die betroffene Person nicht vorherzusehen war.[501] Insofern ist auch Art. 22 zu beachten, der zeigt, dass dem Profiling eine Sonderrolle zukommt und dementsprechend die betroffene Person ein Recht hat diesem nicht unterworfen zu werden. Sofern der Verantwortliche somit Daten im Rahmen der Ersterhebung verarbeitet und diese später zu Zwecken des Profilings weiterverarbeitet, steht dem Art. 6 Abs. 4 wohl entgegen.
249
Um den Zusammenhang festzustellen, ist somit ein besonderes Augenmerk auf das Verhältnis zwischen Verarbeiter und Betroffenem zu richten, bspw. für den Fall, dass die Zweckänderung im Rahmen eines Kunden- oder Arbeitsverhältnisses stattfindet. In diesem Zusammenhang ist auf die vernünftigen Erwartungen des Betroffenen abzustellen, ob also dieser, bspw. als Kunde oder Arbeitnehmer, mit einer entsprechenden Weiterverarbeitung rechnen konnte oder musste. In eine entsprechende Prüfung einzubeziehen ist eine Überlegung dessen, was üblich und allgemein erwartete Praxis im gegebenen Kontext sowie in der gegebenen (kommerziellen oder anderen) Beziehung wäre.[502] Eine Orientierung an einer gängigen Praxis scheidet gleichwohl dann aus, wenn diese etwa umstritten, unklar oder rechtswidrig ist.[503] Als Faustformel lässt sich daher festhalten: Je unerwarteter oder überraschender die weitere Verwendung ist, desto wahrscheinlicher ist es, dass sie als unvereinbar angesehen wird.[504]
cc) Art der personenbezogenen Daten (Art. 6 Abs. 4 lit. c)
250
Relevant ist nach Art. 6 Abs. 4 lit. c ferner die Art der personenbezogenen Daten, insbesondere, ob besondere Kategorien personenbezogener Daten gem. Art. 9 oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 verarbeitet werden. Aufgrund des weiten Wortlauts können aber auch andere Arten personenbezogener Daten zu berücksichtigen sein, denen eine gesteigerte Schutzwürdigkeit zukommt. Die Art.-29-Datenschutzgruppe benennt als Beispiel etwa Kommunikationsdaten oder Standortdaten und sieht sogar eine etwaige Relevanz für den Fall, dass der Betroffene ein Kind ist oder anderweitig zu einem besonders schutzwürdigen Bevölkerungsteil gehört, wie zum Beispiel Asylsuchende oder ältere Menschen.[505] Letztlich kommt es damit i.R.v. Art. 6 Abs. 4 lit. c auf die Schutzwürdigkeit und den Aussagegehalt der Daten an.[506] Im Ergebnis gilt auch hier die Faustformel: Je sensitiver die Daten, desto geringer die Möglichkeit der Weiterverarbeitung.[507] Teilweise wird hierin gar ein Schwerpunkt der Beurteilung des gesamten Kompatibilitätstests gesehen.[508]
dd) Mögliche Folgen der beabsichtigten Weiterverarbeitung (Art. 6 Abs. 4 lit. d)
251
Ebenso sind gem. Art. 6 Abs. 4 lit. d die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen zu berücksichtigen. Bei der Beurteilung der Folgen der Weiterverarbeitung sind sowohl positive als auch negative Konsequenzen zu berücksichtigen.[509] Dazu gehören auch potenzielle künftige Entscheidungen oder Handlungen Dritter und Situationen, in denen die Verarbeitung zum Ausschluss oder zur Diskriminierung von Personen führen kann.[510]
252
Relevante Folgen können auch durch die Art und Weise, in der Daten weiterverarbeitet werden, auftreten, z.B. ob die Daten von einem anderen Verantwortlichen in einem anderen Kontext mit nicht vorhersehbaren Konsequenzen verarbeitet werden, ob die Daten öffentlich zugänglich gemacht oder auf andere Weise einer großen Zahl von Personen zugänglich gemacht werden oder ob große Mengen von personenbezogenen Daten verarbeitet oder mit anderen Daten kombiniert werden (wie bspw. beim Profiling, gegebenenfalls auch im Falle von Big Data-Anwendungen, wie Scoring, Data Mining oder Smart Cars[511]), insbesondere wenn diese Vorgänge zum Zeitpunkt der Erhebung nicht vorhersehbar waren.[512] Als Faustformel lässt sich hier festhalten: Je höher die Wahrscheinlichkeit ist, dass sich ein Risiko realisiert und dies erhebliche Folgen für die Betroffenen hat, desto unwahrscheinlicher ist es, die Zwecke als kompatibel ansehen zu können. Sofern der Verantwortliche die Folgen der Weiterverarbeitung nicht mit hinreichender Wahrscheinlichkeit prognostizieren oder absehen kann, so ist dies ein Indiz für eine Unvereinbarkeit des Zwecks der Weiterverarbeitung mit dem ursprünglichen Erhebungszweck.[513] Insbesondere vor dem Hintergrund von Big Data-Anwendungen (vgl. dazu ausführlich Rn. 281 ff.), maschinellem Lernen, Anwendungen Künstlicher Intelligenz (KI), Internet of Things und Smart Devices bedeutet die Unabsehbarkeit möglicher Folgen der Weiterverarbeitung für die betroffene Person letztlich eine Begrenzung der möglichen Zwecke einer Weiterverarbeitung.[514]
ee) Vorhandensein geeigneter Garantien (Art. 6 Abs. 4 lit. e)
253
Schließlich ist nach Art. 6 Abs. 4 lit. e das Vorhandensein geeigneter Garantien zu berücksichtigen, wozu Verschlüsselung oder Pseudonymisierung[515] gehören können. Dieser Aspekt berücksichtigt die Tatsache, dass in einer Bewertung nach mehreren Kriterien Defizite auftreten können und diese durch bestimmte Faktoren der Absicherung, insbesondere durch technische und organisatorische Maßnahmen, kompensiert werden können.[516] Dementsprechend können auch Datenisolierung, Datenaggregierung oder sogenannte „Privacy Enhancing Technologies“ für die Abwägung relevant sein. Im Allgemeinen gilt für den Verantwortlichen, dass je eher die Vorgaben (etwa von Art. 25, 32 im Rahmen der Weiterverarbeitung von Daten erfüllt werden und hinreichende technische Schutz- und Sicherungsmaßnahmen getroffen werden, so dass das Schutzniveau der erstmaligen Verarbeitung zumindest nicht unterschritten wird, desto eher werden auch die Zwecke der Weiterverarbeitung mit dem ursprünglichen Erhebungszweck vereinbar sein.[517]
254
Die ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht gerade die Weiterverarbeitung pseudonymisierter Daten für Geschäftsmodelle, die auf der Nutzung von Big-Data-Anwendungen beruhen, als bedeutsam an, da auf diese Weise Big-Data datenschutzkonform ausgestaltet werden könne.[518] Gleichsam führten entsprechende Garantien sogar zu einer „vorsichtigen Privilegierung“ der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten im Big Data-Kontext.[519]
ff) Sonstige Kriterien, insbesondere „Informationspflicht“
255
Wie bereits ausgeführt (vgl. dazu Rn. 240) ist es schwer einzuordnen, welche weiteren Kriterien gegebenenfalls in die Beurteilung einbezogen werden sollten, da die Möglichkeiten hier prinzipiell grenzenlos sind. In diesem Zusammenhang ist auf die Informationspflicht gem. Art. 13 Abs. 3 und Art. 14 Abs. 4 hinzuweisen. Danach müssen Verantwortliche, die beabsichtigen, personenbezogene Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, der betroffenen Person vor dieser Weiterverarbeitung
