In diesem Licht liest sich auch § 48 BDSG, der die „Verarbeitung zu anderen Zwecken“ im Rahmen der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten erlaubt (vgl. dazu ab Rn. 280 ff.). § 48 BDSG befindet sich in Teil 3, den „Bestimmungen für Verarbeitungen zu Zwecken gem. Art. 1 Abs. 1 der Richtlinie (EU) 2016/680“[417] und ist daher nur im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit anwendbar.
3. Normengenese und -umfeld
226
Schon der ursprüngliche Kommissionsentwurf für eine Datenschutz-Grundverordnung[418] sah in deren Art. 6 Nr. 4 die Möglichkeit einer „Weiterverarbeitung“ außerhalb des ursprünglichen Zwecks vor. Danach musste der Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten erhoben wurden, „vereinbar“ sein, andernfalls musste auf die Verarbeitung einer der in Abs. 1 genannten allgemeinen Rechtfertigungsgründe zutreffen. Die Norm unterstellte daher bei grundsätzlicher „Vereinbarkeit“ mit dem Ursprungszweck eine Weiterverarbeitungsbefugnis. Diese Systematik war so grundsätzlich schon in der DSRL 95/46/EG vorgesehen. Gleichwohl enthielt die Version des Berichterstatters eine komplette Streichung des Art. 6 Nr. 4 mit der Begründung, dass für eine Änderung des Zwecks „ohnehin einer der Rechtsgründe gem. Abs. 1 Anwendung finden muss. Auch die DSRL ermöglicht keine Änderung des Zwecks, so dass das Schutzniveau hier beibehalten werden sollte“.[419] Auch die Parlamentsversion sah diesen Passus dementsprechend nicht mehr vor. Die Version des Rates sah daraufhin wieder die ursprüngliche Formulierung der Kommission vor und ging noch darüber hinaus. Danach sollte die Weiterverarbeitung durch denselben für die Verarbeitung Verantwortlichen für nicht konforme Zwecke aufgrund der berechtigten Interessen dieses für die Verarbeitung Verantwortlichen oder eines Dritten rechtmäßig sein, sofern diese Interessen gegenüber den Interessen der betroffenen Person überwiegen. Das Parlament hatte jedoch immer wieder klargestellt, dass es kein Zurück hinter den Schutzstandard und damit insbesondere die Grundsätze der Richtlinie aus dem Jahr 1995 geben dürfe, sodass letztlich die Einigung auf die Kompatibilitätsgesichtspunkte des heutigen Art. 6 Abs. 4 erfolgte.[420]
227
Die Norm ist im engen Zusammenhang mit Art. 5 Abs. 1 lit. b zu lesen.[421] Dieser stellt den Grundsatz der Zweckbindung auf. Die Datenerhebung muss zu festgelegten, eindeutigen und legitimen Zwecken erfolgen und die Weiterverarbeitung muss in einer mit diesen Zwecken zu vereinbarenden Weise geschehen. Insofern stellt Art. 6 Abs. 4 eine Ausnahme zu dieser Regel auf, da dort Voraussetzungen für Verarbeitungen aufgestellt werden, die explizit einem anderen Zweck dienen als dem, zu dem die Daten ursprünglich erhoben wurden.
a) DSRL
228
Der Zweckbindungsgrundsatz wurzelt in Art. 5 lit. b der Konvention Nr. 108 des Europarates.[422] Dieser wurde in abgewandelter Form auch in die DSRL übernommen. Die DSRL bestimmte in ErwG 28, dass die Verarbeitung personenbezogener Daten dem angestrebten Zweck zu entsprechen habe, dafür erheblich sein musste und nicht darüber hinauszugehen habe. Es wurde insbesondere festgelegt, dass die Zwecke eindeutig und rechtmäßig sein müssen und bei der Datenerhebung festgelegt werden müssen. Auch fand sich hier der explizite Hinweis, dass die Zweckbestimmungen der Weiterverarbeitung nach der Erhebung nicht mit den ursprünglich festgelegten Zwecken unvereinbar sein dürfen. Diese Weiterverarbeitung wurde sodann nochmals in ErwG 29 näher erläutert. Dort wurde nämlich die Weiterverarbeitung personenbezogener Daten für historische, statistische oder wissenschaftliche Zwecke als „im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung“ angesehen. Hierfür musste der umsetzende Mitgliedstaat „geeignete Garantien“ vorsehen. Diese müssen insbesondere ausschließen, dass die Daten für Maßnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden. Die wesentlichen Inhalte dieser Erwägungsgründe finden sich auch in Art. 6 Abs. 1 lit. b der DSRL wieder.
b) BDSG a.F.
229
Zentrale Norm im Hinblick auf eine Zweckänderung im BDSG a.F. war § 28 Abs. 2, der die Datenverarbeitung „für einen anderen Zweck“ regelte. Bereits hierin war also eine „Durchbrechung des Zweckbindungsgrundsatzes“ angelegt.[423] Diese Ausnahme beschränkte sich jedoch auf die Übermittlung und die Nutzung, andere Nutzungsarten im Rahmen einer Zweckänderung waren lediglich nach § 28 Abs. 1 BDSG a.F. zulässig. Die geregelten Anwendungsfälle waren auf die Wahrung eigener berechtigter Interessen oder das Vorliegen allgemein zugänglicher Daten sowie auf die Wahrung berechtigter Interessen Dritter, die Gefahrenabwehr sowie die wissenschaftliche Forschung begrenzt. Für die zweckändernde Weiterverarbeitung der öffentlichen Stellen war § 14 Abs. 2 BDSG a.F. die zentrale Norm. Hierin wurden neun Tatbestände geregelt, nach denen bei Vorliegen der entsprechenden Voraussetzungen das Speichern, Verändern oder Nutzen „für andere Zwecke“ als zulässig erachtet wurde. Größtenteils finden sich die dort normierten (Ausnahme-)Tatbestände in der gleichen oder in ganz ähnlicher Form auch im BDSG n.F. wieder.[424]
c) WP der Art.-29-Datenschutzgruppe
230
Die Art.-29-Datenschutzgruppe beschloss im Jahr 2013 ihre – bis dato lediglich in englischer Sprache verfügbare – „Opinion 03/2013 on purpose limitation“ (WP203), die den Grundsatz der Zweckbindung analysiert und Leitlinien für die praktische Anwendung des Grundsatzes im Rahmen des damaligen Rechtsrahmens sowie politische Empfehlungen für die Zukunft formuliert.[425] Im Wesentlichen stellte die Art.-29-Datenschutzgruppe fest, dass der Grundsatz der Zweckbindung aus zwei Hauptbausteinen besteht: Personenbezogene Daten müssen für bestimmte, ausdrückliche und legitime Zwecke erhoben werden („Zweckbestimmung“) und die Daten dürfen nicht „mit diesen Zwecken unvereinbar“ weiterverarbeitet werden, was zu einer „kompatiblen Verwendung“ verpflichtet. Eine etwaige Weiterverarbeitung zu einem anderen Zweck wurde allerdings nicht von vornherein grundsätzlich als inkompatibel bezeichnet, vielmehr stellte die Art.-29-Datenschutzgruppe fest, dass die Kompatibilität von Fall zu Fall beurteilt werden müsse. Eine stichhaltige Kompatibilitätsbewertung erfordere eine Bewertung aller relevanten Umstände. Dabei sollte ein Kriterienkatalog zu Rate gezogen werden, anhand dessen die Kompatibilität beurteilt werden sollte. Dieser Kriterienkatalog entspricht weitestgehend dem heute in der DS-GVO in Art. 6 Abs. 4 befindlichen Katalog. Für die Auslegung der Norm dürften daher die von der Art.-29-Datenschutzgruppe erdachten Ausführungen herangezogen werden können.[426] Eine konkrete Ausarbeitung zum Zweckbindungsgrundsatz nach der DS-GVO existiert bisher nicht. Da die Art.-29-Datenschutzgruppe aber bereits in ihrem WP 203 auf die DS-GVO verwiesen hatte und der von ihr erarbeitete Kriterienkatalog insoweit auch Eingang in die finale Fassung der DS-GVO gefunden hat, ist davon auszugehen, dass sich die Art.-29-Datenschutzgruppe in Zukunft mit diesem Thema noch einmal ausführlicher auseinandersetzen wird. Erste Anmerkungen zum Kriterienkatalog aus Transparenzgesichtspunkten enthalten die „Guidelines on transparency under Regulation 2016/679“ (WP260).[427]
1. Einführung
231
