Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 354

174

Stellt der Verantwortliche fest, dass der Zweck, zu dem Daten weiterverarbeitet werden sollen, mit dem ursprünglichen Zweck vereinbar ist, dann wäre die zweckändernde Verarbeitung auch dann rechtmäßig, wenn die Verarbeitung weder aufgrund einer Einwilligung noch einer gesetzlichen Vorschrift erlaubt wäre. Liegt eine solche Erlaubnis nicht vor, kann der Verantwortliche prüfen, ob der andere Zweck mit demjenigen Zweck, zu dem die Daten erhoben worden waren, vereinbar ist. Was unter „Vereinbarkeit“ zu verstehen ist, wird von der DSGVO nicht legaldefiniert. Aus dem Normtext erschließt sich, dass eine Vereinbarkeit besteht, wenn der Verantwortliche dies unter Berücksichtigung der in den im Absatz 4 Buchstaben a bis e enthaltenen Kriterien, die nicht abschließend („unter anderem“) aufgezählt sind,311 festgestellt hat.

175

In der Praxis dürfte es angesichts des in Absatz 4 enthaltenen, nicht abschließenden Kriterienkatalogs zu einer nicht unerheblichen Unsicherheit bei der Frage kommen, wie die Vereinbarkeit festzustellen ist; denn der Normtext fordert lediglich auf, dass bei der Prüfung die Kriterien „berücksichtigt“ werden müssten. Die Norm erhellt aber nicht, ob alle Kriterien zutreffen müssen oder ob sie durch weitere ersetzt oder ergänzt werden können und wie dann die Gewichtung aussehen müsste. Weil in Buchstabe b und c die Rede davon ist, dass das Kriterium „insbesondere“ zu berücksichtigen sei, und Buchstabe e erwähnt, dass das Kriterium zu den zu berücksichtigenden Erwägungen „gehören kann“, ist davon auszugehen, dass es dem Verantwortlichen vergleichsweise frei steht, wie er die Vereinbarkeit begründet. Auch werden nicht immer die in Buchstabe e verlangten, aber nicht näher spezifizierten „geeigneten Garantien“ gegeben werden können, zu denen nach den aufgeführten Beispielen Verschlüsselung oder Pseudonymisierung gehören „können“. Insgesamt erweisen sich die Kriterien als wenig präzise und als kaum greifbar oder operabel. Immerhin geben die zu berücksichtigenden Kriterien einen Orientierungsrahmen, den der Verantwortliche nutzen muss, um die Vereinbarkeit zu begründen. Auch hier schlägt der „risikobasierte Ansatz“ der DSGVO durch, nach dem der Verantwortliche abwägen, begründen und dokumentieren muss.312 Die Erwägungen und Ergebnisse der Abwägung sind penibel zu begründen und zu dokumentieren, um die Rechtmäßigkeit der Weiterverarbeitung nachweisen zu können. Die Einbeziehung des Datenschutzbeauftragten, so vorhanden, ist zu empfehlen.