um Vertrauen in informationstechnische Systeme aufzubauen und davon ausgehend eine informierte Entscheidung treffen zu können, so ist Transparenz die Grundlage für eine Nachvollziehbarkeit der Funktionsweise von algorithmischen Systemen durch seinen Nutzer.[43] Um diese Nachvollziehbarkeit auf Seiten der betroffenen Person zu erzeugen, werden die dazu notwendigen Informationen benötigt.[44]
35
Transparenz kann zu einer Selbstverpflichtung der datenschutzrechtlich Verantwortlichen führen. Machen sie nach außen transparent, welchen Grundsätzen die Verarbeitung personenbezogener Daten ihrer Systeme unterliegt, werden ihre Systeme dadurch mittelbar sowohl durch die rechtliche Verpflichtung gegenüber den betroffenen Personen als auch durch ihr Vertrauen an diese Grundsätze gebunden.[45]
36
Für betroffene Personen ist oftmals nicht nachvollziehbar und damit intransparent, durch welche Datenverarbeitungen deren Ergebnisse zustande kommen. Ohne die durch den Grundsatz der Transparenz geforderte Nachvollziehbarkeit einer Verarbeitung personenbezogener Daten, ist insbesondere die Verarbeitung personenbezogener Daten durch den Einsatz komplexer Verarbeitungssysteme für die betroffenen Personen nicht klar. Für die betroffenen Personen sind die Systeme und Funktionsweisen solcher Systeme mangels hinreichender Transparenz eine Blackbox[46].
37
In der Praxis dürfte sich diese Intransparenz durch eine dezentrale Datenhaltung der Verantwortlichen überwinden lassen.[47] Indem Nutzer Informationen darüber erhalten, welche Daten durch welchen Verantwortlichen verarbeitet und gespeichert werden, wird für Nutzer transparent, welchen Datenverarbeitungen sie unterliegen und welche Unternehmen zu welchen Zwecken ihre Daten erheben und verarbeiten.[48]
38
Dementsprechend beinhaltet der Grundsatz der Transparenz, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist. Dies fordert Art. 12. Auch ErwG 39 präzisiert das Transparenzgebot. Danach sollte für natürliche Personen Transparenz im Hinblick auf den Umstand bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden. Die Transparenz sollte sich unter anderem auch auf den Umfang der Datenverarbeitung, die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und die Risiken der Verarbeitung beziehen.
39
Besondere Bedeutung kommt dem Transparenzerfordernis in Situationen zu, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik den Betroffenen nicht ohne Weiteres erkennen lassen, ob, von wem und zu welchem Zweck ihn betreffende personenbezogene Daten erfasst werden. Der Grundsatz transparenter Verarbeitung personenbezogener Daten wird von der DS-GVO somit als Gebot verstanden, dass die betroffene Person die Verarbeitung nachvollziehen können muss.[49] Eine Pflicht zu kleinteiligen Information über jedes Detail der Verarbeitung im Voraus folgt aus dem Transparenzgrundsatz nicht.[50]
40
Die inhaltlichen Anforderungen ergeben sich vor allem aus den Informationspflichten der Art. 12[51], 13[52] und 14[53]. Diese gehen über die Angaben zum Verantwortlichen, Zwecken der Verarbeitung Kategorie von Empfängern hinaus (so § 4 Abs. 3 BDSG a.F.), indem grundsätzlich auch eine umfangreiche Information, insbesondere über die Rechte der Betroffenen Person, zu erfolgen hat. Im Rahmen der Informationspflichten ist es nach Ansicht der Art.-29-Datenschutzgruppe sogar notwendig, dass die Transparenzinformationen gegenüber betroffenen Personen regelmäßig aufzufrischen sind. Dies sei auch dann notwendig, wenn sich inhaltlich keine Änderungen ergeben haben.[54] Dem ist entgegenzuhalten, dass betroffene Personen, die keinen Überblick mehr über die Transparenzinformationen haben, sich diesen im Rahmen des Auskunftsersuchens gem. Art. 15 verschaffen können. Sämtliche Betroffene ungefragt in regelmäßigen Abständen mit Informationen zu behelligen, führt lediglich zu „Transparency Fatigue“.[55] Die Informationen würden dann bei tatsächlicher inhaltlicher Änderung gar nicht mehr zur Kenntnis genommen. Zudem erscheint es unbillig, Verantwortliche gem. Art. 83 für etwas haften zu lassen, das in den Art. 13 und 14 nicht vorgeschrieben ist.
41
Erweitert wurde auch das Auskunftsrecht der betroffenen Person (Art. 15). Weitere Konkretisierungen des Grundsatzes der Transparenz finden sich in der Verpflichtung zur Benachrichtigung des Betroffenen von Datenschutzverstößen (Art. 34) und der Veröffentlichung der Angaben zum betrieblichen oder behördlichen Datenschutzbeauftragten (Art. 37 Abs. 7).
42
Wesentliches Ziel von Zertifizierungen der Datenschutzkonformität ist die Transparenz. Nach ErwG 100 sollen Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen ermöglichen, den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen zu ermöglichen. Das Zertifizierungsverfahren ist seinerseits in Art. 42 geregelt. Diese Transparenzpflichten werden auf Grundlage der Öffnungsklausel in Art. 23 konkretisiert bzw. eingeschränkt in den §§ 23–36 BDSG n.F. sowie bei der Videoüberwachung öffentlich zugänglicher Räume in § 4 Abs. 2 BDSG n.F.
III. Zweckbindung, Abs. 1 lit. b (Purpose Limitation)
43
Ein wesentlicher Kern der DS-GVO ist auch der Grundsatz der Zweckbindung. Dieser ergibt sich schon aus Art. 8 Abs. 2 S. 1 der GRCh. Er soll verhindern, dass einmal erhobenen und gespeicherten Daten nicht für beliebige Zwecke weiterverarbeitet werden.[56] Damit begrenzt der Grundsatz der Zweckbindung die Verarbeitungsmöglichkeiten auf einen legitimen, gegenüber der Betroffenen Person informierten, Zweck.
44
Die Verarbeitung muss für „festgelegte“ Zwecke erfolgen. Damit muss die Zweckbestimmung schon zum Zeitpunkt der Datenerhebung festgelegt sein. Die Festlegung bedingt entsprechende Informationspflichten gem. Art. 13 und 14, wonach betroffene Personen über die festgelegten Zwecke zu informieren sind.
45
Eine bestimmte Form ist für die Zweckfestlegung nicht vorgeschrieben. Es ist aber zu berücksichtigen, dass der Verantwortliche nach Art. 5 Abs. 2 die Einhaltung des Zweckbindungsgrundsatzes nachweisen können muss. Eine rein gedankliche Zweckfestlegung wird hierzu nicht ausreichen. Vielmehr muss die Festlegung in einer Weise dokumentiert werden, die es Dritten erlaubt, sie nachzuvollziehen. Geeignet ist hierfür jedenfalls die Dokumentation der Verarbeitungswecke in Schriftform.[57] Sofern
