Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 351

166

Die hier in Absatz 4 genannten Kriterien sollen bei einem Kompatibilitätstest herangezogen werden, mit dem die Vereinbarkeit des neuen Verarbeitungszwecks mit dem bei der Erhebung angegebenen Zweck geprüft werden muss, um im Falle der Feststellung der Vereinbarkeit eine Zulässigkeit der Weiterverarbeitung begründen zu können – was allerdings nur dann erforderlich ist, wenn nicht schon eine Einwilligung oder eine gesetzliche Erlaubnis für die Weiterverarbeitung mit neuer Zweckbestimmung vorliegt.291

167

Eine gesetzliche Erlaubnis für eine zweckändernde Weiterverarbeitung kann sich aus Art. 6 DSGVO („einer Rechtsvorschrift der Union“) und hierin vornehmlich aus Abs. 1 UAbs. 1 lit. f ergeben. Denkbar sind aber auch außerhalb der DSGVO enthaltene EU-Vorschriften über eine zweckändernde Weiterverarbeitung sowie die ebenfalls aufgeführten Rechtsvorschriften in Mitgliedstaaten. Damit erweist sich Absatz 4 auch als eine Öffnungsklausel zugunsten mitgliedstaatlicher Vorschriften über die Möglichkeiten einer zweckändernden Weiterverarbeitung.292 Deutschland hat davon Gebrauch gemacht und mit den §§ 23, 24 BDSG solche Rechtsvorschriften eines Mitgliedstaats für öffentliche und nichtöffentliche Stellen geschaffen (siehe die Kommentierung zu den §§ 23, 24 BDSG). Rechtsvorschriften, die aufgrund dieser Öffnungsklausel bestehen, müssen aufgrund der Anforderung aus Absatz 4 „eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele“ darstellen.293

168

Die nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorzunehmende Abwägung ist durchaus mit der Kompatibilitätsprüfung unter Berücksichtigung der in Absatz 4 – nicht abschließend – aufgezählten Kriterien vergleichbar.294 Offenbar aufgrund ähnlicher Erwägung wurde die Konstruktion einer fiktiven „hypothetischen“ Neuerhebung vorgeschlagen, bei der für bereits erhobene, vorhandene Daten, für eine Erhebung von Daten aus eigenen Beständen aus internen Quellen eine gesetzliche Erlaubnis aus Art. 6 Abs. 1 DSGVO geprüft wird.295 Diese Anknüpfung an eine (hypothetische) Erhebung ist jedoch gar nicht erforderlich, weil Art. 6 Abs. 1 DSGVO nicht eine Erlaubnis für die Erhebung, sondern allgemein für die Verarbeitung verlangt. Außerdem spricht die DSGVO insbesondere in ErwG 50 davon, dass die Kriterien in Absatz 4 nur dann zur Anwendung kommen sollen, wenn für die Weiterverarbeitung zu einem anderen Zweck keine Einwilligung oder sonstige gesetzliche Erlaubnis vorliegt.296