Читать книгу DS-GVO/BDSG - David Klein - Страница 430

294

Die Kompatibilität der Zwecke hat für die betroffene Person erhebliche Bedeutung. Gleichfalls hat die zweckändernde Weiterverarbeitung für viele Verantwortliche sicher einen großen Stellenwert, gerade im Zeitalter der Digitalisierung. Sollen Daten für neue Zwecke weiterverarbeitet werden, ohne dass die Betroffenen diese neuen Zwecke genau kennen, bedingt dies ein „Mehr“ an Verantwortung auf Seiten der verantwortlichen Stelle.[579]

295

Erhebt ein Energieversorgungsunternehmen im Rahmen einer Big Data Anwendung Daten, dürfte die Analyse der Daten „zur Strategieentwicklung“ als Zweck jedenfalls zu unspezifisch sein. Eine Formulierung, die den Zweck in der „Bereitstellung kundenbezogener Produkte“ definiert, wird den Anforderungen der DS-GVO schon eher gerecht.[580]

296

Von fehlender Kompatibilität im Rahmen der begrenzten Weiterverarbeitungsbefugnis dürfte auch auszugehen sein, wenn ein Versicherungsunternehmen im Zuge des Versicherungsverhältnisses personalisierte Versichertendaten zu dem Zweck nutzt, Risiken besser einschätzen und neue Produkte entwickeln zu können und diese Daten später an Google zur Anlegung personalisierter Kundenprofile und zur Schaltung personalisierter Werbeangebote bei der Suche im Netz im Hinblick auf andere Produkte weitergibt. Zwar werden Big Data Anwendungen im Rahmen eines Data Minings im Rahmen von Art. 6 Abs. 4 relevant, gleichwohl wird die Weitergabe der personenbezogenen Daten an Google als Drittem zur Erstellung von Kundenprofilen außerhalb des ursprünglichen Verarbeitungszwecks der Big Data Anwendung liegen.[581]

297

Daten-Backups, die einzig zu technischen Sicherungszwecken angefertigt wurden, können in anderem Zusammenhang relevant werden und zur Auswertung des Verhaltens des „Datenerzeugers“ herangezogen werden, obwohl die Originaldatensätze längst gelöscht wurden.[582] Letztlich wird es für den Verantwortlichen darauf ankommen, ob der Mehrwert, der sich aus der Datenverarbeitung ergibt, bereits bei der ursprünglichen Erhebung und Verarbeitung vorgesehen war, oder ob es sich hierbei um ein zufälliges oder bewusstes „Mehr“ an Vorteilen aus der Datenverarbeitung handelt, die so bisher nicht vorgesehen war.

298

Eine in ethischer Hinsicht offene Frage stellt sich im Rahmen von Big Data Anwendungen insbesondere dann, wenn sich im Falle einer Analyse von pseudonymisierten Daten oder Metadaten Resultate ergeben, die eine Information des Betroffenen gebieten könnten. Diese Fallkonstellation wird bspw. dann relevant, wenn ein Anbieter einer Gesundheits-App aufgrund der Analyse etwa von pseudonymisierten oder anonymisierten Daten Befunde über gesundheitsgefährdende Krankheiten des Betroffenen feststellt. In der Konsequenz stellt sich somit die Frage, ob der für die Datenverarbeitung Verantwortliche anhand der Daten eine Reidentifikation der betroffenen Person vornehmen darf, wenn er Erkenntnisse zu möglichen gesundheitlichen Risiken für den Betroffenen erlangt und damit unter ethischen Gesichtspunkten zu einer Offenbarung der gewonnenen Information angehalten sein könnte. Für die personenbezogene Datenverarbeitung bedürfte es aber einer Legimitation, die wohl nur in Form einer Einwilligung denkbar wäre. Der Datenschutz würdigt damit das übergeordnete Interesse des Gesundheitsschutzes.[583]