nicht abschließend, denn der Wortlaut bezeichnet die genannten als die „unter anderem“ für die Feststellung der Kompatibilität relevanten Kriterien.[462] Fraglich ist zudem, ob es für die Beurteilung der Vereinbarkeit der Zwecke auf die Sicht des Verantwortlichen[463] oder die Sicht der betroffenen Person[464] ankommt. Letztlich sind nach ErwG 50 S. 6 sowie Art. 6 Abs. 4 lit. b und d zumindest auch die Erwartungen der betroffenen Person zu berücksichtigen. Die Entscheidung über eine Vereinbarkeit muss gleichwohl letztlich der Verantwortliche treffen. Es ist zudem nicht unmittelbar ersichtlich, welche weiteren Kriterien nach dem Willen des Verordnungsgebers in die Vereinbarkeitsprüfung miteinbezogen werden sollen. Der nicht abschließende Katalog des Art. 6 Abs. 4 und die Offenheit des Tatbestandes führen damit zu einer erheblichen Rechtsunsicherheit für Verantwortliche und Rechtsanwender.[465] Gleichwohl enthält ErwG 50 S. 6 eine Leitlinie, der die Prüfung der Zulässigkeit der Weiterverarbeitung zu folgen hat. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Personen in Bezug auf die weitere Verwendung ihrer Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob auch hinsichtlich der beabsichtigten Weiterverarbeitung geeignete Garantien bestehen (vgl. ErwG 50 S. 6). Dementsprechend wird bspw. vorgeschlagen, die Tatsache der erweiterten Verarbeitung im Rahmen des dem Betroffenen bekannten Unternehmensgegenstandes mit einzubeziehen oder wie in der Vergangenheit verfahren wurde und ob es Datenpannen oder Beschwerden in nennenswertem Umfang gegeben hat.[466] Hierbei ist allerdings problematisch, dass sich dadurch kaum eine Eingrenzung der möglichen Kriterien vornehmen lässt, da insofern grundsätzlich sämtliche – sowohl unmittelbar als auch mittelbar – mit dem jeweiligen Verarbeitungsvorgang im Zusammenhang stehende Umstände theoretisch berücksichtigt werden könnten. So könnte bspw. zu erwägen sein, zumindest im Falle umfangreicher Datenverarbeitungsvorgänge, zu einem eher entfernten (aber gegebenenfalls immer noch zu vereinbarenden) Zweck auch die finanzielle Ausstattung des Verantwortlichen einzubeziehen, um einem höheren Verstoß- und damit Geldbußerisiko vorzubeugen. Daneben könnten Allgemeininteressen an der Weiterverarbeitung in die Prüfung miteinfließen oder inwieweit Rechte oder Interessen Dritter tangiert werden. Insbesondere im Rahmen von Big Data-Anwendungen und Datenverarbeitungen etwa zur Verbesserung der Sicherheit von Produkten sind derartige Abwägungsparameter bedeutsam. Allerdings verbleibt in jedem Fall das Risiko, dass die Abgrenzung zu „noch einzubeziehenden“ und „bereits irrelevanten“ Kriterien derzeit schwerlich rechtssicher zu treffen sein wird, zumal die DS-GVO hierfür außer dem Katalog des Art. 6 Abs. 4 und ErwG 50 S. 6 keinerlei Anhaltspunkte bietet. In der Praxis sollte daher der Fokus vorrangig auf die fünf in Art. 6 Abs. 4 lit. a–e und ErwG 50 S. 6 bereits enthaltenen Kriterien gelegt werden. Um dem Zweckbindungsgrundsatz nicht auszuhöhlen, ist Abs. 4 grundsätzlich restriktiv auszulegen.[467]
241
Fraglich ist auch, wie die Kriterien letztlich zu gewichten sind oder wie damit umzugehen ist, wenn eines der Kriterien nicht erfüllt ist. Insbesondere im Rahmen von Art. 6 Abs. 4 lit. c stellt sich die Frage, ob die Verarbeitung sensibler Daten nach Art. 9 bloß ein Abwägungskriterium oder vielmehr ein Ausschlusskriterium darstellt, dass die Kompatibilitätsprüfung beendet.[468] Der Wortlaut der Norm enthält dahingehend keine eindeutige Aussage. Denn Art. 6 Abs. 4 spricht zwar davon, dass die Kriterien „berücksichtigt“ werden müssen, nicht aber davon, dass auch alle Kriterien eingehalten werden müssen bzw. in für den Betroffenen positiver Weise erfüllt sein müssen. Art. 6 Abs. 4 statuiert insofern eine lediglich eine „Berücksichtigungspflicht“[469], aber keine Verpflichtung des Verantwortlichen diese Kriterien vollständig erfüllen zu müssen.[470] Den Verantwortlichen trifft damit wohl zumindest die Nachweispflicht, dass er sich hinreichend mit den in Art. 6 Abs. 4 genannten Kriterien im Rahmen seiner Kompatibilitätsprüfung auseinandergesetzt hat.[471] Hierfür spricht auch, dass die Kriterien teilweise selbst nur als Beispiele formuliert sind (lit. b und lit. c „insbesondere“; lit. e „wozu (…) gehören kann“).[472] Dies ist auch sinnvoll, da die Norm selbst kein Prüfungsergebnis regulieren will, sondern lediglich die Notwendigkeit und Voraussetzungen des Kompatibilitätstests an sich statuiert.
242
Jedes Kriterium ist vom Verantwortlichen mit Leben zu füllen und die Zulässigkeit des Verarbeitungsvorgangs ergibt sich letztlich anhand einer Gesamtschau der Kriterien. Hierbei ist darauf hinzuweisen, dass lediglich das Letzte der fünf Kriterien überhaupt einen „erfüllbaren“ Status festlegt, nämlich die Tatsache, ob „geeignete Garantien“ bei der Datenverarbeitung vorhanden sind, bspw. Verschlüsselung oder Pseudonymisierung. Aus dem Wortlaut wird hier deutlich, dass dies nicht unter allen Umständen der Fall sein muss, sondern dieser Punkt lediglich in die Vereinbarkeitsprüfung einbezogen werden muss. Umgekehrt ergibt sich daraus gleichfalls, dass eine Vereinbarkeit auch dann noch gegeben sein kann, wenn keine „geeigneten Garantien“ vorhanden sind. Dies kann bspw. der Fall sein, wenn eine Prüfung der anderen vier Kriterien die Erlaubnis einer zweckfremden Vereinbarung in besonderem Maße nahelegt. Die anderen vier Kriterien beschreiben eher einen „Status“ oder bestimmte Umstände eines jeweiligen zweckfremden Verarbeitungsvorgangs. Aus dieser Thematik ergibt sich demnach leider auch die Konturlosigkeit der Vorschrift insgesamt, weil letztlich keine strengen, greif- bzw. messbaren Kriterien für die Vereinbarkeitsprüfung gesetzlich festgelegt wurden, sondern eher unbestimmte, ausfüllungsbedürftige Kriterien. Die Vielzahl wertungsbedürftiger Begriffe erschwert die rechtssichere Entscheidung.[473]
243
Hieraus ergibt sich für den Verantwortlichen in jedem Fall eine Unsicherheit in der Beurteilung der Frage, ob eine zweckfremde Verarbeitung zulässig ist oder nicht. Befindet die verantwortliche Stelle positiv über die Zulässigkeit der Verarbeitung, ist eine ausführliche und gewissenhafte Dokumentation der Prüfungsschritte bis hin zum positiven Ergebnis (aus Sicht des Verantwortlichen), die auch die Gewichtung der einzelnen Kriterien beschreibt, entsprechend Art. 5 Abs. 2 unabdingbar. Andernfalls bleiben die Kriterien lediglich „inhaltslos und dehnbar“.[474] Empfehlenswert ist insoweit eine umfassende Dokumentation, bspw. durch den Datenschutzbeauftragten unter Einbeziehung der betroffenen Fachbereiche in schriftlicher Form (Vermerkform),[475] gegebenenfalls abgezeichnet vom zuständigen Entscheidungsträger im Unternehmen.
aa) Verbindung zwischen den Zwecken (Art. 6 Abs. 4 lit. a)
244
Der
