148, 149. 57 EuGH, Urt. v. 11.12.2019 – C-708/18, ZD 2020, 148, 150. Es ist davon auszugehen, dass der EuGH auch die Erforderlichkeit der alternativen Datenverarbeitung an deren Verhältnismäßigkeit knüpft. 58 So bezieht sich das Kriterium „vernünftigerweise“ nach hiesigem Verständnis nur auf das (ebenso) wirksame Erreichen des verfolgten Zwecks durch das alternative Mittel und nicht auf die Einführung des alternativen Mittels an sich – was zur Folge gehabt hätte, dass nur dann andere Mittel einzusetzen gewesen wären, wenn dies „vernünftigerweise“ erfolgt wäre. Ebenso beziehen sich die Ausführungen des EuGH zur Verhältnismäßigkeit nach hiesigem Verständnis nur auf die Datenverarbeitung, nicht aber auf die Einführung alternativer Mittel an sich, woraufhin ggf. nur verhältnismäßige alternative Mittel einzuführen wären. Zu argumentieren, dass die Kriterien „vernünftigerweise“ oder der „Verhältnismäßigkeit“ nach Ansicht des EuGH auch im Hinblick auf die Frage gelten sollen, unter welchen Voraussetzungen der Verantwortliche schonendere Alternativen einsetzen muss, damit eine Datenverarbeitung erforderlich sein kann, würde die Ausführungen des EuGH nach hier vertretener Lesart wohl in unzulässiger Weise überdehnen. Eventuell kann aber aus den Ausführungen des Europäischen Datenschutzausschusses zur Erforderlichkeit einer Videoüberwachung auf Basis von Art. 6 Abs. 1 lit. f DSGVO geschlussfolgert werden, dass der EDSA dort die Auffassung vertritt, dass ein Verantwortlicher (nur) dann schonendere Alternativen einsetzen muss, wenn diese „vernünftig“ sind, Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 11; siehe hierzu (aber) auch Rn. 44ff., insb. Rn. 46. 59 In seinen Guidelines 4/2019 on Article 25 Data Protection by Design and by Default nennt der Europäische Datenschutzausschuss u.a. die Verwendung aktueller und angemessener Technologien zur Datenvermeidung bzw. -minimierung als ein mögliches Schlüsselelement zur Erfüllung der Pflichten nach Art. 25 DSGVO, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 21. Hieraus lässt sich nach hier vertretener Ansicht allerdings nicht entnehmen, dass der EDSA verlangt, dass stets – ohne Rücksicht auf weitere Umstände und Faktoren – die jeweils „schonendste“ Alternative/Technologie eingesetzt werden muss. 60 Europäischer Datenschutzausschuss, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen, Version 2.0, S. 9. 61 Europäischer Datenschutzbeauftragter, Beurteilung der Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken: Ein Toolkit, Stand: 11.4.2017, https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_de.pdf, zuletzt abgerufen am 11.1.2021. 62 So beschäftigt sich der EDSA in seinen Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte mit der Erforderlichkeit einer Videoüberwachung auf Basis von Art. 6 Abs. 1 lit. f DSGVO. In diesem Zusammenhang verlangt er, dass Verantwortliche im Einzelfall prüfen müssen, ob bestimmte alternative Maßnahmen eine vernünftige Lösung darstellen können. Eventuell kann hieraus abgeleitet werden, dass der EDSA zumindest in diesem Zusammenhang die Auffassung vertritt, dass ein Verantwortlicher schonendere Alternativen (nur dann) einführen muss, wenn diese „vernünftig“ sind, Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 11. 63 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 21. 64 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 12, 21. 65 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 21. 66 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 13. 67 Auch wenn die DSGVO – anders als z.B. das BDSG a.F. – keinen ausdrücklich normierten Direkterhebungsgrundsatz enthält, kann es zumindest nach Auffassung des Europäischen Datenschutzausschusses aus dem Rechtmäßigkeitsgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO folgen, dass Daten – unter gewissen Umständen – direkt von der betroffenen Person zu erheben sind, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25, Data Protection by Design and by Default, Version 2.0, S. 17. Da die DSGVO aber gerade keinen ausdrücklichen Direkterhebungsgrundsatz beinhaltet, ist diese Forderung nach hier vertretener Ansicht mit Augenmaß zu betrachten. 68 In seinen Guidelines 4/2019 on Article 25 Data Protection by Design and by Default nennt der Europäische Datenschutzausschuss u.a. die Verwendung aktueller und angemessener Technologien zur Datenvermeidung bzw. -minimierung als ein mögliches Schlüsselelement zur Erfüllung der Pflichten nach Art. 25 DSGVO, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 21. 69 Weitere Kriterien finden sich z.B. bei BeckOK-DS/Wolff, A. Prinzipien Teil B Rn. 61.1. 70 Insbesondere sollten Unternehmen ganz generell Technologien verwenden, die möglichst dem state-of-the-art im Hinblick auf Datenvermeidung und -minimierung entsprechen. 71 Nach dem Europäischen Datenschutzausschuss kann eine Maßnahme zur Einhaltung der Pflichten aus Art. 25 DSGVO in diesem Zusammenhang auch darin bestehen, die Datenverarbeitung so zu gestalten, dass der Kreis der zugriffsberechtigten Personen auf ein Minimum beschränkt wird, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 21. 72 Siehe hierzu ausführlich Kap. 6 Rn. 367ff., siehe insb. Art. 17 Abs. 1 lit. a DSGVO. Die Löschung kann nach hier vertretener Ansicht auch durch eine Anonymisierung erreicht werden, siehe Kap. 6 Rn. 410. Damit die Löschverpflichtung eingehalten werden kann, sind (technische) Lösungen erforderlich, welche eine Datenlöschung ermöglichen sowie i.d.R. interne Löschkonzepte, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 25; siehe ausführlich Kap. 6 Rn. 390. 73 So noch zu § 28 BDSG a.F.: BeckOK-DS/Wolff, § 28 BDSG Rn. 35; zu Art. 6 Abs. 1 lit. b DSGVO z.B. Gola/Schulz, Art. 6 DSGVO Rn. 38. 74 Siehe z.B. Taeger/Gabel/Taeger, Art. 6 DSGVO Rn. 53ff.; siehe auch Kühling/Buchner/Buchner/Petri, Art. 6 DSGVO Rn. 47ff. 75 Siehe z.B. Abel, ZD 2018, 103, 106; Taeger/Gabel/Taeger, Art. 6 DSGVO Rn. 51ff. Siehe zu Bonitätsabfragen aber auch die nationalen Vorschriften in § 31 BDSG (siehe Rn. 118ff.). Siehe zur Zulässigkeit der in den damaligen Apple-Datenschutzrichtlinien beschriebenen Datenverarbeitungen auf Basis von Art. 6 Abs. 1 lit. b DSGVO, insb. im Hinblick auf deren Erforderlichkeit: KG Berlin, Urt. vom 27.12.2018 – 23 U 196/13, ZD 2019, 272, 274. So lehnte das Gericht in diesem Fall z.B. die Zulässigkeit der Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit b DSGVO mangels Erforderlichkeit für die Vertragserfüllung ab, soweit sie zu internen Zwecken, zur Produktverbesserung oder zu Werbezwecken erfolgte. Siehe aber auch das OLG Wien zur Datenverarbeitung durch Facebook, insb. zu Werbezwecken, auf Basis von Art. 6 Abs. 1 lit. b DSGVO und dabei die Vorschrift extensiv auslegend: OLG Wien, Urt. v. 7.12.2020 – 11 R 153/20f, 154/20b, S. 28, abrufbar unter: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf. Die Entscheidung des OLG Wien ist zum Zeitpunkt des Redaktionsschlusses allerdings noch nicht rechtskräftig. 76
