id="ulink_060630e8-d3ac-5d8f-a78e-6bf8e6f47b97"> d) Zweckänderung für privilegierte Zwecke
181
Als vereinbar wird es schon nach Art. 5 Abs. 1 lit. b DSGVO angesehen, wenn die Zweckänderung für im öffentlichen Interesse liegende Archivzwecke für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erfolgt (privilegierter Zweck). Von der Kompatibilität mit dem ursprünglichen Zweck wird dann ausgegangen, wobei aber die in Art. 89 Abs. 1 DSGVO geforderten Garantien beachtet werden müssen.317
e) Zweckbindung bei einer Videoüberwachung
182
Eine strenge Zweckbindung findet sich in § 4 Abs. 3 Satz 3 BDSG. Danach dürfen Daten aus der Videoüberwachung nur weiterverwendet werden, wenn die Abwehr von Gefahren für die staatliche und öffentliche Sicherheit oder die Verfolgung von Straftaten dies erfordert.318 In den §§ 23 und 24 BDSG werden auf der Grundlage der Öffnungsklausel des Art. 6 Abs. 4 DSGVO Voraussetzungen für die zweckändernde Weiterverarbeitung durch öffentliche und nichtöffentliche Stellen normiert. § 23 BDSG enthält einen Katalog von Beispielen, nach denen öffentliche Stellen Daten zu einem anderen Zweck im Rahmen ihrer Aufgabenerfüllung weiterverarbeiten dürfen (siehe § 23 Rn. 7ff.). § 24 Abs. 1 BDSG erlaubt nichtöffentlichen Stellen eine Zweckänderung nur, wenn sie 1. zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder sie 2. zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. § 24 Abs. 1 BDSG schränkt die Zulässigkeit der zweckändernden Weiterverarbeitung von besonderen Kategorien personenbezogener Daten weiter ein (siehe § 24 Rn. 6ff.).
V. Rechtsfolgen bei Verstößen
183
Ein Verstoß gegen Art. 6 Abs. 1 DSGVO kann gem. Art. 83 Abs. 5 lit. a DSGVO sanktioniert werden. Das ist der Fall, wenn es für die Verarbeitung personenbezogener Daten keine Erlaubnis durch Einwilligung oder einen gesetzlichen Erlaubnistatbestand gibt. Verstößt eine zweckändernde Datenverarbeitung gegen Art. 6 Abs. 4 DSGVO, so kann diese Rechtsverletzung mit der schweren Sanktion aus Art. 83 Abs. 5 lit. d DSGVO geahndet werden (20 Mio. EUR Bußgeld oder 4 % des Jahresumsatzes des Unternehmens).319
184
Jede betroffene Person kann neben ihren sonstigen Rechten aus der DSGVO wie dem auf Löschung gem. Art. 17 Abs. 1 lit. d DSGVO auch einen Schadensersatz gegenüber dem Verantwortlichen und ggf. dem Auftragsverarbeiter geltend machen, wenn ihr aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstand (Art. 82 Abs. 1 DSGVO).
185
Ein subjektives Recht auf gerichtlichen Rechtsschutz steht der betroffenen Person bei einer Verletzung ihrer Rechte aus der DSGVO (und dem BDSG) durch unerlaubte Datenverarbeitung auch unmittelbar aus Art. 8 GRCh zu. Den Weg zu einem wirksamen gerichtlichen Rechtsbehelf weist Art. 79 Abs. 2 DSGVO, wonach vor dem zuständigen Gericht des Mitgliedstaates, in dem der Verantwortliche bzw. der Auftragsverarbeiter eine Niederlassung hat, zu klagen ist. Die Klage kann auch vor einem Gericht des Mitgliedstaates erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, wenn der Verantwortliche bzw. der Auftragsverarbeiter nicht eine Behörde ist, die in Ausübung ihrer hoheitlichen Befugnisse handelte (Satz 2).
186
Aus der Perspektive der Wettbewerber stellt ein Verstoß gegen die Marktverhaltensregel des Art. 6 DSGVO einen (unlauteren) Rechtsbruch dar (§ 3a UWG), der einen Unterlassungsanspruch begründen kann. Unter den Voraussetzungen des § 2 Abs. 2 Nr. 11 UKlaG kann von einer qualifizierten Einrichtung eine Unterlassung im Wege der Verbandsklage (Art. 80 DSGVO) erhoben werden.
1 Siehe zur „Zur Dogmatik der Datenverarbeitung als Grundrechtseingriff“ mit Erläuterung der für den Datenschutz verfassungsrechtlichen Relevanz von Artt. 7 und 8 GrCh und des für die verfassungsrechtliche Bewertung des BDSG und anderer nationaler Datenschutzvorschriften noch relevanten Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG (Recht auf informationelle Selbstbestimmung) Roßnagel, NJW 2019, 1. 2 Die Verwendung des Terminus „legitim“ sowohl in Art. 8 Abs. 2 Satz 1 GRCh („auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet“) als auch in Art. 5 Abs. 1 lit. b DSGVO weist darauf hin, dass die Rechtsgrundlage selbst verfassungsgemäß sein muss. Die Datenverarbeitung bedarf nicht nur eines Erlaubnistatbestands, sondern es ist zu gewährleisten, dass der Zweck nicht von der Rechtsordnung missbilligt wird; siehe dazu Specht, GRUR Int. 2017, 1040, 1042, m.w.N., sowie pointiert Rost, vorgänge 221/222 (2018), 79, 84f. 3 Zu den hier angesprochenen Regelungen zählen nicht nur Gesetze im formellen Sinn, sondern aufgrund von Art. 88 DSGVO auch weiterhin Betriebsvereinbarungen, siehe jetzt Korinth, ArbRB 2018, 47; Wurzberger, ZD 2017, 258. 4 Siehe aber Sydow, in: Sydow, EU-Datenschutzgrundverordnung, Einl. Rn. 71; Schulz, in: Gola, DS-GVO, Art. 6 Rn. 9; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, Art. 6 Rn. 1 (abschließende und erschöpfende Aufzählung). 5 So eine Mitteilung des BMI, https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html. 6 BGH, Urt. v. 7.7.2020 – VI ZR 246/19, K&R 2020, 830, bestätigt vom BGH, Urt. v. 29.9.2020 –VI ZR 449/19, AfP 2020, 488. 7 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) v. 30.6.2017, BGBl. I, S. 2097. 8 Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) v. 20.11.2019, BGBl. I, S. 1626. 9 Vgl. Schaar, vorgänge 221/222 (2018), 31, 37 („datenschutzrechtlichen Flickenteppich“); Roßnagel, vorgänge 221/222 (2018), 17, 22f. (Ziel, einen soliden, kohärenten, einheitlichen Rechtsrahmen für den Datenschutz in allen Mitgliedstaaten der Union zu bilden, wurde verfehlt); Laue, ZD 2016, 463. Gegen den Vorwurf „Flickenteppich“ wendet sich Greve, NVwZ 2017, 737. 10 Siehe etwa Peifer, PinG 2016, 222, 223. 11 Deshalb bevorzugt Bäcker, in: Wolff/Brink, BeckOK DatenschutzR, § 4 BDSG a.F. Rn. 1, den Begriff „Verbotsgrundsatz“. 12 Masing, NJW 2012, 2305, 2306. 13 Kritisch zur Herausnahme aus dem Anwendungsbereich Gola/Lepperhoff, ZD 2016, 9, 12. 14 BVerfG, Urt. v. 22.2.2011 – 1 BvR 699/06, NJW 2011, 1201, Rn. 59 = BVerfGE 128, 226, 248f. 15 Dagegen vehement Veil, NVwZ 2018, 686, 695, der meint, dass „das Verbot mit Erlaubnisvorbehalt im privaten Bereich zu einem Rechtfertigungszwang grundrechtlich geschützten Verhaltens“ führe: „Kollateralschäden sind alle anderen Grundrechte. Das Datenschutzrecht folgt einer Abschottungslogik, die einseitig zulasten von Meinungs-, Presse-, Informations-, Kunst- und Wissenschaftsfreiheit sowie unternehmerischer Freiheit geht.“ Ähnlich auch Bull, Netzpolitik, S. 136. 16 Für die Beibehaltung bzw. Stärkung des Verbotsprinzips Buchner/Schwichtenberg, GuP 2016, 218, 219; Albrecht, CR 2016, 88, 91; Spindler, DB 2016, 937, 939; Karg, DuD 2013, 75; Weichert, DuD 2013, 246; Buchner, DuD 2016,