Vorschlag der Europäischen Kommission, 2012/0011 (COD), KOM(2012) 11 endgültig, S. 59f. 228 Außerdem wird der Begriff noch in ErwG 156 erwähnt, der Art. 89 DSGVO (Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken) konkretisiert. Nach ErwG 156 sollen Mitgliedstaaten zu den genannten Zwecken Ausnahmen vom Recht auf Einschränkung der Verarbeitung vorsehen können. 229 Art. 4 Nr. 3 DSGVO lautet in der englischsprachigen Fassung: „restriction of processing“ means the marking of stored personal data with the aim of limiting their processing in the future. In der französischsprachigen Fassung ist die Tautologie hingegen ebenfalls enthalten: „limitation du traitement“, le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur. 230 Vgl. auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 3 Rn. 7. 231 Siehe Änderungsantrag 98 des EU-Parlaments, Bericht über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). 232 Der in Art. 15 DSRl verwendete Begriff der „automatisierten Einzelentscheidung“ entspricht im Wesentlichen dem Begriff der automatisierten Entscheidung im Einzelfall gem. Art. 22 DSGVO. 233 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01). 234 Es ist allerdings unklar, ob sich ErwG 60 nur auf automatisierte Einzelfallentscheidungen einschließlich Profiling i.S.d. Art. 22 Abs. 1 DSGVO bezieht oder auf Profiling i.S.d. Art. 4 Nr. 4 DSGVO. Für die zuerst genannte Auslegung spricht die Systematik der DSGVO, indem ErwG 60 Art. 13 und 14 DSGVO konkretisiert und diese ausdrücklich nur eine Information der betroffenen Person im Fall von automatisierten Einzelfallentscheidungen einschließlich Profiling vorsehen. Für die zuletzt genannte Auslegung spricht hingegen der Wortlaut von ErwG 60, der eine solche Beschränkung nicht enthält. 235 Art. 13 und Art. 14 DSGVO enthalten Informationspflichten bei der Erhebung personenbezogener Daten. 236 Art. 15 DSGVO – Auskunftsrecht der betroffenen Person. 237 Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling. 238 Art. 35 DSGVO – Datenschutz-Folgenabschätzung. 239 Art. 47 DSGVO – Verbindliche interne Datenschutzvorschriften. 240 Art. 70 DSGVO – Aufgaben des Ausschusses. 241 Siehe z.B. auch Eschholz, DuD 2017, 180, 184. 242 Taeger, RDV 2017, 3, 3f.; Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 8f.; Schulz, in: Gola, DS-GVO, Art. 22 Rn. 20; a.A. wohl Ehrig/Glatzner, PinG 2016, 211, 212. 243 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 13ff. 244 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7f. 245 Zerdick, in: Ehmann/Selmayr, DS-GVO, Art. 2 Rn. 3. 246 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 247 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 248 Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. Siehe z.B. auch Härting, ITRB 2016, 9. 249 Vgl. auch Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679 (WP 251 rev.01), S. 7. 250 Buchner, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 4 Rn. 8. 251 Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 93; Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 29; Hullen, PinG 2015, 210, 210; zum etymologischen Aspekt des Pseudonyms Schild, in: Wolff/Brink, BeckOK DatenschutzR, Art. 4 Rn. 71 m.w.N. 252 Vgl. Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 94. 253 Z.B. im Hinblick auf verwendete Positionsdaten siehe Johannes, ZD-Aktuell 2016, 05321. 254 Hierzu z.B. Marnau, DuD 2016, 428, 429ff. 255 Insbesondere im Hinblick auf die Public-Key-Infrastruktur siehe Weichert, SVR 2016, 361, 364. 256 Hierzu z.B. Spindler, MedR 2016, 691, 695f. 257 Hierzu z.B. Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 258 Hierzu z.B. Martini/Weinzierl, NVwZ 2017, 1251, 1256ff.; Bechtolf/Vogt, in: Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, S. 873, 879f. 259 Insbesondere Art.-29-Datenschutzgruppe, WP 136, und Art.-29-Datenschutzgruppe, WP 216. Ebenfalls lesenswert in diesem Zusammenhang Schwartmann/Weiß, Whitepaper zur Pseudonymisierung. 260 So auch Eßer, in: Auernhammer, DSGVO BDSG, Art. 4 Rn. 30; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 3; Schreiber, in: Plath, BDSG DSGVO, Art. 4 Rn. 20; Ziebarth, in: Sydow, EU-Datenschutzgrundverordnung, Art. 4 Rn. 97f.; Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 13f., 27; Hofmann/Johannes, ZD 2017, 221, 223; wohl auch Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 5 Rn. 12; a.A. aber Karg, DuD 2015, 520, 524. Wichtig ist aber, dass einige gängige Pseudonymisierungsverfahren Schwächen aufweisen und dementsprechend auch nach erfolgter Pseudonymisierung der Daten Identifizierungen möglich bleiben könnten, dazu Art.-29-Datenschutzgruppe, WP 216, 26ff. Zu den Besonderheiten der Informationspflichten nach Art. 13 und 14 DSGVO bei der Offenlegung pseudonymisierter Daten an Dritte Schwartmann/Weiß, Whitepaper zur Pseudonymisierung, S. 24. 261 Vgl. Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 32; Stentzel/Jergl, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 4 Nr. 5 Rn. 6. 262 Heinemann, in: Moos/Schefzig/Arning, Praxishandbuch DSGVO, Kap. 13 Rn. 166; Knopp, DuD 2015, 527, 527. 263 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 303. 264
