Daten zu einem anderen Zweck gefordert.225 Auch wenn diese Auffassung nach hier vertretener Auffassung nicht mit dem Wortlaut des Erwägungsgrundes 50 S. 2 DSGVO und dem Konzept der Zweckvereinbarkeit226 in Einklang zu bringen ist, sollten Unternehmen, wenn sie personenbezogene Daten zu einem anderen Zweck weiterverarbeiten möchten, vor diesem Hintergrund zur Erhöhung der Rechtssicherheit möglichst sicherstellen, dass diese Weiterverarbeitung (auch) auf eine gesonderte Rechtsgrundlage gestützt werden kann.
154
Entscheidend für die Zulässigkeit der Zweckänderung auf Basis des Kompatibilitätstests ist die Antwort auf die Frage, ob der neue und der bisherige Zweck miteinander vereinbar sind. Um diese Frage zu beantworten, gibt Art. 6 Abs. 4 DSGVO dem Verantwortlichen fünf Kriterien an die Hand, die er bei der Prüfung der Vereinbarkeit berücksichtigen muss:
1. jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
2. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
3. die Art der personenbezogenen Daten, insbesondere, ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden,
4. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
5. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören können.
155
Erwägungsgrund 50 präzisiert diese fünf Kriterien weiter. Demnach sollte der Verantwortliche insbesondere auch die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten prüfen. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollte nach Erwägungsgrund 50 DSGVO als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten.
156
Diese Liste mit Kriterien ist allerdings nicht abschließend. So muss der Verantwortliche auch alle weiteren im Einzelfall relevanten Kriterien berücksichtigen.227 In der Praxis ist allerdings zu erwarten, dass sich die Prüfung weitestgehend auf die genannten Kriterien beschränkt und nur in atypischen Fällen weitere Kriterien zu berücksichtigen sind. Ob die Weiterverarbeitung erwartbar war und zwei Zwecke miteinander vereinbar sind, ist nach hier vertretener Auffassung aus objektiver Sicht zu beurteilen.228
157
Sind die Zwecke miteinander vereinbar, darf der Verantwortliche die personenbezogenen Daten für den neuen Zweck weiterverarbeiten.
Praxishinweis
Unternehmen sollten – insbesondere vor dem Hintergrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO – die Grundlage, auf der die Zweckänderung erfolgt, dokumentieren. Erfolgt die Zweckänderung auf Basis eines Kompatibilitätstests i.S.d. Art. 6 Abs. 4 DSGVO, sollten Unternehmen in diesem Zusammenhang auch diesen Test dokumentieren.
d) Weitere datenschutzrechtliche Pflichten im Fall der Zweckänderung
158
Verarbeitet ein Verantwortlicher personenbezogene Daten zu einem anderen Zweck weiter als dem, für den sie erhoben wurden, sind hierbei wie bei der originären Verarbeitung personenbezogener Daten die Vorgaben der DSGVO einzuhalten. So sind die betroffenen Personen insbesondere nach Art. 13 Abs. 3 DSGVO bzw. Art. 14 Abs. 4 DSGVO über die Verarbeitung ihrer Daten zu einem anderen Zweck zu informieren.229
8. Verarbeitung besonderer Kategorien personenbezogener Daten
159
Die Verarbeitung besonderer Kategorien personenbezogener Daten unterliegt – wie schon nach der Datenschutzrichtlinie und dem BDSG a.F. – besonders strikten Verarbeitungsvoraussetzungen. Diese sind grundsätzlich in Art. 9 DSGVO geregelt. Demnach ist die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten und nur dann ausnahmsweise erlaubt, wenn die Voraussetzungen mindestens einer der in Art. 9 Abs. 2 DSGVO enthaltenen Alternativen erfüllt sind. Zudem müssen wohl auch noch die Anforderungen des Art. 6 Abs. 1 DSGVO erfüllt sein, damit die Verarbeitung solcher Daten rechtmäßig ist (siehe hierzu Rn. 170ff.).
a) Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO)
160
Zu den besonderen Kategorien personenbezogener Daten gehören die in Art. 9 Abs. 1 DSGVO aufgezählten Datenkategorien:
– personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
– genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO,230
– biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO zur eindeutigen Identifizierung einer natürlichen Person,231
– Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO232 und
– Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
161
Diese Kategorien von Daten bedürfen eines besonders strikten Schutzes durch die DSGVO, da – so Erwägungsgrund 51 – im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.
162
Wie schon Art. 8 der Datenschutzrichtlinie 95/46/EG, unterscheidet Art. 9 DSGVO seinem Wortlaut nach grundsätzlich nicht zwischen unterschiedlichen Verwendungszusammenhängen, bei denen die Daten verwendet werden. Mit anderen Worten: Wird ein bestimmtes Datum verarbeitet, das zu einer der in Art. 9 Abs. 1 DSGVO aufgezählten Kategorien gehört, finden nach dem Wortlaut von Art. 9 DSGVO die strikten Vorschriften des Art. 9 DSGVO über die Verarbeitung besonderer Kategorien personenbezogener Daten Anwendung – und zwar unabhängig von dem Zusammenhang bzw. der Situation, in dem/der sie verarbeitet werden. Somit könnte z.B. schon die Verarbeitung der Information, dass eine Person Alkohol trinkt, oder eines Bildes, auf dem ein Brillenträger abgebildet ist, – als Gesundheitsdaten – ganz generell den strikten Voraussetzungen des Art. 9 DSGVO unterliegen.233
163
Auch aus Erwägungsgrund 51 S. 3 ergibt sich nichts anderes. Dieser stellt im Hinblick auf die Verarbeitung von Fotos klar, dass diese nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten anzusehen ist, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Doch bedeutet dies nicht, dass Art. 9 DSGVO vor diesem Hintergrund restriktiv auszulegen wäre. Vielmehr handelt es sich hierbei (lediglich) um einen Hinweis, dass die Begriffsdefinition der biometrischen Daten in Art. 4 Nr. 14 DSGVO nicht sämtliche Fotos erfasst.
164
Allerdings scheint sich in diesem Zusammenhang eine pragmatischere Sichtweise durchzusetzen, die den Sinn und Zweck der Regelung mehr in den Vordergrund stellt.
165
Demnach