Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 108
kk) Zweckänderung bei der Verarbeitung besonderer Kategorien personenbezogener Daten
Оглавление203
Die Zulässigkeit der Verarbeitung von besonderen Kategorien personenbezogener Daten zu einem anderen Zweck, als für den sie ursprünglich erhoben wurden, ist in Art. 9 DSGVO nicht ausdrücklich geregelt. Nach hier vertretener Auffassung gelten daher auch im Hinblick auf diese Daten die allgemeinen Regelungen des Art. 6 Abs. 4 DSGVO.306 Hierfür sprechen sowohl der Wortlaut von Art. 6 DSGVO als auch die systematische Auslegung der DSGVO. So soll gem. Art. 6 Abs. 4 lit. c DSGVO im Rahmen der Prüfung der Vereinbarkeit des neuen Zwecks mit dem ursprünglichen Zweck die Art der zu verarbeitenden Daten berücksichtigt werden, „insbesondere, ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden“. Diese Regelung wäre schlicht überflüssig, wenn Art. 6 Abs. 4 DSGVO nicht auf besondere Kategorien personenbezogener Daten anwendbar wäre.307
204
Somit dürfen auch besondere Kategorien personenbezogener Daten zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden, weiterverarbeitet werden, wenn eine Rechtsvorschrift der EU bzw. eines EU-Mitgliedstaates dies erlaubt, die betroffene Person in die Zweckänderung eingewilligt hat oder der andere Zweck, für den die Daten weiterverarbeitet werden sollen, mit dem Zweck, für den die Daten erhoben wurden, gem. Art. 6 Abs. 4 DSGVO vereinbar ist (insoweit gelten die Ausführungen unter Rn. 137ff., wobei sich die Erlaubnisnorm bzw. die Einwilligung gerade auch auf besondere Kategorien personenbezogener Daten beziehen muss,308 entsprechend). Allerdings ist im Fall des Kompatibilitätstests aufgrund der Regelung in Art. 6 Abs. 4 lit. c DSGVO ein besonders strenger Maßstab bei der Beantwortung der Frage anzulegen, ob die beiden Zwecke miteinander vereinbar sind. Alternativ kann der Verantwortliche die Daten für die Verarbeitung zu dem neuen Zweck auch noch neu erheben, falls dies datenschutzrechtlich zulässig ist.
Praxishinweis
Möchte ein Unternehmen besondere Kategorien personenbezogener Daten verarbeiten, sollte das Unternehmen vor Beginn der Datenverarbeitung besonders sorgfältig prüfen, für welche Zwecke es die Daten (in der Zukunft) verarbeiten möchte, um dies insbesondere bei der Festlegung der Datenverarbeitungszwecke, der Datenschutz-Folgeabschätzung, der Erfüllung der Datenschutz-Folgeabschätzung und der Formulierung der Einwilligungserklärung berücksichtigen zu können. Hierbei empfiehlt es sich, eher einen (realistischerweise möglichen) Zweck mehr zu prüfen/aufzunehmen als einen zu wenig.
Nationale Regelungen in Deutschland
§ 24 Abs. 2 BDSG: Zweckänderung bei „sensiblen“ Daten
205
Der deutsche Gesetzgeber hat in § 24 Abs. 2 BDSG eine Erlaubnis für die Verarbeitung von besonderen Kategorien personenbezogener Daten zu einem anderen Zweck normiert.
206
Demnach ist die Verarbeitung derartiger Daten zu einem anderen Zweck, als für den sie erhoben wurden, zulässig, wenn die Voraussetzungen des § 24 Abs. 1 BDSG309 und ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO310 oder nach § 22 BDSG311 vorliegen. Es ist mithin nicht wie bei der Zweckänderung auf Basis eines Kompatibilitätstests nach Art. 6 Abs. 4 DSGVO erforderlich, dass der Zweck, für den die Daten weiterverarbeitet werden, mit dem Ursprungszweck vereinbar ist.
207
Es ist allerdings zweifelhaft, ob § 24 Abs. 2 BDSG sämtliche Anforderungen der Öffnungsklausel Art. 6 Abs. 4 DSGVO i.V.m. Art. 23 Abs. 1 DSGVO erfüllt und damit europarechtskonform ist.312 Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Zweckänderung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Verarbeitungen von Daten zu einem anderen Zweck, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.