DS-GVO/BDSG. David Klein
Чтение книги онлайн.
Читать онлайн книгу DS-GVO/BDSG - David Klein страница 166
![DS-GVO/BDSG - David Klein DS-GVO/BDSG - David Klein Heidelberger Kommentar](/cover_pre1014730.jpg)
241
Fraglich ist auch, wie die Kriterien letztlich zu gewichten sind oder wie damit umzugehen ist, wenn eines der Kriterien nicht erfüllt ist. Insbesondere im Rahmen von Art. 6 Abs. 4 lit. c stellt sich die Frage, ob die Verarbeitung sensibler Daten nach Art. 9 bloß ein Abwägungskriterium oder vielmehr ein Ausschlusskriterium darstellt, dass die Kompatibilitätsprüfung beendet.[468] Der Wortlaut der Norm enthält dahingehend keine eindeutige Aussage. Denn Art. 6 Abs. 4 spricht zwar davon, dass die Kriterien „berücksichtigt“ werden müssen, nicht aber davon, dass auch alle Kriterien eingehalten werden müssen bzw. in für den Betroffenen positiver Weise erfüllt sein müssen. Art. 6 Abs. 4 statuiert insofern eine lediglich eine „Berücksichtigungspflicht“[469], aber keine Verpflichtung des Verantwortlichen diese Kriterien vollständig erfüllen zu müssen.[470] Den Verantwortlichen trifft damit wohl zumindest die Nachweispflicht, dass er sich hinreichend mit den in Art. 6 Abs. 4 genannten Kriterien im Rahmen seiner Kompatibilitätsprüfung auseinandergesetzt hat.[471] Hierfür spricht auch, dass die Kriterien teilweise selbst nur als Beispiele formuliert sind (lit. b und lit. c „insbesondere“; lit. e „wozu (…) gehören kann“).[472] Dies ist auch sinnvoll, da die Norm selbst kein Prüfungsergebnis regulieren will, sondern lediglich die Notwendigkeit und Voraussetzungen des Kompatibilitätstests an sich statuiert.
242
Jedes Kriterium ist vom Verantwortlichen mit Leben zu füllen und die Zulässigkeit des Verarbeitungsvorgangs ergibt sich letztlich anhand einer Gesamtschau der Kriterien. Hierbei ist darauf hinzuweisen, dass lediglich das Letzte der fünf Kriterien überhaupt einen „erfüllbaren“ Status festlegt, nämlich die Tatsache, ob „geeignete Garantien“ bei der Datenverarbeitung vorhanden sind, bspw. Verschlüsselung oder Pseudonymisierung. Aus dem Wortlaut wird hier deutlich, dass dies nicht unter allen Umständen der Fall sein muss, sondern dieser Punkt lediglich in die Vereinbarkeitsprüfung einbezogen werden muss. Umgekehrt ergibt sich daraus gleichfalls, dass eine Vereinbarkeit auch dann noch gegeben sein kann, wenn keine „geeigneten Garantien“ vorhanden sind. Dies kann bspw. der Fall sein, wenn eine Prüfung der anderen vier Kriterien die Erlaubnis einer zweckfremden Vereinbarung in besonderem Maße nahelegt. Die anderen vier Kriterien beschreiben eher einen „Status“ oder bestimmte Umstände eines jeweiligen zweckfremden Verarbeitungsvorgangs. Aus dieser Thematik ergibt sich demnach leider auch die Konturlosigkeit der Vorschrift insgesamt, weil letztlich keine strengen, greif- bzw. messbaren Kriterien für die Vereinbarkeitsprüfung gesetzlich festgelegt wurden, sondern eher unbestimmte, ausfüllungsbedürftige Kriterien. Die Vielzahl wertungsbedürftiger Begriffe erschwert die rechtssichere Entscheidung.[473]
243
Hieraus ergibt sich für den Verantwortlichen in jedem Fall eine Unsicherheit in der Beurteilung der Frage, ob eine zweckfremde Verarbeitung zulässig ist oder nicht. Befindet die verantwortliche Stelle positiv über die Zulässigkeit der Verarbeitung, ist eine ausführliche und gewissenhafte Dokumentation der Prüfungsschritte bis hin zum positiven Ergebnis (aus Sicht des Verantwortlichen), die auch die Gewichtung der einzelnen Kriterien beschreibt, entsprechend Art. 5 Abs. 2 unabdingbar. Andernfalls bleiben die Kriterien lediglich „inhaltslos und dehnbar“.[474] Empfehlenswert ist insoweit eine umfassende Dokumentation, bspw. durch den Datenschutzbeauftragten unter Einbeziehung der betroffenen Fachbereiche in schriftlicher Form (Vermerkform),[475] gegebenenfalls abgezeichnet vom zuständigen Entscheidungsträger im Unternehmen.
aa) Verbindung zwischen den Zwecken (Art. 6 Abs. 4 lit. a)
244
Der