Grundrechtecharta Eingang in den Beurteilungsprozess finden.34 Konkret hat dies etwa zur Folge, dass der Betroffene im Falle seiner Einwilligung über das Vorliegen etwaiger weiterer Erlaubnistatbestände informiert werden muss.35 Andernfalls könnte bei ihm der Eindruck entstehen, dass die Verarbeitung aufgrund der freien Widerruflichkeit der Einwilligung seiner alleinigen Entscheidungsgewalt unterstünde, obwohl sie in Wirklichkeit durch einen anderen Erlaubnistatbestand legitimiert werden könnte (siehe auch Art. 6 Rn. 39ff.).36
15
Der Grundsatz von Treu und Glauben bzw. einer „fairen“ Datenverarbeitung kommt zudem darin zum Ausdruck, dass im Rahmen der Abwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO die „vernünftigen Erwartungen“37 der betroffenen Personen berücksichtigt werden müssen.38 Insbesondere die Frage, ob die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, muss sorgfältig beleuchtet und in die Abwägung eingestellt werden.39 Weiterhin findet der Fairnessgrundsatz im Kopplungsverbot des Art. 7 Abs. 4 DSGVO (siehe Art. 7 Rn. 85ff.) sowie in den Art. 13 Abs. 2, 14 Abs. 2 DSGVO, welche ausdrücklich an die Gewährleistung einer fairen Verarbeitung anknüpfen (vgl. auch Rn. 18), seinen konkreten Niederschlag. Darüber hinaus ist auch das Erfordernis der Berücksichtigung der im Beschäftigungsverhältnis bestehenden Abhängigkeit im Rahmen einer Einwilligung gem. § 26 Abs. 2 BDSG als Ausprägung des Fairnessgrundsatzes anzusehen.
c) Transparenz
16
In der Formulierung, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen, kommt vorrangig die retrospektive Komponente des Transparenzgrundsatzes zum Ausdruck.40 Der betroffenen Person muss es folglich möglich sein, dem bereits stattfindenden Datenverarbeitungsvorgang Schritt für Schritt zu folgen.41 Durch ErwG 39 Satz 2 DSGVO, der ausdrücklich auch auf noch bevorstehende Verarbeitungen Bezug nimmt, wird eine hinzutretende prospektive Zielrichtung des Transparenzgebotes deutlich.42 Diese soll den betroffenen Personen eine möglichst umfassende Kontrolle über ihre personenbezogenen Daten ermöglichen.43
17
Nach Maßgabe des ErwG 39 Satz 3 DSGVO müssen alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein. Die der betroffenen Person zur Verfügung zu stellenden Informationen umfassen insbesondere:44
– die Identität des Verantwortlichen,
– die Zwecke der Verarbeitung,
– einen Hinweis auf das Recht der Betroffenen, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden,
– die Information über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten sowie eine Aufklärung, wie diesbezügliche Rechte geltend gemacht werden können.
18
Eine Konkretisierung der sich aus dem Transparenzgebot ergebenden Informations- und Auskunftspflichten enthalten insbesondere die Art. 13, 14, 15 DSGVO:45
– Gemäß Art. 13 Abs. 1 DSGVO muss der Verantwortliche, der personenbezogene Daten bei der betroffenen Person erhebt, dieser zum Zeitpunkt der Erhebung eine Reihe von Informationen zur Verfügung stellen (siehe Art. 13 Rn. 7ff.). Nach Maßgabe des Art. 13 Abs. 2 DSGVO ist der Verantwortliche insbesondere auch zur Bereitstellung solcher Informationen verpflichtet, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (siehe Art. 13 Rn. 17ff.). Dies umfasst beispielsweise die Dauer, für die die personenbezogenen Daten gespeichert werden (lit. a), oder das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. d).
– Gemäß Art. 14 Abs. 1, 2 DSGVO trifft den Verantwortlichen eine entsprechende Verpflichtung auch dann, wenn er die personenbezogenen Daten nicht bei der betroffenen Person erhebt.
– Als Spiegelbild zu den Informationspflichten des Verantwortlichen ist auch das Auskunftsrecht der betroffenen Person gem. Art. 15 Abs. 1 DSGVO eine Ausprägung des Transparenzgrundsatzes.
19
Ebenso wie im Rahmen des Berichtigungsanspruchs (dazu Rn. 32) werfen die Informationspflichten des Verantwortlichen eine Reihe praktischer Probleme auf. Gerade Verantwortliche, die eine Vielzahl personenbezogener Daten verarbeiten, werden sich fragen müssen, auf welche Art und Weise sie ihren Informationspflichten Genüge tun wollen. Problematisch erscheint in diesem Zusammenhang auch, dass bereits vergleichsweise triviale und alltägliche Vorgänge – wie beispielsweise der Austausch von Visitenkarten46 – die umfangreiche Informationspflicht auslösen können.
20
Die individuelle Informierung jeder betroffenen Person im Zusammenhang mit der konkreten Datenerhebung (bspw. durch Zurverfügungstellung von Formblättern im konkreten Fall) ist unter Compliance-Gesichtspunkten zwar der sicherste Weg, jedoch erweist sich eine solche Vorgehensweise häufig als unpraktisch. Eine – in der Praxis vermehrt vorkommende – Sammlung aller Datenschutzinformationen in der Webseitendatenschutzerklärung kann sich aus Sicht des Verantwortlichen zwar als praktisch erweisen, genügt den Transparenzanforderungen der DSGVO jedoch ggf. nicht, da die betroffenen Personen in diesem Fall nicht proaktiv über die Datenerhebung informiert werden. Ein praxisnaher Kompromiss könnte darin bestehen, dass insbesondere bei umfang- oder risikoreichen Verarbeitungsvorgängen eine konkrete Information an die betroffenen Personen erfolgt, wohingegen im Übrigen an geeigneter Stelle – beispielsweise in einem Telefonat oder in der Fußzeile einer E-Mail – ein Hinweis auf die allgemeinere Darstellung in einer Webseitendatenschutzerklärung erfolgt.
21
In diesem Zusammenhang ist noch nicht abschließend geklärt, ob und inwieweit ein Medienbruch im Rahmen der Information der betroffenen Personen zulässig ist,47 ob also auch in Bezug auf Offline-Sachverhalte eine Online-Information erfolgen kann. Einige Stellungnahmen der Aufsichtsbehörden deuten jedoch darauf hin, dass der Verweis auf eine Website auch dann durchaus zulässig ist, wenn die Datenerhebung offline, bspw. telefonisch erfolgt ist.48
2. Zweckbindung (lit. b)
22
Gemäß Art. 5 Abs. 1 lit. b Hs. 1 DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
a) Grundsatz: Erhebung für festgelegte, eindeutige und legitime Zwecke
23
Aus der Vorgabe, dass personenbezogene Daten für festgelegte Zwecke erhoben werden müssen, ergibt sich im Umkehrschluss das Verbot der Datenerhebung zu noch unbekannten Zwecken.49 Folglich muss die Fixierung des Zwecks der Verarbeitung grundsätzlich spätestens mit deren Beginn erfolgen.50 Der Zweckbindungsgrundsatz kann insofern als ein Selbstregulierungsinstrument verstanden werden, das den Verantwortlichen zu einer Reflexion über die Ziele seiner Datenverarbeitung zwingt.51 Art. 5 Abs. 1 lit. b DSGVO sieht für die Festlegung des Zwecks zwar keine bestimmte Form vor, jedoch ist aus Gründen der Beweisbarkeit eine textliche52 oder schriftliche53 Fixierung ratsam, zumal der Zweck der Datenverarbeitung den betroffenen Personen im Rahmen der Transparenzpflichten regelmäßig ohnehin mitzuteilen ist (siehe oben Rn. 16ff.). Sofern eine Verarbeitung mehreren Zwecken dient,54 sollte der Verantwortliche freilich sämtliche Zwecke hinreichend definieren.
24