werden. Bezugnehmend auf die englische Sprachfassung55 ist davon auszugehen, dass der Zweck hinreichend konkret bestimmt sein muss,56 sodass zu allgemeine Angaben wie beispielsweise „für Marketing-Zwecke“ dem notwendigen Detaillierungsgrad nicht entsprechen dürften.57 Das Erfordernis einer konkreten Zweckfestlegung und deren Mitteilung gegenüber der betroffenen Person sind nicht zuletzt auch ein Ausdruck der Transparenz der Datenverarbeitung.58 Der konkret erforderliche Detaillierungsgrad ist einzelfallabhängig;59 wesentliche Faktoren sind etwa:60
– die Anzahl der betroffenen Personen,
– der von der Verarbeitung betroffene geografische Bereich oder
– das im gegebenen Verarbeitungskontext übliche Maß.
25
Der Zweck der Verarbeitung ist legitim, sofern er mit der Rechtsordnung in Gänze in Einklang steht, mithin also kein rechtlich missbilligtes Interesse verfolgt wird.61 Der Verarbeitungszweck muss somit jeglichem geschriebenen Recht und Gewohnheitsrecht, Primär- und Sekundärrecht, Verordnungen, bindenden Präzedenzfällen, Verfassungsprinzipien, Grundrechten sowie der Rechtsprechung entsprechen (siehe auch Art. 6 Rn. 84, 160).62
b) Ausnahme: Weiterverarbeitung in mit diesen Zwecken vereinbarer Weise
26
Gemäß dem Zweckbindungsgrundsatz darf eine etwaige Weiterverarbeitung der personenbezogenen Daten dem Zweck ihrer Erhebung nicht zuwiderlaufen. In Art. 6 Abs. 4 DSGVO (siehe Art. 6 Rn. 173) werden eine Reihe von Faktoren aufgelistet, anhand derer beurteilt werden kann, ob die (Weiter-)Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.63 Die aufgeführten Kriterien sind nicht abschließend64 und umfassen etwa den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden (lit. b), sowie die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen (lit. d). Weiterverarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke werden nach Maßgabe des Art. 5 Abs. 1 lit. b Hs. 2 DSGVO privilegiert, indem sie nicht als mit dem ursprünglichen Erhebungszweck unvereinbar angesehen werden. Da diese Ausnahmen das Potenzial haben, das Prinzip der Zweckbindung erheblich auszuhöhlen, sind sie restriktiv auszulegen.65 In der Praxis kann dem Auftreten einer Zweckänderung und den damit einhergehenden Problemen vorgebeugt werden, indem bereits zu Beginn des Verarbeitungsvorgangs eine Reihe konkreter Zwecke festgelegt wird, auf die später zurückgegriffen werden kann.
3. Datenminimierung (lit. c)
27
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein, Art. 5 Abs. 1 lit. c DSGVO. Zur Wahrung dieses Grundsatzes der Datenminimierung muss die Datenverarbeitung nicht auf ein absolutes Minimum beschränkt werden, sondern sie muss lediglich ein dem Verarbeitungszweck angemessenes Niveau aufweisen.66 Wie dieses Niveau im Einzelfall auszugestalten ist, ist vom Verantwortlichen vor Beginn der Verarbeitungstätigkeit anhand einer Verhältnismäßigkeitsprüfung zu bestimmen.67
28
Der Datenminimierungsgrundsatz steht prinzipiell der gängigen Praxis entgegen, Daten nicht nur in einem Hauptsystem, sondern darüber hinaus auch in diversen Nebenakten oder „Schattendatenbanken“ vorzuhalten, also Systemen, auf denen Kopien von Datensätzen jenseits zentral gesteuerter Backup-Routinen gespeichert sind (wie bspw. lokale Kopien, Excel-Datenbanken oder, soweit sie gem. Art. 2 DSGVO dem Anwendungsbereich der Verordnung unterfallen, auch Papierakten). Ob und inwieweit die Datenspeicherung in solchen Schattendatenbanken zulässig ist, ist stets eine Frage des Einzelfalls und in erster Linie davon abhängig, ob eine doppelte Aktenführung – etwa zur ordnungsgemäßen Wahrnehmung der Personalverwaltung – erforderlich ist und mithin gerechtfertigt werden kann. Grundsätzlich ist die Verwendung von Nebenakten und Schattendatenbanken zwar nicht ausgeschlossen, jedoch sollte damit sparsam verfahren werden, da sich sämtliche die Hauptakte betreffende organisatorische Pflichten (beispielsweise Lösch-, Berichtigungs- und Auskunftspflichten sowie die Pflicht zur Implementierung technischer und organisatorischer Maßnahmen) auch auf etwaige Nebenakten erstrecken.68
29
Eine konkrete Ausprägung erfährt der Datenminimierungsgrundsatz durch Art. 25 DSGVO, der den Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zum Gegenstand hat.69 Gemäß Art. 25 Abs. 1 DSGVO ist der Verantwortliche dazu verpflichtet, geeignete technische und organisatorische Maßnahmen – wie beispielsweise die Pseudonymisierung – zur Einhaltung der Anforderungen der DSGVO zu treffen. Diese Maßnahmen müssen für die Wahrung aller Datenschutzgrundsätze ausgelegt sein, wobei die Norm ausdrücklich auf den Grundsatz der Datenminimierung Bezug nimmt. Nach Maßgabe des Art. 25 Abs. 2 DSGVO ist darüber hinaus durch Voreinstellungen sicherzustellen, dass eine Verarbeitung lediglich erfolgt, solange und soweit die personenbezogenen Daten für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Auch hierbei handelt es sich um eine unmittelbare Ausprägung des Grundsatzes der Datenminimierung.70 Demgemäß verstößt es gegen Art. 5 DSGVO, wenn ein Archivsystem keine Möglichkeit bereitstellt, personenbezogene Daten wieder zu löschen.71
4. Richtigkeit (lit. d)
30
Der Verarbeitungsgrundsatz der Richtigkeit erfordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind, Art. 5 Abs. 1 lit. d Hs. 1 DSGVO. Überdies sind gem. Art. 5 Abs. 1 lit. d Hs. 2 DSGVO angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
31
Personenbezogene Daten sind sachlich richtig, wenn die gespeicherte Information mit der Realität übereinstimmt.72 Der Pflicht zur Ergreifung angemessener Maßnahmen zur unverzüglichen Löschung oder Berichtigung unrichtiger Daten nach Art. 5 Abs. 2 lit. d Hs. 2 DSGVO kann der Verantwortliche nur durch regelmäßige aktive Überprüfungen der Richtigkeit seiner Datenbestände effektiv nachkommen.73 Während der Grundsatz sachlicher Richtigkeit vorbehaltlos formuliert ist, müssen personenbezogene Daten nur „erforderlichenfalls“ auch auf dem neusten Stand sein, Art. 5 Abs. 1 lit. d Hs. 1 DSGVO. Dass Daten auf dem neusten Stand sind, ist insbesondere dann nicht erforderlich, wenn es sich um „historische Daten“ handelt, also solche, die unmittelbar mit einem bestimmten Zeitpunkt verknüpft sind:74 Beispielsweise kann es der Zweck der Verarbeitung im Falle der Speicherung von Gesundheitsdaten im Rahmen einer Untersuchung gebieten, dass ebendiese Daten bei einer Änderung des Gesundheitszustands nicht berichtigt werden.75 Umgekehrt kann der Verarbeitungszweck die Aktualität der Daten aber auch wesensnotwendig voraussetzen, wie etwa bei der Speicherung von Zutrittsberechtigungen.76
32
Der Richtigkeitsgrundsatz wird insbesondere durch das Recht der betroffenen Person auf Berichtigung gem. Art. 16 DSGVO näher ausgestaltet.77 Gemäß Art. 16 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Dass das Vorhandensein unrichtiger personenbezogener Daten die einzige „echte“ Tatbestandsvoraussetzung dieses Anspruchs ist, dürfte in der Praxis diverse Fragen aufwerfen. Gerade im Lichte des risikobasierten Ansatzes der DSGVO erscheint es bedenklich, dass in Art. 16 Abs. 1 DSGVO weder eine Erheblichkeitsschwelle vorgesehen ist, noch der Berichtigungsaufwand für den Verantwortlichen Berücksichtigung findet. So könnte beispielsweise ein Verantwortlicher, der ein