegen die Verwendung der Begriffe wendet sich Widerspruch in der Sache: Roßnagel, NJW 2019, 1. Auch in der ePrivacy-Verordnung soll nach dem vorliegenden Entwurf des Art. 5 Satz 2 ePrivacyVO-E ein Verbot der Verarbeitung elektronischer Kommunikationsdaten mit Erlaubnisvorbehalt eingeführt werden. Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) v. 29.1.2021, Rats-Dok. 5642/21. 20 Die Verwendung des Terminus „legitim“ sowohl in Art. 8 Abs. 2 Satz 1 GRCh („auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet“) als auch in Art. 5 Abs. 1 lit. b DSGVO weist darauf hin, dass die Rechtsgrundlage selbst verfassungsgemäß sein muss. Die Datenverarbeitung bedarf nicht nur eines Erlaubnistatbestands, sondern es ist zu gewährleisten, dass der Zweck nicht von der Rechtsordnung missbilligt wird; siehe dazu Specht, GRUR Int. 2017, 1040, 1042, m.w.N., sowie pointiert Rost, vorgänge 221/222 (2018), 79, 84f. 21 Siehe auch Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 1; Sydow, in: Sydow, EU-Datenschutzgrundverordnung, Einl. Rn 71; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 2: Im Bereich der öffentlichen Hand „verlangen Prinzipien wie der Gesetzesvorbehalt und der Bestimmtheitsgrundsatz, dass jeder Eingriff in die Freiheit eines Einzelnen auf ein“ formelles Gesetz rückführbar sein muss. Das Verbotsprinzip „ist Ausdruck dieser einer demokratischen Gesellschaft immanent zugrundeliegenden Dogmatik“. 22 Siehe dazu schon Veil, ZD 2015, 347; Bieker, DuD 2018, 27; Rost, vorgänge 221/222 (2018), 79. Vgl. auch WP 248 der Art.-29-Datenschutzgruppe und das Kurzpapier Nr. 18 der Datenschutzkonferenz (DSK) „Risiko für die Rechte und Freiheiten natürlicher Personen“, das eine Definition von Risiko geben und eine Methode zur Bestimmung von Risiken für die Rechte und Freiheiten natürlicher Personen und Bewertung der Rechtsfolgen aus dem Risiko aufzeigen will, https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf. 23 Vgl. dazu ausführlich Schulz, in: Gola, DS-GVO, Art. 6 Rn. 3. 24 Vorgänge 221/222 (2018), 17, 24. 25 Deshalb ist der pointierten Kritik von Schulz, in: Gola, DS-GVO, Art. 6 Rn. 6, zuzustimmen. 26 Zu den Änderungen gegenüber Art. 7 DSRl und der Entstehungsgeschichte mit einem Vergleich der Entwurfsfassungen Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 3ff. 27 Siehe auch Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 1. 28 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 15, meint allerdings, dass für den staatlichen Bereich bei Vorliegen einer Einwilligung schon der Schutzbereich des Art. 8 GRCh nicht gegeben sei. 29 BVerfG, Urt. v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 433 = NJW 2008, 1505 m.w.N. (automatisierte Kennzeichenerfassung). 30 EuGH, Urt. v. 29.7.2019 – C-40/17, K&R 2019, 562. 31 Siehe auch Schwartmann/Jacquemain, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 6 Rn. 8; Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 5; Remmertz, GRUR-Prax 2018, 254; Veil, NVwZ 2018, 686. Es gibt kein „Primat der Einwilligung“ (siehe aber Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, 72). 32 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 8. 33 Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 15. 34 Vgl. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 8. 35 So Kollmar/El-Auwad, Grenzen der Einwilligung bei hochkomplexen und technisierten Datenverarbeitungen, in: Taeger, Den Wandel begleiten, S. 199, 202f., 206. Siehe auch die Datenethikkommission, Gutachten vom 23.10.2019, S. 96: Der Einzelne ist systematisch überfordert, https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachtendatenethikkommission.html. 36 Ebenso Drewes, CR 2016, 721, 723. Die zentrale Rolle der Einwilligung als Ausdruck des Selbstbestimmungsrechts betont Tinnefeld, vorgänge 221/222 (2018), 41. 37 Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 6; Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 22; Bunnenberg, JZ 2020, 1088, 1092; Dallmann/Busse, ZD 2019, 394, 399. 38 Siehe auch Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 17. 39 BVerfG, Urt. v. 23.12.1983 – 1 BvR 209/83, BVerfGE 65, 1 = NJW 1984, 419. 40 BVerfG, Urt. v. 23.12.1983 – 1 BvR 209/83, BVerfGE 65, 1, 43. 41 Gutachten der Datenethikkommission, 2019, https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6, S. 96. 42 Bisweilen wird übersehen, dass eine Einwilligung bzw. Zustimmung bei der Verarbeitung von Kindern bis zum 16. Lebensjahr nicht generell nach Art. 8 DSGVO zu geben ist, sondern nur dann, wenn sie von einem Dienst der Informationsgesellschaft für die Verarbeitung der für die Vertragserfüllung nicht erforderlichen Daten verlangt wird. Diese Prüfung fehlt etwa bei Götz/Götz, FamRZ 2020, 1250, 1251. 43 Siehe auch Nelles, ITRB 2021, 60. 44 Mit der Frage befasst sich Janicki, Die Einwilligungsfähigkeit zwischen Digitalisierung und demographischem Wandel, in: Taeger, Die Macht der Daten und der Algorithmen, S. 313. Siehe auch Tinnefeld/Conrad, ZD 2018, 391, 393. 45 Ausführlich zu den Bedingungen der Freiwilligkeit Haase, InTeR 2019, 113. 46 Siehe dazu Ruschemeier, ZD 2020, 618, 620; Müller, MMR 2020, 355, 357f. 47 Kühling/Schildbach, NJW 2020, 1545, 1549. 48 Kühling/Schildbach, NJW 2020, 1545, 1549. 49 SächsCoronaSchVO v. 29.3.2021 i.d. konsolidierten Fassung v. 16.4.2021, https://www.coronavirus.sachsen.de/download/SMS-Saechsische-Corona-Schutz-Verordnung-2021-06-10.pdf. Vgl. auch § 5 Abs. 1 Satz 7a Nds. Corona-Verordnung v. 30.5.2021 (Nds. GVBl. S. 297) in der aktuellen Fassung. 50 Ausführlich zur Funktionsweise und zur datenschutzrechtlichen Bewertung Brink, DSB 2021, 138; Weichert, CuA 2021, Nr. 6, S. 27; taz v. 28.4.2021, Haufenweise Sicherheitslücken, Interview m. M. Engeler. 51 Vgl. Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 8; Kühling/Martini, EuZW 2016, 448, 451; Peifer, PinG 2016, 220, 226. Siehe zum verfassungsrechtlichen Datenschutz auch Masing, NJW 2012, 2305, 2306f. 52 St. Rspr., siehe nur OLG München, Urt. v. 6.6.2019 – 29 U 3786/18, Rn. 46, juris. 53 Vgl. auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 48. 54 Aufgrund der Systematik soll aber doch auch eine Einwilligung in eine hoheitliche Datenverarbeitung möglich sein, sofern im Subordinationsverhältnis gegenüber der staatlichen Instituion im Einzelfall – insbesondere bei einem alternativen Angebot ohne Datenverarbeitung – von einer Freiwilligkeit ausgegangen werden könne, zumal die DSGVO selbst nur die Anwendung des Buchst. f durch hoheitliche Stellen, nicht aber Buchst. a ausgeschlossen haben („einwilligungsfreundlicher Ansatz“); so trotz bestehender Bedenken im Kontext von Online-Prüfungen Albrecht/Mc Grath/Uphues, ZD 2021, 80, 82ff.; Dieterich, NVwZ 2021, 511; Indenhuck/Britz/Wettlaufer, Proctoring durch KI, in: Taeger, Im Fokus der Rechtsentwicklung – Die Digitalisierung der Welt, S. 499. 55 Gutachten der Datenethikkommission, 2019, S. 97, https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf?__blob=publicationFile&v=6. 56 Definition aus Mitteilung der Kommission an das EU-Parlament und den Rat v. 13.11.2020 „Neue Verbraucheragenda – Stärkung der Resilienz der Verbraucher/innen für eine nachhaltige Erholung“, COM/2020/696 final, S. 12. 57 Zu Dark Patterns ausführlich Weinzierl, NVwZ-Extra, 1/2020, 1; Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47; Rauer/Ettig, ZD 2021, 18; Bogenstahl, Dark Patterns – Mechanismen (be)trügerischen Internetdesigns, 2019, https://www.tab-beim-bundestag.de/de/pdf/publikationen/themenprofile/Themenkurzprofil-030.pdf. 58 Veil, NJW 2018, 3337, 3344. 59 Kritisch zur Einwilligungslösung bei hochkomplexen und technisierten Datenverarbeitungen, bei denen sich „die Betroffenen der Tragweite ihrer Entscheidungen und der Auswirkungen, die diese auch auf ihr Persönlichkeitsrecht haben, nicht mehr bewusst“ sind, Kollmar/El-Auwad, Grenzen der Einwilligung bei hochkomplexen und technisierten Datenverarbeitungen, in: Taeger, Den Wandel begleiten, S. 199. 60 Kollmar/El-Auwad, ebenda, S. 199, 211. Siehe auch Golland, NJW 2021, 2238, 2241, und das Gutachten der Datenethikkommission, 2019, S. 133, https://www.bml.bund.de/SharedDorcs/downloads/DE/publikationen/themen/it-digitalpoltik/gutachten-datenethikkommission.pdf?blob=publicationFile&v=6. 61 EuGH, Urt. v. 1.10.2019 – C-673/17, K&R 2019, 705 m. Anm. Spittka, DSB 2019, 2850; Kremer/Schneider, ITRB 2019, 287. Siehe zur Entscheidung neben vielen Engeler/Marosi, CR 2019, 707; Koglin, DSB 2019, 255; Moos/Strassemeyer, DSB 2020, 207. 62 BGH, Urt. v. 28.5.2020 – I ZR 7/16, K&R 2020, 611. Siehe auch LG Rostock, Urt. v. 15.9.2020 – 3 O 762/19, K&R 2021, 210. Zu Dark Pattern bei der Gestaltung von Consent Layern auch Herting, DSB 2021, 53; Becker, CR 2021, 87. Ein weiteres Beispiel für Dark Patterns aus dem Telemedien-/Fernabsatzrecht nennen Halder/Vilenskaya, jurisPR-ITR 13/2020 Anm. 6, in ihrer Kritik am BGH-Urt. v. 19.12.2019 – I ZR 163/16, K&R 2020, 436, und Herbrich, jurisPR-ITR 23/2020 Anm. 5. 63 Zur schwierigen Bestimmung des Begriffs „unbedingt erforderlich“ für Cookies, die auch ohne Einwilligung zulässig sind, Piltz/Kühner, ZD 2021, 123. 64 Siehe die „Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer (11/2020)“ der Nds. LfD, https://lfd.niedersachsen.de/download/161158. 65 Siehe Kommentierung zu § 25 TTDSG Rn. 19ff. Dazu auch schon Rauer/Ettig, ZD 2021, 18. 66 So etwa Ruschemeier, ZD 2020, 618, 618f.; Uecker, ZD 2019, 248, 249; Krusche, ZD 2020, 232; Tinnefeld/Conrad, ZD 2018, 391, 392. 67 Siehe etwa Scholz/Sokol, in: Simitis, BDSG, § 4 Rn. 7. 68 Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 23. 69 Im Ergebnis ebenso Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 7; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 23; a.A. Schneider, CR 2017, 568. 70 Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 4 Rn. 43; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 23; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 7 Rn. 45. Dass eine Verarbeitung auf mehrere Erlaubnistatbestände gestützt werden kann, bestätigt der EuGH, Urt. v. 29.7.2019 – C-40/17, K&R 2019, 562 – Fashion-ID. 71 Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 6 Rn. 89. 72 So auch Schwartmann/Jacquemain, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 6 Rn. 7. 73 Schmidl, DuD 2007, 756. 74 Der Empfehlung von Schwartmann/Jacquemain, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 6 Rn. 8, aus „Vorsorgegründen ... die Datenverarbeitung auch durch eine Einwilligung abzusichern“, sollte deshalb nicht gefolgt werden. 75 So sollten Veranstalter vermeiden, in einem Anmeldeformular zu einer Veranstaltung darauf hinzuweisen, dass mit der Anmeldung anerkannt wird, dass bei der Veranstaltung Fotoaufnahmen gemacht werden, die zur Berichterstattung über die Veranstaltung und zu Werbemaßnahmen auf der Webseite des Veranstalters oder in Drucksachen verbreitet werden. Der Veranstalter kann sich bei der Veröffentlichung von Fotos mit erkennbaren Teilnehmern im Publikum durchaus auf Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO berufen und auf § 23 KUG verweisen (siehe aber die eingeschränkte Anwendbarkeit, oben Rn. 2, und Art. 7 Rn. 43), der durch die DSGVO keineswegs verdrängt wird. Allerdings muss bei dieser gesetzlichen Erlaubnis auch mit einem Widerspruch eines Teilnehmers nach Art. 21 Abs. 1 DSGVO gerechnet werden. 76 Storm, DWW 2018, 204, 207; Eisenschmid, NZM 2019, 313, 314, 321, 323; Beckers, ZWE 2019, 297, 300. 77 Diesen Weg präferiert das Bayerische Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/faq.html (Wohnungswirtschaft). Siehe dazu den 10. Tb des Bayer. Landesamts für Datenschutzaufsicht, 2021: „Vermieter dürfen die Telefonnummer von Mietern an Handwerker weitergeben, wenn dies zum Zweck der Vereinbarung eines Termins für eine Reparatur erforderlich ist.“; „Die Datenweitergabe ist ... auch ohne Einwilligung des Mieters aufgrund von Art. 6 Abs. 1 Buchst. f DS-GVO zulässig.“; „Schutzwürdige Interessen des Mieters stehen jedenfalls im Regelfall der Weitergabe nicht entgegen.“ Dem widerspricht die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die eine Einwilligung des Mieters verlangt; siehe das Zitat bei https://t1p.de/gjqh. 78 Schulz, in: Gola, DS-GVO, Art. 6 Rn. 25. 79 N. Schneider, Geltungsdauer einer Einwilligung in die Werbeansprache, in: Taeger, Rechtsfragen digitaler Transformationen, 2018, S. 221, 230; Rolfs, in: FS Taeger, S. 373, der zwischen einem „absoluten“ und einem „relativen Verfallsdatum“ unterscheidet. Siehe zur unbefristeten Wirkung Schulz, in: Gola, DS-GVO, Art. 7 Rn. 58; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 34; Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 85; Gierschmann, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 7 Rn. 138. Weitere Nachweise bei Art. 7 Fn. 76. 80 LG Frankfurt/M., Urt. v. 29.8.2019 – 2-03 O 454/18, AfP 2019, 548 m. Anm. Weller, jurisPR-ITR 20/2019 Anm. 3. 81 Das KUG ist allerdings nach Entscheidungen des BGH nach Wirksamwerden der DSGVO nur noch für Fotoaufnahmen für journalistische Zwecke anwendbar (BGH, Urt. v. 7.7.2020 – VI ZR 246/19, K&R 2020, 830, bestätigt vom BGH, Urt. 29.9.2020 – VI ZR 449/19, AfP 2020, 488; anders Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 85 Rn. 32. 82 OLG Frankfurt, Urt. v. 7.5.2020 – 16 U 220/19, juris. 83 DSK Kurzpapier Nr. 20, Einwilligung nach der DS-GVO (22.2.2019), S. 3; EDSA, Guidelines 05/2020 on consent under Regulation 2016/679 (4.5.2020), Rn. 63. 84 EDSA, Guidelines 05/2020 on consent under Regulation 2016/679 (4.5.2020) Rn. 166. 85 Berliner BfDI, Jahresbericht 2018, 6.3. 86 Vgl. auch Piltz/Zwerschke, DSB 2020, 148, 149. Siehe Art. 7 Rn. 48, 90. 87 A. A. Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 12. 88 Frenzel, in: Paal/Pauly, DS-GVO, Art. 6 Rn. 29; Albers/Veit, in: Wolff/Brink, BeckOK DatenschutzR, Art. 6 Rn. 50; Herdes, Daten im Konzern: Datenschutz im B2C Bereich, in: Taeger, Rechtsfragen digitaler Transformationen, S. 209, 213. 89 Siehe pointiert auch Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO, Art. 6 Rn. 10. 90 Vgl. Voigt/Herrmann/Danz, NJW 2020, 2991. 91 Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 10. 92 https://www.datenschutzkonferenz-online.de/media/pr/20181107_pr_muenster.pdf, S. 9; Protokoll der 96. DSK v. 14-1-2019. 93 Engeler, ZD 2018, 55, 56. Siehe auch v. Westphalen/Wendehorst, BB 2016, 2179, 2185. 94 Leitlinien des EDSAv. 8.10.2019, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects (Version 2.0). Für eine restriktive Auslegung auch Heinzke/Engel, ZD 2020, 189, 191. Ausführlich zur Prüfmethode zur Bestimmung der „Erforderlichkeit“ nach den Leitlinien des EDSA Bock, CR 2020, 173. 95 Bock, CR 2020, 173. 96 Siehe § 312 Abs. 1a BGB. Die Vorschrift sowie die im Folgenden behandelten §§ 327ff. BGB wurden durch Art. 1 des Gesetzes zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen v. 25.6.2021 (BGBl. I, S. 2123) in das BGB eingefügt und treten am 1.1.2022 in Kraft. Damit erfolgte die Umsetzung der Richtlinie (EU) 2019/770 v. 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl. L 136 v. 22.5.2019, S. 1. Siehe jetzt § 312 Abs. 1a Satz 2 BGB. Dazu auch v. Westphalen, ZIP 2020, 437; Riechert, PinG 2019, 234; Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit, in: Briner/Funk, DGRI Jahrbuch 2017, S. 35; Specht, JZ 2017, 763; Dix, ZEuP 2017, 1; v. Westphalen/Wendehorst, BB 2016, 2179; Langhanke, Daten als Gegenleistung, S. 97ff. 97 Siehe zu den „erpressten Einwilligungen“ als Gegenleistung „unterhalb der Vertragsschwelle“ Becker, CR 2021, 230. 98 So auch Bunnenberg, JZ 2020, 1088, 1095. 99 Engeler, ZD 2018, 55, 57. 100 Näher dazu Taeger/Kremer, Recht im E-Commerce und Internet, 2. Aufl. 2021, S. 340, Rn. 42f. 101 Nach § 312 Abs. 1a Satz 2 BGB wären das die vom Verbraucher bereitgestellten personenbezogenen Daten, die der Unternehmer ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet. 102 Siehe die §§ 312 Abs. 1a, 327ff. BGB. 103 Dazu v. Westphalen/Wendehorst, ZIP 2019, 1937. 104 Näher dazu Bock, CR 2020, 173, 174f. Vgl. auch v. Westphalen/Wendehorst, ZIP 2019, 1937, 1941f. 105 Siehe dazu nur Hacker, Datenprivatrecht, m.w.N. zum Meinungsstand, S. 196ff. 106 Ebenso Schaffland/Hothaus, in: Schaffland/Wiltfang, DS-GVO, Art. 6 Rn. 113. 107 Siehe auch Schulz, in: Gola, DS-GVO, Art. 6 Rn. 27; Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 9. 108 A. A. Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 13, der für diese Fälle auf die Erlaubnis durch Art. 1 Abs. 1 UAbs. 1 lit. f DSGVO verweist. 109 Ausführlich zur Erlaubnis der Verarbeitung von Drittdaten als Daten von Personen, die nicht Vertragspartei sind, Britz/Indenbruck, Die Daten der Dritten, in: Taeger, Rechtsfragen digitaler, Transformationen, S. 233. 110 Siehe allgemein zu Weitergabe von Kreditnehmerdaten bei Forderungskauf und Inkasso Abel/Djagani, ZD 2017, 114. Zu den Anforderungen an die Übermittlung von Daten bei Forderungsausfällen an eine Auskunftei und zur Nutzung von Scorewerten Krämer, NJW 2018, 347, und Krämer, NJW 2020, 497. Zu einem quasi-negatorischen Unterlassungsanspruch bei Ankündigung einer Übermittlung von Schuldnerdaten an eine Auskunftei, obwohl die Übermittlungsvoraussetzungen (noch) nicht vorliegen, AG Westerstede, Beschl. v. 30.12.2019 – 27 C 660/19, ZD 2020, 315 m. Anm. B. Schmidt. 111 Vgl. Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 37. 112 Lehmann/Wancke, WM 2019, 613, 618. 113 Die englischen Fassungen von Art. 7 lit. c DSRl und Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO sind identisch; die Übersetzungen in die deutsche Sprache unterscheiden sich nur marginal und führen zu keiner anderen Bedeutung. 114 Siehe auch Schulz, in: Gola, DS-GVO, Art. 6 Rn. 40. 115 Peifer, PinG 2016, 222, 224. 116 Zu den verfassungsrechtlichen Anforderungen an die Rechtsvorschriften, aus denen sich eine Verpflichtung ergeben kann, Sokol, in: Simitis, BDSG, § 4 Rn. 14. 117 Siehe nur die scheinbar so fern liegende Vorschrift aus §§ 3 und 4 der Verordnung über die Registrierung von Erlaubnissen zur Zurschaustellung von Tieren an wechselnden Orten (Zirkusregisterverordnung – ZirkRegV) mit der Verordnungsermächtigung in § 16 Abs. 6 Satz 1 TierSchG. 118 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 16 (Verpflichtung kraft objektiven Rechts); Schulz, in: Gola, DS-GVO, Art. 6 Rn. 41 (Rechtspflicht kraft objektiven Rechts); Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 15; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 53; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 77; Albers, in: Wolff/Brink, BeckOK DatenschutzR, Art. 6 Rn. 34. 119 Dazu Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 93 („hoheitlich veranlasste Eingriffe in das Datenschutzrecht der Bürger zur Erfüllung öffentlicher Interessen“). 120 Beispiele für Rechtspflichten finden sich bei Schulz, in: Gola, DS-GVO, Art. 6 Rn. 42. 121 Vgl. etwa Uebersalz, Regulierung der Hochschulförderung durch Private zur Korruptionsprävention, 2017. 122 Dazu Behling, NZA 2015, 1359; Elking, AuA 2016, 604. Aus der VO (EG) Nr. 2580/2001 ergibt sich allerdings keine Pflicht zur Datenverarbeitung, sondern nur das Verbot, auf der Anti-Terrorliste stehenden Personen Vermögenswerte zukommen zu lassen. Die Nichtvornahme eines Datenabgleichs würde dazu führen, dass die Erteilung einer AEO-Zertifizierung versagt würde. 123 Vgl. Art. 6 Abs. 1 UAbs. 1 lit c DSGVO i.V.m. §§ 67ff. AktG. Siehe dazu Zetzsche, AG 2019, 233. 124 Weitere Beispiele finden sich bei Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 92; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 17; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 96ff. 125 Durchführungsverordnung (EU) 2021/392 der Kommission v. 4.3.2021 über die Überwachung und Meldung von Daten zu den CO2-Emissionen von Personenkraftwagen und leichten Nutzfahrzeugen, ABl. EU L 77/8 v. 5.3.2021. 126 Zu datenschutzrechtlichen Bedenken Glatschke/Mann/Reibach/Ukena, in: Taeger, Im Fokus der Rechtsentwicklung, 2021, S. 43. 127 Eingeführt durch das Zweite Finanzmarktnovellierungsgesetz – 2. FiMaNoG (BGBl. I 2017, S. 1693) in Umsetzung der Richtlinie 2014/65/EU (MiFID II) v. 15.5.2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinie 2002/02/EG und 2011/61/EU (ABl. EU Nr. L 173 v. 12.6.2014, S. 349). Siehe dazu auch die Art. 72ff. ergänzende Delegierte Verordnung EU 2017/565 der Kommission v. 25.4.2016 mit Regulierung der Aufzeichnungspflicht und § 9 Abs. 2 WpDVerOV (BGBl. I 2017) mit Konkretisierung der Verhaltensregeln. 128 Siehe dazu ausführlich Buck-Heeb, in: FS Taeger, S. 111. Zum Thema auch Heinson, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 14 Rn. 65ff. 129 Art. 16 Abs. 7 UAbs. 1 MiFID II. 130 ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA35-43-349, Stand: 4.12.2019, Abschnitt 3, Question 8. 131 Heinson, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 14 Rn. 82. 132 Buck-Heeb, in: FS Taeger, S. 111, 126. 133 Buck-Heeb, in: FS Taeger, S. 111, 126. 134 Buck-Heeb, in: FS Taeger, S. 111, 127. 135 Dazu Piltz, in: FS Taeger, S. 351. 136 VGH Mannheim, Beschl. v. 15.2.2019 – 1 S 188/19, DÖV 2019, 456, Rn. 20. 137 Piltz, in: FS Taeger, S. 351, 355. Anders wohl Buchner, Anm. zu AG Bochum, Beschl. v. 11.3.2019 – 65 C 485/18, FamRZ 2019, 1183, der meint, dass der Erlaubnistatbestand des Buchstaben c „eng auszulegen und nur dann einschlägig (sei), wenn eine gesetzlich vorgesehene Verpflichtung unmittelbar zu einer bestimmten Datenverarbeitung verpflichtet“. Siehe auch die Entscheidung des LSG Hessen, Beschl. v. 29.1.2020 – L 4 SO 154/19 B, BeckRS 2020, 1442, zu § 20 SGB X (Amtsermittlung) i.V.m. § 67a Abs. 1, 2 SGB X, wonach erforderlichen Daten zur Prüfung der Hilfebedürftigkeit bei Bedürftigen zu erheben sind. 138 Ausführlich begründet von Piltz, in: FS Taeger, S. 351, 355. 139 AG Altötting, Beschl. v. 4.6.2018 – XVII 0266/05, ZD 2018, 539. 140 Dazu Steinrötter, ZD 2020, 336. 141 Das erhellt ErwG 45. Siehe auch Schantz/Wolff, Das neue Datenschutzrecht, Rn. 593. 142 So aber Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Rn. 45, 48. 143 Roßnagel, DuD 2017, 290, 292. 144 Vgl. auch Wybitul/Sörup/Pötters, ZD 2015, 559, 560; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 41. A. A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 24; Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 52. 145 A.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 24 („ist wohl nicht gemeint“). 146 So aber Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Rn. 35. 147 Das übersieht auch Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 52. 148 Zur Erforderlichkeit nach § 26 BDSG Piltz, BDSG, § 26 Rn. 53ff.; siehe auch Rn. 48ff. 149 Ausführlich zu der Frage, welche Regelungen über eine Datenverarbeitung von Beschäftigtendaten in einer Betriebsvereinbarung nicht getroffen werden dürften Taeger, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4 Rn. 37ff. 150 So auch Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 82. 151 Enger wohl Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 76. 152 Siehe auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 101. 153 Dazu auch Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 17. 154 Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 17. 155 Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 99. 156 So auch die Einschätzung von Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 102. Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 107, sprechen von einem „Ausnahmecharakter“ dieses Erlaubnistatbestands. 157 Schulz, in: Gola, DS-GVO, Art. 6 Rn. 46: „kein eigenständiger Erlaubnistatbestand“; Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 106f.: „Einstiegsnorm für Datenverarbeitung der öffentlichen Hand“; Kühling/Klar/Sackmann, Datenschutzrecht, S. 166 (Rn. 392). 158 Siehe auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 106. 159 Kühling/Klar/Sackmann, Datenschutzrecht, S. 165 (Rn. 391); Albers/Veit, in: Wolff/Brink, BeckOK DatenschR, Art. 6 Rn. 44; siehe auch EuGH, Urt. v. 16.12.2008 – C-524/06, NVwZ 2009, 379, Rn. 52 – Huber. 160 Siehe dazu Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 112; Albers/Veit, in: Wolff/Brink, BeckOK DatenschR, Art. 6 Rn. 44. 161 So ist im Bereich der öffentlichen Sicherheit die DSGVO gem. Art. 2 Abs. 2 lit. d DSGVO nicht anzuwenden. Zu beachten ist für den Bereich der Justiz und des Strafvollzugs die RL 680/2016. 162 Siehe die Beispiele bei Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 17. 163 Taeger, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4 Rn. 18ff. 164 Siehe auch § 3 BDSG Rn. 5. 165 Dazu mehr bei § 3 BDSG Rn. 14. 166 Kühling/Klar/Sackmann, Datenschutzrecht, S. 166 (generalklauselartige Regelung; Generalklausel). 167 Unter „legitim“ kann nicht einfach „rechtmäßig“ verstanden werden, schon weil die Anforderung der Rechtmäßigkeit bereits aus Art. 5 Abs. 1 lit. a DSGVO folgt. Mit der Art.-29-Datenschutzgruppe ist unter „legitimer“ Datenverarbeitung eine solche zu verstehen, die mit der Rechtsordnung insgesamt – einschließlich der Verfassungsgrundsätze – in Einklang steht, Art.-29-Datenschutzgruppe, WP 203 v. 2.4.2013, S. 19f.; siehe auch Monreal, ZD 2016, 507, 509. 168 Art. 8 Abs. 2 GRCh: „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.“ 169 Näher dazu Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 119. 170 HmbOVG, Beschl. v. 1.12.2020 – 4 Bs 84/20, VRS 139, 251. 171 Ausführlich dazu Indenhuck/Britz/Wettlaufer, Proctoring durch KI, in: Taeger, Im Fokus der Rechtsentwicklung – Die Digitalisierung der Welt, S. 499. Siehe auch Dieterich, NVwZ 2021, 511, 519. 172 OVG Schleswig-Holstein, Beschl. v. 3.3.2021 – 3 MR 7/21, Rn. 59 (juris). 173 Siehe Albrecht/Mc Grath/Uphues, ZD 2021, 80, 80ff. 174 So ebenfalls Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 115. 175 Nach Schaller, in: Roßnagel, Europäische Datenschutz-Grundverordnung, S. 216, 219 (Rn. 11) und S. 223 (Rn. 25f.), sollen mit dem Merkmal des „öffentlichen Interesses“ ausschließlich „Private“ angesprochen sein, wofür es aber in der DSGVO keinen Beleg gibt und wofür auch die von Schaller in Rn. 12f. genannten Beispiele (u.a. soziale Sicherheit; Gesundheitsvorsorge; städtische Wasserversorgung) gerade nicht stehen. S. auch Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 196 (Rn. 612): Angeknüpft wird nicht an die Stelle, sondern an die Aufgabe (funktionaler Ansatz); ebenso Albers/Veit, in: Wolff/Brink, BeckOK DatenschR, Art. 6 Rn. 41. 176 Anders Kühling/Klar/Sackmann, Datenschutzrecht, S. 165 (Rn. 389), die davon ausgehen, dass lit. e nur öffentliche Stellen sowie Beliehene anspricht. 177 Siehe auch Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 197 (Rn. 615); Albers/Veit, in: Wolff/Brink, BeckOK DatenschR, Art. 6 Rn. 40; Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 110. 178 EuGH, Urt. v. 18.3.1997 – C-343/95, EuZW 1997, 312. Siehe auch Schaller, in: Roßnagel, Europäische Datenschutz-Grundverordnung, S. 216, 218. 179 So auch Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, S. 198 (Rn. 618). 180 Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 117; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 49. 181 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 24; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 20; Peifer, PinG 2016, 222, 223. 182 So zu § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. v. Lewinski, RDV 2003, 122, 125. Als „Generalklausel“ bezeichnet von Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Rn. 37, 52. Schulz, in: Gola, DS-GVO, Art. 6 Rn. 50, sieht in diesem Erlaubnistatbestand die „zentrale Abwägungsklausel der DS-GVO“. 183 So aber Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 64 m.w.N. in Fn. 70; Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Rn. 37, und Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 119 („Auffangfunktion“). Wie hier Schulz, in: Gola, DS-GVO, Art. 6 Rn. 13; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 26. 184 Kühling/Klar/Sackmann, Datenschutzrecht, 2018, S. 168. 185 So aber Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 26. 186 Siehe dazu entsprechend – noch zum alten Recht – auch Art.-29-Datenschutzgruppe, Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC v. 9.4.2014 (WP 217): „It does not necessarily mean that this option should be seen as one that can only be used sparingly to fill in gaps for rare and unforeseen situations as ‘a last resort’, or as a last chance if no other grounds apply. Nor should it be seen as a preferred option and its use unduly extended because it would be considered as less constraining than the other grounds.“ 187 Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 66: „eigenständige Erlaubnis der Datenverarbeitung, die in der Praxis der Datenverarbeitung durch Unternehmen der größte Anwendungsbereich unter den Erlaubnistatbeständen zukommt“. 188 Plath/Struck/ter Hazeborg, CR 2020, 9, 10 m.w.N.; Hansen-Oest, DSB 2020, 60; Wehmeyer, PinG 2016, 215, 216, 218; Nebel, CR 2016, 417, 418; Suwelack, Datenschutz in Unternehmenstransaktionen, in: Taeger, Den Wandel begleiten, S. 271. 189 Lüttge, NJW 2000, 2463, 2465; Schaffland, NJW 2002, 1539, 1541, die die Notwendigkeit von Einwilligungen bei einer Verschmelzung von Banken entgegen Wengert/Widmann/Wengert, NJW 2000, 1289, nicht für erforderlich halten. Siehe auch Teichmann/Kiessling, ZGR 2001, 33; Göpfert/Meyer, NZA 2011, 486, 490. 190 Plath/Struck/ter Hazeborg, CR 2020, 9, 10; Hansen-Oest, DSB 2020, 60. Bei einer Drittlandsübermittlung wäre in einer zweiten Stufe der Prüfung die Artt. 44ff. DSGVO zu beachten. 191 Differenzierend Wehmeyer, PinG 2016, 215, 216, 218, der Share und Asset Deal gleich behandeln will, wenn nicht der Datenbestand isoliert Gegenstand eines Verkaufs ist. 192 Beschl. der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.5.2019: Asset Deal – Katalog von Fallgruppen, https://www.datenschutzkonferenz-online.de/media/dskb/20190524_dskb_asset_deal.pdf. 193 Siehe Art. 8 Rn. 26 DSGVO. 194 https://www.datenschutzkonferenz-online.de/media/dskb/20190524_dskb_asset_deal.pdf. Siehe zum „alten“ Recht das Bayerische Landesamt für Datenschutz, Pressemitteilung v. 30.7.2015, https://www.lda.bayern.de/media/pm2015_10.pdf, kritisch dazu Wehmeyer, PinG 2016, 215, 216. 195 Hansen-Oest, DSB 2020, 60, 63, empfiehlt, die Information vor der Übermittlung vorzunehmen. 196 Siehe zu dieser vom BayLDA in seinem Tätigkeitsbericht 2015/2016 propagierten „pragmatischen Lösung“ Hansen-Oest, DSB 2020, 60. 197 So auch Hansen-Oest, DSB 2020, 60, 62f. 198 Näher dazu Suwelack, Datenschutz in Unternehmenstransaktionen, in: Taeger, Den Wandel begleiten, S. 271, 277. 199 Vgl. Glaser, 2.23.1 Übertragung von Kundendaten bei einem Asset Deal, in: Nägele/Apel, Beck’sche Online-Formulare IT- und Datenrecht, Rn. 3. 200 Soweit nicht Kunden-, sondern Beschäftigtendaten betroffen sind, wäre die Einwilligungslösung u.a. auch aus Gründen des Vertraulichkeitsschutzes in der Transaktionsvorbereitungsphase „unpraktikabel“, Dzida, BB 2019, 3060, 3063. 201 Ebenso Lensdorf/Bloß, in: Hölters, Handbuch Unternehmenskauf, Kap. 8 IT und Datenschutz, 8.80; Hansen-Oest, DSB 2020, 60, 61. 202 Bach, EuZW 2020, 175; Dzida, BB 2019, 3060, 3063. Zur datenschutzkonformen Gestaltung einer Due Diligence siehe Schnebbe/Trinks, Due Diligence – Datenschutzrechtlicher Praxisleitfaden. 203 Vgl. Dzida, BB 2019, 3060, 3063ff. 204 Glaser, 2.23.1 Übertragung von Kundendaten bei einem Asset Deal, in: Nägele/Apel, Beck’sche Online-Formulare IT- und Datenrecht, Rn. 3. 205 Siehe zum Abwägungsprozess auch Herdes, Daten im Konzern: Datenschutz im B2C Bereich, in: Taeger, Rechtsfragen digitaler Transformationen, S. 209, 212f.; Herfurth, ZD 2018, 514. 206 Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 85, weist darauf hin, dass § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F. die Datenverarbeitung zu Zwecken der Werbung dann privilegierte, wenn sie der Ansprache von Bestandskunden dient, zu denen der Verantwortliche bereits in einer näheren Verbindung steht. 207 Kremer, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 2 Rn. 37 (den besonderen Interessen von Kindern ist Rechnung zu tragen). So aber wohl Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 141, differenzierend unter Rn. 155. 208 Siehe zu den zu berücksichtigenden Umständen auch die Beispiele bei Herdes, Daten im Konzern: Datenschutz im B2C Bereich, in: Taeger, Rechtsfragen digitaler Transformationen, S. 209, 215f. 209 Deshalb ist das Beispiel für eine Abwägung nach Buchstabe f bei der Verarbeitung von personenbezogenen Daten von Soldaten in einer Eignungsdatei des BMVg unpassend: Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO, Art. 6 Rn. 129. 210 Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 21. 211 Anwaltsgericht Berlin, Beschl. v. 5.3.2018 – 1 AnwG 34/16, NJW 2018, 2421. Siehe dazu Lach, jurisPR-ITR 22/2018 Anm. 3. Zu den datenschutzrechtlichen Anforderungen an die Anwaltskommunikation Anton, in: Ory/Weth, jurisPK-ERV Band 1, Kapitel 5.1.1, Rn. 180ff. 212 Anders wohl Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 23. 213 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 25. 214 Siehe auch Ueberfeldt, Cyber Security – neue Wege für Analytics und Produktentwicklung?, in: Taeger, Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, 2016, S. 729. 215 Gola/Schomerus, BDSG, § 28 Rn. 24; Schaffland/Wiltfang, BDSG, § 28 Rn. 85; Simitis, in: Simitis, BDSG, § 28 Rn. 104; Taeger, BB 2007, 785, 787; Schleifenbaum, Datenschutz oder Tatenschutz in der Versicherungswirtschaft, 2009, S. 64. Die Eingrenzung, dass es sich um ein „legales“ Interesse handeln müsse, bezieht Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 54, nur auf Unionsrechtskonformität, weil es sich hier nicht um eine Öffnungsklausel handele. Dem ist nicht zuzustimmen; Maßstab ist auch die mitgliedstaatliche Rechtsordnung, die der Verantwortliche bei der Interessenverfolgung zu beachten hat. 216 Reibach, in: FS Taeger, S. 361, 363, unter Hinweis auf Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 146. 217 Ausführlich dazu Reibach, in: FS Taeger, S. 361, 364ff. 218 Brandt, Webshops unter DSGVO und ePrivacy-VO, in: Taeger, Rechtsfragen digitaler Transformationen, S. 1, 7; von Maltzan/Moshashai, Incident Response zur Lagebilderstellung, ebenda, S. 145, 150f. 219 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 28; Wolff, in: Schantz/Wolff, Das neue Datenschutzecht, Rn. 665. Siehe auch die Orientierungshilfe der Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK), https://www.lda.bayern.de/media/dsk_kpnr_3_werbung.pdf und das WP 217 der Art.-29-Datenschutzgruppe vom April 2014. 220 Dazu Remmertz, GRUR-Prax 2018, 254; Möhrke-Sobolewski/Klas, ITRB 2016, 182, 185. 221 v. Lewinski, RDV 2003, 122, 125. 222 Weichert, DuD 2001, 264, 266; Taeger, BB 2007, 785, 787. 223 Mackenthun, WM 2004, 1713, 1715. 224 v. Olenhusen/Crone, WRP 2002, 164. Siehe auch die zahlreichen weiteren Beispiele bei Taeger, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 28 Rn. 69ff.; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 28; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 22; Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 21; Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 664ff. 225 Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO), November 2018, S. 5. 226 Ausführlich zu den Methoden und den Gefahren des Webtracking Gräfe, Webtracking und Microtargeting als Gefahr für Demokratie und Medien, in: Taeger, Rechtsfragen digitaler Transformationen, S. 27. 227 So aber Remmertz, GRUR-Prax 2018, 254. 228 Siehe Eggers, Die Zukunft der Cookies, in: Taeger, Den Wandel begleiten, S. 161. 229 Für Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO als Erlaubnistatbestand für das Tracking Funke, Tracking, in: Taeger, Den Wandel begleiten, S. 179. 230 BGH, Urt. v. 28.5.2020 – I ZR 7/16, K&R 2020, 611 – Cookie-Einwilligung II. So zuvor schon die Datenschutzkonferenz in ihrer Positionsbestimmung v. 26.4.2018, S. 3 Ziffer 9, https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf. Siehe dazu, auch zur Verdrängung von § 15 TMG, Brandt, Webshops unter DSGVO und ePrivacy-VO, in: Taeger, Rechtsfragen digitaler Transformationen, S. 1, 9f; Ettig/Herbrich, K&R 2020, 719. A.A. Böhm, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 95 Rn. 30; Schleipfer, ZD 2017, 460, 463, sowie wohl Galetzka, Web-Analytics/Retargeting und automatisierte Einzelfallentscheidung, in: Taeger, Rechtsfragen digitaler Transformationen, S. 45, 48f., der aber an anderer Stelle unter Hinweis auf BGH, Beschl. v. 5.10.2017 – I ZR 7/16, ZD 2018, 79, 80, Rn. 23 (Cookie-Einwilligung), meint, „dass ein personenidentifizierbares Webtracking der Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO bedarf, ... außer Frage stehen“ dürfte (S. 51). 231 Siehe Wilfling, Die datenschutzrechtlichen Anforderungen an Cookie Einwilligungen – Das Ende der Cookie Banner?, in: Taeger, Die Macht der Daten und der Algorithmen, S. 301, 304. 232 Weberling, AfP 2004, 397, 401; v. Lewinski, RDV 2003, 122. 233 BVerwG, Urt. v. 27.3.2019 – 6 C 2.18, Rn. 15ff., ZD 2019, 37 m. Anm. Kühling/Sackmann, NJW 2019, 2562, Lachenmann, ZD 2019, 374, und Hrube, jurisPR-ITR 14/2019 Anm. 4. Siehe auch DSK Kurzpapier Nr. 15, https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_15.pdf, und aktuell die DSK Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen v. 17.7.2020, https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_v%C3%BC_dsk.pdf. Hierzu auch § 4 BDSG Rn. 3. Die Europarechtskonformität des § 4 BDSG wurde von Strauß, NZV 2018, 554, 558, und in der Vorauflage von Grabenschröer/Reuter, in: Taeger/Gabel, DSGVO BDSG, 3. Aufl., § 4 Rn. 8, schon früh in Zweifel gezogen. A.A. aber Schwartmann/Jacquemain, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Anhang Art. 6/§ 4 Rn. 2ff. Siehe auch § 4 BDSG Rn. 43 m.w.N. 234 Moos, Update Datenschutz, in: Taeger, Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, S. 189, 196. 235 Vgl. Rose, RDV 2019, 123, 129; Rose, ZD 2017, 64. 236 Vgl. Schneider/Schindler, ZD 2018, 463, 467; Johnson/Brechtel, ITRB 2019, 208, 209; Abgelehnt auch von Strauß, NZV 2018, 554, 558. 237 Siehe auch Quiel, PinG 2018, 30; Conrad, K&R 2020, 253; Jandt, ZRP 2018, 16. 238 Haumann, Videoüberwachung in Bundesligastadien, in: Taeger, Rechtsfragen digitaler Transformationen, S. 73, der die speziellere Norm des § 4 BDSG durch die Öffnungsklausel des Art. 6 Abs. 1 UAbs. 1 lit. e, Abs. 3 DSGVO nicht in diesem Umfang als gedeckt sieht, S. 78. 239 Schwenke, NJW 2018, 823, 827; Haustein, in: Taeger, Smart World – Smart Law? Weltweite Netze mit regionaler Regulierung, S. 43, 49; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 31; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 164; Rose, RDV 2019, 123, 125ff. 240 Dienstbühl, CR 2019, 359, 362. OVG des Saarlandes, Urt. v. 14.9.2017 – 2 A 197/16, ZD 2018, 97. 241 Dazu näher und grundlegend Lachenmann, Datenübermittlung im Konzern, 2016. 242 Siehe auch Voigt, CR 2017, 428, 429, 432f. 243 Voigt, CR 2017, 428, 432. 244 Siehe zum Merkmal der Erforderlichkeit im Normtext bei Buchstabe f Britz/Indenhuck, Die Daten der Dritten, in: Taeger, Rechtsfragen digitaler Transformationen, S. 233, 240 m.w.N. 245 Drewes, CR 2016, 721, 723. 246 Die Verwendung des Terminus „legitim“ sowohl in Art. 8 Abs. 2 Satz 1 GRCh („auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet“) als auch in Art. 5 Abs. 1 lit. b DSGVO weist darauf hin, dass die Rechtsgrundlage selbst verfassungsgemäß sein muss. Die Datenverarbeitung bedarf nicht nur eines Erlaubnistatbestands, sondern es ist zu gewährleisten, dass der Zweck nicht von der Rechtsordnung missbilligt wird; siehe dazu Specht, GRUR Int. 2017, 1040, 1042, m.w.N., sowie pointiert Rost, vorgänge 221/222 (2018), 79, 84f. 247 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 6 Rn. 31. 248 Vgl. Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 662 249 Ebenso Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 140. 250 Siehe zur bisherigen Rechtslage nach § 28 Abs. 1 BDSG a.F. Selk, RDV 2008, 187. Anders der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, Orientierungshilfe Datenschutz im Hotelgewerbe, 2013, S. 7, der auch bei der Speicherung von Daten, die keine besonderen Arten personenbezogener Daten sind, eine ausdrückliche Einwilligungserklärung des Gastes verlangt. 251 Schulz, in: Gola, DSG-VO, Art. 6 Rn. 52; a.A. Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 20 am Ende. 252 Art.-29-Datenschutzgruppe, Stellungnahme 06/2014844/14/EN, S. 52. 253 So Frenzel, in: Paal/Pauly, DS-GVO, Art. 6 Rn. 27. Von einem „berechtigten“ Interesse gehen aber Albrecht/Jotzo, Das neue Datenschutzrecht der EU, S. 75, aus. 254 Schulz, in: Gola, DSG-VO, Art. 6 Rn. 52 unter Hinweis auf BGH, Urt. v. 21.11.20116 – VI ZR 259/05, AfP 2007, 44. Siehe auch Herdes, Daten im Konzern: Datenschutz im B2C Bereich, in: Taeger, Rechtsfragen digitaler Transformationen, S. 209, 214. 255 Gola/Klug, Grundzüge des Datenschutzes, S. 90; Taeger, BB 2007, 785, 787; a.A. v. Lewinski, RDV 2003, 122, 126, der die Interessen auf die Persönlichkeitsrechte reduziert. 256 Ausführlich zur Berücksichtigung öffentlich zugänglicher Daten bei der Interessenabwägung Dallmann/Busse, ZD 2019, 394. 257 Siehe auch Schulz, in: Gola, DSG-VO, Art. 6 Rn. 53. 258 Vgl. auch Drewes, CR 2016, 721, 723. 259 So auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 144. 260 Ebenso Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 64. 261 Zu der Notwendigkeit dieser Regelung, mit der die Mitgliedstaaten im Rahmen der DSGVO fachspezifisches Datenschutzrecht beibehalten oder schaffen können, das die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder einer öffentlichen Aufgabe erlaubt, ausführlich Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 30ff. 262 Siehe Frenzel, in: Paal/Pauly, DS-GVO, Art. 6 Rn. 35 und die Beispiele bei Rn. 38f. 263 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 35; Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 157. In diesem Zusammenhang ist darauf hinzuweisen, dass die EWR-Staaten Liechtenstein, Island, Norwegen keine Drittstaaten sind. 264 Frenzel, in: Paal/Pauly, DS-GVO, Art. 6 Rn. 27; Albers/Veit, in: Wolff/Brink, BeckOK DatenschutzR, Art. 6 Rn. 58. A.A. Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 24. 265 Ausschließlich formelle Gesetze wollen dagegen anerkennen Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 153, 173. Dagegen will Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 24, wohl auch EU-Richtlinien und Verwaltungsvorschriften (ohne unmittelbare Außenwirkung) als Rechtsvorschriften akzeptieren. 266 Siehe dazu den in EuGH, Urt. v. 1.10.2015 – C 201/14, Rn. 40, dargestellten Sachverhalt, wonach die Erlaubnis und die Modalitäten der Übermittlung sich nicht auf eine Rechtsvorschrift, sondern auf ein zwischen Behörden abgestimmtes, nicht veröffentlichtes Protokoll stützen. 267 Zum Redaktionsschluss lag der Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – 2. DSAnpUG-EU) als Referentenentwurf vom 21.6.2018 vor. 268 Siehe auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 146. 269 Vgl. Schulz, in: Gola, DS-GVO, Art. 6 Rn. 172. 270 Siehe dazu Benecke/Wagner, DVBl. 2016, 600, 601. 271 EuGH, Urt. v. 10.10.1973 – C-34/73, Slg. 1973, 981; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 40. 272 Greve, NVwZ 2017, 737, 743. Siehe auch Albers/Veit, in: Wolff/Brink, BeckOK DatenschR, Art. 6 Rn. 62. 273 Benecke/Wagner, DVBl. 2016, 600, 601; ihnen folgend Peifer, PinG 2016, 222, 224. 274 Dass der „Zweck erforderlich“ sein muss, ist als sprachlich misslungen anzusehen. 275 Siehe Taeger, in: Taeger/Gabel, BDSG, 2. Aufl., § 4 Rn. 16, 18, 25. 276 Ähnlich Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 151 (Rechtsaktvorbehalt) und 174. 277 So auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 165. Siehe dazu § 31 Rn. 49ff. 278 Ebenso Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 179. 279 So auch Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 183f. 280 Haumann, Videoüberwachung in Bundesligastadien, in: Taeger, Rechtsfragen digitaler Transformationen, 2018, S. 73, 78; Reibach, Nationales Datenschutzrecht – die Deharmonisierung der DSGVO, ebenda, S. 133, 137; Frenzel, in: Paal/Pauly, DS-GVO BDSG, § 4 Rn. 5; Kühling, NJW 2017, 1985, 1987; Roßnagel, DuD 2017, 277, 281. 281 So auch Schantz/Wolff, Das neue Datenschutzrecht, Rn. 600, und Frenzel, in: Paal/Pauly, DS-GVO, Art. 6 Rn. 37. 282 Siehe dazu Schantz/Wolff, Das neue Datenschutzrecht, Rn. 602. 283 Vgl. auch Dammann, ZD 2016, 307, 312. 284 Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 217f.; von Maltzan/Moshashai, Incident Response zur Lagebilderstellung, in: Taeger, Rechtsfragen digitaler Transformationen, S. 145, 149. 285 Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 200. 286 Schulz, in: Gola, DS-GVO, Art. 6 Rn. 194. 287 Buchner, DuD 2016, 155, 156. 288 Zum Zweckbindungsgrundsatz nach der GRCh von Grafenstein, DuD 2015, 789. 289 So das Positionspapier der Datenschutz-Kommission zur Datenschutz-Grundverordnung von August 2015, DuD 2015, 722. 290 Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 200. 291 Ebenso neben anderen Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 200; Wehkam, Weiterverarbeitung zu anderen Zwecken, in: Taeger, Den Wandel begleiten, S. 215, 221f. 292 Kühling/Martini, EuZW 2016, 448, 451; Piltz, BDSG, § 24 Rn. 1; Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 228; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 190; Culik/Döpke, ZD 2017, 226, 228f. Näher und kritisch dazu Buchner/Plath, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 199f. Das BVerwG sieht in Abs. 4 „keine neben Art. 6 Abs. 2 und Abs. 3 DSGVO stehende übergreifende Öffnungsklausel“. Absatz 4 beziehe „sich vielmehr allein auf die Zweckänderungsbefugnis im Rahmen der nach Art. 6 Abs. 1 DS-GVO nach Maßgabe von Art. 6 Abs. 2 und 3 zulässigen Datenverarbeitung“, BVerwG, Beschl. v. 20.12.2018 – 2 BvR 2377/16, ZD 2019, 231 m.Anm. Will. 293 Siehe dazu Culik/Döpke, ZD 2017, 226, 229. 294 Nach Ansicht von Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 90, sei „die Abwägung der Vereinbarkeitsprüfung von der DSGVO konkreter bestimmt ... als die allgemeine Interessenabwägung nach Art. 6 Abs. 1 Buchst. f) DSGVO“. 295 Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 201. 296 Weshalb darin eine Umgehung der Vorschrift der Zweckänderung nach Absatz 4 gesehen werden soll (Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 205f.), ist nicht nachvollziehbar. Im Gegenteil legt es der Wortlaut des Absatz 4 nahe, zunächst nach einer Erlaubnis für die Weiterverarbeitung zu suchen und, sollte diese wider Erwarten nicht erfolgreich sein, erst dann den Kompatibilitätstest durchzuführen. Dass nicht aus einem bereits bestehenden Datenvorrat „geschöpft“ werden dürfe, vertreten Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 185, die von der Notwendigkeit einer neuen Erhebung zu dem anderen Zweck mit Prüfung der Erlaubnis ausgehen. 297 Albrecht, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 6 Rn. 12f.; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, S. 76 Rn. 52ff.; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 200; tendenziell wohl auch Gierschmann, ZD 2016, 51, 54; sowie nachdrücklich Schantz, NJW 2016, 1841, 1844, der das sich aus ErwG 50 Satz 2 folgende Gegenargument als redaktionellen Fehler bezeichnet (dagegen argumentieren mit überzeugenden Erwägungen Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 215, sowie Schulz, in: Gola, DS-GVO, Art. 6 Rn. 185). 298 Eine Erlaubnis, aus welchem Rechtsgrund auch immer, muss bereits für die Ersterhebung vorgelegen haben. Bei erfolgreichem Verlauf des Vereinbarkeitstestes bedarf es für die zweckändernde Verarbeitung keiner (neuen) Erlaubnis. Wäre es anders, bräuchte es des Kompatibilitätstestes nicht. 299 Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 212ff., 246; Kühling/Martini, EuZW 2016, 448, 451; Wehkam, Weiterverarbeitung zu anderen Zwecken, in: Taeger, Den Wandel begleiten, S. 215, 223; Datenschutzkonferenz, Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen, S. 9. 300 Das gilt trotz der umfangreichen Auflistung möglicher Szenarien bei Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 248. 301 Frenzel, in: Paal/Pauly, DS-GVO, Art. 6 Rn. 46. 302 Siehe dazu Wehkam, Weiterverarbeitung zu anderen Zwecken, in: Taeger, Den Wandel begleiten, S. 215, 217. 303 Vgl. das Anwendungsbeispiel bei Wehkam, Weiterverarbeitung zu anderen Zwecken, in: Taeger, Den Wandel begleiten, S. 215. 304 Beispiel nach OLG Celle, Urt. v. 26.6.2018 – 13 U 136/17; dazu Weller, jurisPR-ITR 15/2018 Anm. 5. 305 Dafür wohl Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 247. 306 Buchner, DuD 2016, 155, 157. 307 Vorbild für diese Regelung war das WP 203 der Art.-29-Datenschutzgruppe. Opinion 3/2013 on purpose limitation, S. 23, das wiederum von Art. 9 Abs. 2 des niederländischen Datenschutzgesetzes aus 2000 inspiriert worden war. 308 Schulz, in: Gola, DS-GVO, Art. 6 Rn. 187. 309 Plath, in: Plath, BDSG DSGVO, Art. 6 Rn. 231; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 43f.; Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 680f. 310 Siehe zum Meinungsstand Kramer, in: Auernhammer, DSGVO BDSG, Art. 6 Rn. 98ff., und Reimer, in: Sydow, EU-Datenschutzgrundverordnung, Art. 6 Rn. 70. 311 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 6 Rn. 42. 312 Ohne eine Ausfüllung durch konkrete Erwägungen im Einzelfall blieben die in den Buchstaben a bis e aufgezählten Gesichtspunkte. 313 https://www.lead-digital.de/ortung-im-supermarkt/. 314 https://www.zeit.de/news/2018-02/20/wie-haendler-smartphones-fuer-werbung-nutzen-180220-99-154960. 315 Opinion 3/2013 on purpose limitation. 316 Kühling/Martini, EuZW 2016, 448, 451. 317 Assion/Nolte/Veil, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 6 Rn. 223ff. 318 Piltz, BDSG, § 4 Rn. 88, hält diese strenge Zweckbindung mit einer zugunsten der öffentlichen Sicherheit und der Strafverfolgung begrenzten Zwecköffnung für europarechtswidrig, weil sie den Verantwortlichen entgegen Art. 6 Abs. 4 DSGVO in der zweckändernden Weiterverarbeitung hindere. 319 Für die Bemessung des gesamten weltweiten Jahresumsatzes eines Unternehmens ist die Feststellung des Unternehmensbegriffs von erheblicher Bedeutung, dazu ausführlich Spittka, Der Unternehmensbegriff der DS-GVO, in: Taeger, Rechtsfragen digitaler Transformationen, S. 119.