Zweck der Verarbeitung in der spezifischen Bestimmung festgelegt werden oder der Zweck muss bei einer Verarbeitung nach Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein,274 die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Danach würde es – anders als noch unter dem BDSG a.F.275 – genügen, dass sich aus der Aufgabenbeschreibung einer Vorschrift der Zweck der für die Aufgabenerfüllung erforderlichen Datenverarbeitung ergibt. Die Einschränkung, dass die Bestimmung „eine rechtmäßige und nach Treu und Glauben erfolgende Verarbeitung“ in Übereinstimmung mit den Grundsätzen aus Art. 5 DSGVO – zu denen nach Abs. 1 lit. b gehört, dass die Daten für „legitime Zwecke“ erhoben werden müssen – gewährleisten muss, führt bei Grundrechtseingriffen (Art. 8 GRCh; Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) durch die Verarbeitung hoheitlicher Stellen dazu, dass die fachgesetzliche Bestimmung zur Ausfüllung der Buchstaben c und e den Zweck der Datenverarbeitung präzise benennen muss.276 Danach darf auch unter der DSGVO nicht allein von einer gesetzlichen Aufgabenbeschreibung in einem Fachgesetz bereits auf die Rechtmäßigkeit der Datenverarbeitung geschlossen werden. Es muss erkennbar sein, welchem Zweck die Datenverarbeitung dient und welcher Art die Daten sind, die verarbeitet werden sollen.
157
Die Mitgliedstaaten können aufgrund des Subsidiaritätsprinzips aus Art. 4 und 5 EUV weitgehend selbst bestimmen, was sie als im öffentlichen Interesse liegend betrachten. Für Deutschland gehört dazu beispielsweise die im BDSG geregelten Vorschriften zur Zulässigkeit des Scoring (§ 31 BDSG).277
158
In den Bestimmungen kann geregelt werden, welche Arten personenbezogener Daten für die Zweckerfüllung verarbeitet werden dürfen und welche Personen von der Bestimmung betroffen sind. Außerdem können Regelungen über die Weitergabe und Zweckbindung der Daten enthalten sein. Das erhellt, dass sich die Präzisierung durch Vorschriften der Mitgliedstaaten nicht allein auf den Wortlaut der Buchstaben c und e bezieht, sondern auch spezifische Vorschriften zu anderen Bestimmungen des Kapitels I der DSGVO sowie wegen des klarstellenden Hinweises in Absatz 2 am Ende (sich auf besondere Verarbeitungssituationen beziehende Spezifizierungen) auf Kapitel IX möglich und zulässig sind.278 Die Formulierung in Art. 6 Abs. 3 UAbs. 2 Satz 2 DSGVO, wonach die Rechtsgrundlage spezifische Bestimmungen „zur Anpassung der Anwendung der Vorschriften dieser Verordnung“ enthalten kann, spricht dafür, dass auch spezifische Regelungen zu Bestimmungen in anderen Kapiteln zulässig sind.279
159
Heranziehen können die Erlaubnistatbestände aus den Buchstaben c und e in Verbindung mit den ergänzend in Absatz 3 geregelten Anforderungen nicht nur Behörden und Institutionen des öffentlichen Rechts, sondern auch juristische und natürliche Personen, die im öffentlichen Interesse Aufgaben wahrnehmen. Der eine im öffentlichen Interesse liegende Aufgabe übernehmende Verantwortliche kann nach ErwG 45 eine natürliche oder juristische Person des Privatrechts sein, wie beispielsweise eine Berufsvereinigung. Es müsste dann die Aufgabe allerdings durch das öffentliche Interesse, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt sein. Aus diesem Grund wird die Regelung der Videoüberwachung in § 4 BDSG als nicht mehr von der Öffnungsklausel des Absatz 3 gedeckt angesehen, weil sie nicht nur die Datenverarbeitung im öffentlichen Interesse spezifiziert, sondern diese auch zur Wahrnehmung des Hausrechts (Abs. 1 Nr. 2) und zur Wahrnehmung berechtigter Interessen (Abs. 1 Nr. 3) erlaubt.280
160
Nach UAbs. 2 Satz 1 muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein oder – bei Heranziehung nur von Buchstabe e – für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Beispiele hierfür aus Deutschland sind etwa das Geldwäschegesetz, das dem „Aufspüren von Gewinnen aus schweren Straftaten“ dient und dafür Pflichten u.a. zur Identifizierung von Vertragspartnern vorsieht und spezielle Normen über die Identitätsprüfung enthält, und das Kreditwesengesetz, das im öffentlichen Interesse die „Durchleuchtung“ der wirtschaftlichen Verhältnisse im Interesse der Betrugsprävention zulässt.
161
Zwingend ist auch Abs. 3 UAbs. 2 Satz 3 zu beachten, wonach das Unionsrecht oder das Recht des Mitgliedstaates ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss. Der Satz 3 muss als deklaratorischer Hinweis auf die Beachtlichkeit des Verhältnismäßigkeitsgrundsatzes verstanden werden, wie er sich wegen der Grundrechtsrelevanz des Eingriffs (Art. 8 GRCh) bereits aus Art. 52 Abs. 1 Satz 2 GRCh ergibt.281 Der Hinweis darauf, dass der Zweck „legitim“ sein muss, ist auch hier Anlass für die Überprüfung, ob der angegebene Zweck der hoheitlichen Datenverarbeitung im Einklang mit der Rechtsordnung, vornehmlich den Grundrechten, steht (Rn. 1 Fn. 1).
162
Optional lässt es UAbs. 2 Satz 2 zu, dass die Rechtsgrundlage nähere Bestimmungen zur Ausgestaltung der Rechtsgrundlage enthält. Dabei ist aber der u.a. durch die Grundsätze des Art. 5 DSGVO vorgegebene Rahmen zu beachten, der durch die Rechtsgrundlage nicht ausgehöhlt werden darf.282 Weil in Abs. 2 ausdrücklich erwähnt wird, dass die Mitgliedstaaten vor Wirksamwerden der DSGVO erlassene Bestimmungen beibehalten können, wird zu prüfen sein, ob diese bei Wirksamwerden der DSGVO vorhandenen Vorschriften den Rahmenanforderungen der DSGVO genügen.
163
ErwG 45 erwartet, dass „im Unionsrecht oder im Recht der Mitgliedstaaten geregelt (wird), für welche Zwecke die Daten verarbeitet werden dürfen“. Diese Rechtsvorschriften sollten weiter die allgemeinen Bedingungen der DSGVO zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisieren. Die Empfehlung gibt weiter Anregungen, dass das Recht der Union bzw. des Mitgliedstaates festlegt, „wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt“.
IV. Zweckänderung (Abs. 4)
1. Zweckbindung
164
Art. 5 Abs. 1 lit. b DSGVO enthält als einen die DSGVO prägenden Grundsatz die Zweckbindung einer zulässigen Datenverarbeitung.283 Die Zweckbindung ist nur dann wirksam und kann nicht unterlaufen werden, wenn der Ursprungszweck, wie von der DSGVO verlangt, eindeutig und präzise festgelegt worden war, sodass bei einer Änderung des präzise festgelegten Zwecks die Zulässigkeit der Zweckänderung zu prüfen ist.284 Eine allgemeine, pauschalisierende und zu weiten Interpretationen einladende Zweckbeschreibung würde eine Regelung zur Zweckänderung in Art. 6 Abs. 4 DSGVO und §§ 23, 24 BDSG partiell obsolet machen. Bei der Erhebung eines personenbezogenen Datums dürfen allerdings auch mehrere Zwecke (präzise) festgelegt werden, die alle der betroffenen Person gegenüber transparent zu machen sind (Art. 13 Abs. 1 lit. c bzw. Art. 14 Abs. 1 lit. c DSGVO). Die Zwecke sind im Rahmen der umfassenden Rechenschaftspflicht (Accountability) zu dokumentieren (Art. 5 Abs. 2 DSGVO).
2. Zweckändernde Weiterverarbeitung
165
Art. 6 Abs. 4 DSGVO nennt Kriterien, nach denen eine zweckändernde Weiterverarbeitung (in der DSGVO auch Zweckänderung und Weiterverwendung genannt) – einschließlich der Übermittlung – zulässig ist. Die Kritik an dieser Regelung ist deutlich. Der mit Absatz 4 geschaffenen Zulässigkeit der zweckändernden Weiterverarbeitung fehle „das systematische Konzept“ und es seien „Sinn und Zweck der Vorschrift mehrdeutig“,285 diese sei eine