kk) Zweckänderung bei der Verarbeitung besonderer Kategorien personenbezogener Daten
203
Die Zulässigkeit der Verarbeitung von besonderen Kategorien personenbezogener Daten zu einem anderen Zweck, als für den sie ursprünglich erhoben wurden, ist in Art. 9 DSGVO nicht ausdrücklich geregelt. Nach hier vertretener Auffassung gelten daher auch im Hinblick auf diese Daten die allgemeinen Regelungen des Art. 6 Abs. 4 DSGVO.306 Hierfür sprechen sowohl der Wortlaut von Art. 6 DSGVO als auch die systematische Auslegung der DSGVO. So soll gem. Art. 6 Abs. 4 lit. c DSGVO im Rahmen der Prüfung der Vereinbarkeit des neuen Zwecks mit dem ursprünglichen Zweck die Art der zu verarbeitenden Daten berücksichtigt werden, „insbesondere, ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden“. Diese Regelung wäre schlicht überflüssig, wenn Art. 6 Abs. 4 DSGVO nicht auf besondere Kategorien personenbezogener Daten anwendbar wäre.307
204
Somit dürfen auch besondere Kategorien personenbezogener Daten zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden, weiterverarbeitet werden, wenn eine Rechtsvorschrift der EU bzw. eines EU-Mitgliedstaates dies erlaubt, die betroffene Person in die Zweckänderung eingewilligt hat oder der andere Zweck, für den die Daten weiterverarbeitet werden sollen, mit dem Zweck, für den die Daten erhoben wurden, gem. Art. 6 Abs. 4 DSGVO vereinbar ist (insoweit gelten die Ausführungen unter Rn. 137ff., wobei sich die Erlaubnisnorm bzw. die Einwilligung gerade auch auf besondere Kategorien personenbezogener Daten beziehen muss,308 entsprechend). Allerdings ist im Fall des Kompatibilitätstests aufgrund der Regelung in Art. 6 Abs. 4 lit. c DSGVO ein besonders strenger Maßstab bei der Beantwortung der Frage anzulegen, ob die beiden Zwecke miteinander vereinbar sind. Alternativ kann der Verantwortliche die Daten für die Verarbeitung zu dem neuen Zweck auch noch neu erheben, falls dies datenschutzrechtlich zulässig ist.
Praxishinweis
Möchte ein Unternehmen besondere Kategorien personenbezogener Daten verarbeiten, sollte das Unternehmen vor Beginn der Datenverarbeitung besonders sorgfältig prüfen, für welche Zwecke es die Daten (in der Zukunft) verarbeiten möchte, um dies insbesondere bei der Festlegung der Datenverarbeitungszwecke, der Datenschutz-Folgeabschätzung, der Erfüllung der Datenschutz-Folgeabschätzung und der Formulierung der Einwilligungserklärung berücksichtigen zu können. Hierbei empfiehlt es sich, eher einen (realistischerweise möglichen) Zweck mehr zu prüfen/aufzunehmen als einen zu wenig.
Nationale Regelungen in Deutschland
§ 24 Abs. 2 BDSG: Zweckänderung bei „sensiblen“ Daten
205
Der deutsche Gesetzgeber hat in § 24 Abs. 2 BDSG eine Erlaubnis für die Verarbeitung von besonderen Kategorien personenbezogener Daten zu einem anderen Zweck normiert.
206
Demnach ist die Verarbeitung derartiger Daten zu einem anderen Zweck, als für den sie erhoben wurden, zulässig, wenn die Voraussetzungen des § 24 Abs. 1 BDSG309 und ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO310 oder nach § 22 BDSG311 vorliegen. Es ist mithin nicht wie bei der Zweckänderung auf Basis eines Kompatibilitätstests nach Art. 6 Abs. 4 DSGVO erforderlich, dass der Zweck, für den die Daten weiterverarbeitet werden, mit dem Ursprungszweck vereinbar ist.
207
Es ist allerdings zweifelhaft, ob § 24 Abs. 2 BDSG sämtliche Anforderungen der Öffnungsklausel Art. 6 Abs. 4 DSGVO i.V.m. Art. 23 Abs. 1 DSGVO erfüllt und damit europarechtskonform ist.312 Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Zweckänderung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Verarbeitungen von Daten zu einem anderen Zweck, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.
ll) Spezifische Maßnahmen gem. § 22 Abs. 2 BDSG nur bei Datenverarbeitung auf Basis von § 22 Abs. 1 BDSG bzw. nach Verweis auf § 22 Abs. 2 BDSG
208
Die Pflicht gem. § 22 Abs. 2 BDSG, spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen,313 besteht im Übrigen nur dann, wenn die besonderen Kategorien personenbezogener Daten auf Basis von § 22 Abs. 1 BDSG verarbeitet werden oder eine im konkreten Fall anwendbare Vorschrift im BDSG auf § 22 Abs. 2 BDSG verweist. Zwar könnten die deutschen Datenschutzaufsichtsbehörden – basierend auf einer ebenfalls missverständlichen Gesetzesbegründung314 – so verstanden werden, dass diese Pflicht unabhängig davon bestehe, auf welcher Rechtsgrundlage die Verarbeitung erfolgt,315 so dass diese Pflicht z.B. auch dann eingehalten werden müsste, wenn die Daten auf Basis einer (nur) in Art. 9 Abs. 2 DSGVO enthaltenen Vorschrift verarbeitet werden. Ein solches Verständnis ist angesichts des eindeutigen Wortlauts von § 22 Abs. 2 BDSG jedoch abzulehnen.
9. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten – Art. 10 DSGVO
209
Art. 10 DSGVO ergänzt Art. 6 Abs. 1 DSGVO im Hinblick auf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln.316
210
Damit ein Verantwortlicher derartige Daten verarbeiten darf, muss die Verarbeitung gem. Art. 10 S. 1 DSGVO zunächst nach Art. 6 Abs. 1 DSGVO zulässig sein (es handelt sich bei diesen Daten per se nicht um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO).317 Darüber hinaus legt Art. 10 DSGVO aber noch weitere Voraussetzungen fest. So darf die Verarbeitung derartiger Daten nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht,318 zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
Achtung
Nach Auffassung des EuGH kann die Verarbeitung von Daten, die in den Anwendungsbereich des Art. 10 DSGVO fallen, durch Suchmaschinenbetreiber aber ggf. auch nach Art. 9 Abs. 2 lit. g DSGVO i.V.m. Art. 11 GRCh („Informationsfreiheit“) rechtmäßig sein – und das sogar auch dann, wenn die Anforderungen des Art. 10 DSGVO oder die übrigen Zulässigkeitsvoraussetzungen, wie z.B. aus Art. 5 Abs. 1 lit. c–e DSGVO, nicht erfüllt sind.319 Ggf. können diese Wertungen auch auf Verarbeitungen durch andere Verantwortliche, wie z.B. bestimmte Betreiber von Webseiten, insb. bei journalistischen Inhalten, übertragen werden.320
211
In den Anwendungsbereich von Art. 10 DSGVO fallen allerdings nur Daten, die sich auf den Täter beziehen – Daten, die sich auf das Opfer beziehen, werden hingegen nicht von Art. 10 DSGVO erfasst.321
212
Zudem müssen sich die Daten auf strafrechtliche Verurteilungen und Straftaten322 oder damit zusammenhängende Sicherungsmaßregeln beziehen, damit die zusätzlichen Anforderungen des Art. 10 DSGVO gelten. Hierzu zählen nach der oben bereits genannten Entscheidung