des in der Europäischen Grundrechtecharta288 enthaltenen Prinzips der Zweckbindung gleichkomme.289 Eine isolierte Betrachtung des Absatzes 4 würde dazu führen, dass die angestrebte Harmonisierung über den Umweg der Zweckänderung „ad absurdum geführt werden könnte“.290
a) Zweckänderung ohne Kompatibilitätstest
166
Die hier in Absatz 4 genannten Kriterien sollen bei einem Kompatibilitätstest herangezogen werden, mit dem die Vereinbarkeit des neuen Verarbeitungszwecks mit dem bei der Erhebung angegebenen Zweck geprüft werden muss, um im Falle der Feststellung der Vereinbarkeit eine Zulässigkeit der Weiterverarbeitung begründen zu können – was allerdings nur dann erforderlich ist, wenn nicht schon eine Einwilligung oder eine gesetzliche Erlaubnis für die Weiterverarbeitung mit neuer Zweckbestimmung vorliegt.291
167
Eine gesetzliche Erlaubnis für eine zweckändernde Weiterverarbeitung kann sich aus Art. 6 DSGVO („einer Rechtsvorschrift der Union“) und hierin vornehmlich aus Abs. 1 UAbs. 1 lit. f ergeben. Denkbar sind aber auch außerhalb der DSGVO enthaltene EU-Vorschriften über eine zweckändernde Weiterverarbeitung sowie die ebenfalls aufgeführten Rechtsvorschriften in Mitgliedstaaten. Damit erweist sich Absatz 4 auch als eine Öffnungsklausel zugunsten mitgliedstaatlicher Vorschriften über die Möglichkeiten einer zweckändernden Weiterverarbeitung.292 Deutschland hat davon Gebrauch gemacht und mit den §§ 23, 24 BDSG solche Rechtsvorschriften eines Mitgliedstaats für öffentliche und nichtöffentliche Stellen geschaffen (siehe die Kommentierung zu den §§ 23, 24 BDSG). Rechtsvorschriften, die aufgrund dieser Öffnungsklausel bestehen, müssen aufgrund der Anforderung aus Absatz 4 „eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele“ darstellen.293
168
Die nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorzunehmende Abwägung ist durchaus mit der Kompatibilitätsprüfung unter Berücksichtigung der in Absatz 4 – nicht abschließend – aufgezählten Kriterien vergleichbar.294 Offenbar aufgrund ähnlicher Erwägung wurde die Konstruktion einer fiktiven „hypothetischen“ Neuerhebung vorgeschlagen, bei der für bereits erhobene, vorhandene Daten, für eine Erhebung von Daten aus eigenen Beständen aus internen Quellen eine gesetzliche Erlaubnis aus Art. 6 Abs. 1 DSGVO geprüft wird.295 Diese Anknüpfung an eine (hypothetische) Erhebung ist jedoch gar nicht erforderlich, weil Art. 6 Abs. 1 DSGVO nicht eine Erlaubnis für die Erhebung, sondern allgemein für die Verarbeitung verlangt. Außerdem spricht die DSGVO insbesondere in ErwG 50 davon, dass die Kriterien in Absatz 4 nur dann zur Anwendung kommen sollen, wenn für die Weiterverarbeitung zu einem anderen Zweck keine Einwilligung oder sonstige gesetzliche Erlaubnis vorliegt.296
b) Vereinbarkeitsprüfung („Kompatibilitätstest“) bei fehlender sonstiger Erlaubnis
169
Dagegen wird die Ansicht vertreten, dass eine Erlaubnis nach Absatz 1 für die Weiterverarbeitung zu einem neuen Zweck vorliegen müsse und zusätzlich der Kompatibilitätstest durchzuführen sei (Zwei-Stufen-Theorie).297 Dieser Ansicht ist nicht zu folgen. Vielmehr eröffnet Absatz 4 die Möglichkeit, die rechtmäßig aufgrund einer Erlaubnisgrundlage298 erhobenen Daten auch dann weiterzuverarbeiten, wenn sich für den neuen Zweck keine Erlaubnis aus Art. 6 Abs. 1 DSGVO oder einer sonstigen Vorschrift der Union oder des Mitgliedstaates finden lässt und die Zulässigkeit nur mit einem positiven Ergebnis des „Kompatibilitätstests“ nach Absatz 4 begründbar ist („Ausweitungstheorie“).299 Die Restmenge, nach der ein solcher Kompatibilitätstest angesichts der möglichen Erlaubnis aufgrund einer Interessenabwägung gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO noch bliebe, dürfte gering sein.300 Insgesamt scheint also in der Tat „der Anwendungsbereich der Kriterien schmal“.301 Es wird sich in der Praxis zeigen, für welche Sachverhalte ein Kompatibilitätstest nach Absatz 4 herangezogen wird, für die nicht schon eine Erlaubnis nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO oder nach sonstigen Rechtsvorschriften unmittelbar einschlägig ist.
170
Zunehmend finden in Unternehmen für neue Geschäftsanwendungen Techniken der Business Intelligence Anwendung. Damit sollen in einem operativen System generierte Daten derart aufbereitet werden, dass aus den Daten Schlüsse für Entscheidungen des Managements gezogen werden können.302 Es werden für den Zweck, Managemententscheidungen vorzubereiten, Daten also nicht neu – auf Grundlage eines Erlaubnistatbestands – gewonnen, sondern aus operativ genutzten Datenbanken extrahiert. Die personenbezogenen Daten werden demnach für einen anderen, möglicherweise noch nicht bestimmten Zweck verarbeitet. Ein solches Szenario kann typisch sein für Künstliche Intelligenz mit maschinellem Lernen oder für Big Data-Anwendungen. Ist der Zweck noch nicht bekannt, kann die Zweckänderung nicht auf einen gesetzlichen Erlaubnistatbestand gestützt werden. Ob es ausreicht, die Zweckänderung auf Art. 6 Abs. 4 DSGVO zu stützen, wenn der Zweck nur – wie typischerweise bei Big Data-Anwendungen – unbestimmt umschrieben werden kann (Kundengewinnung; Vorbereitung von Managemententscheidungen), ist nicht abschließend geklärt.303 Für Träger hoheitlicher Gewalt bleibt es bei der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO und dem Ausnahmekatalog für Zweckänderungen des § 23 BDSG (Rn. 154). Eine Vereinbarkeitsprüfung nach Art. 6 Abs. 4 DSGVO ist für eine Datenverarbeitung zur Wahrnehmung öffentlicher Aufgaben kein Weg, um zu einer rechtmäßigen zweckändernden Weiterverarbeitung zu kommen. Dies bestätigt ErwG 50 Abs. 1 Satz 2: „Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird.“ So ist beispielsweise auch die zweckändernde Nutzung von Daten aus dem „Kehrbuch“, die ein bevollmächtigter Bezirksschornsteinfeger als „beliehener Unternehmer“ in Ausübung seiner hoheitlichen Funktion nach § 8 Schornsteinfeger-Handwerksgesetz (SchfHwG) erhebt und verarbeitet, für gewerbliche Zwecke des Handwerkers, beispielsweise für die Bewerbung seiner sonstigen handwerklich-gewerblichen Dienstleistungen als Unternehmer, unzulässig.304 Ob Behörden dann, wenn sie sich bei einer angestrebten zweckändernden Weiterverarbeitung nicht auf eine verfassungsgemäße Rechtsvorschrift stützen können, nicht doch auch eine Kompatibilitätsprüfung vornehmen dürfen, um die Vereinbarung des neuen Zwecks mit dem ursprünglichen, der rechtmäßigen Erhebung zugrunde gelegten Zweck festzustellen, ist aber umstritten.305 Aus verfassungsrechtlichen Erwägungen ist eher Zurückhaltung zu empfehlen.
3. Rechtmäßigkeit der Verarbeitung bei positivem Vereinbarkeitstest
a) Rechtsgrundlage für die zweckändernde Weiterverarbeitung
171
Eine Zweckänderung der Datenverarbeitung – und damit eine Aufweichung der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO306 – von für festgelegte, eindeutige und legitime Zwecke erhobenen Daten ist nach Art. 6 Abs. 4 DSGVO – der inhaltlich der entsprechenden Regelung der DSRl entspricht und nun spezifiziert wurde307 – unter Beachtung der dort genannten Erwägungsbeispiele zulässig. Es lässt sich unterstreichen, dass „der sog. Zweckbindungsgrundsatz ... auch nach der DSGVO keine absolute Geltung“ beanspruchen kann.308 Rechtmäßig ist die Verarbeitung zu einem anderen Zweck allerdings schon dann, wenn dafür eine Einwilligung der betroffenen Person vorliegt oder für die (Weiter-)Verarbeitung ein Erlaubnistatbestand aus einer Rechtsvorschrift der Union oder eines Mitgliedstaates gegeben ist.309 Die Einwilligung in die Verarbeitung zum ursprünglichen Zweck darf aber nicht in eine Einwilligung für den neuen Zweck umgedeutet werden. Die Einwilligung muss sich eindeutig und ohne Zweifel auf den ausdrücklich genannten Zweck der Verarbeitung beziehen.
172
Zu prüfen hat der eine