DS-GVO: Weiterverarbeitung der Daten zu einem anderen Zweck
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Zum gleichen Zeitpunkt tritt das parallel geltende neue Bundesdatenschutzgesetz (BSDG n. F.) in Kraft, in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Die Verarbeitung von Daten zu einem anderen Zweck als zu dem, zu dem sie erhoben worden sind, ist laut der Verordnung beispielsweise nur unter engen Voraussetzungen zulässig. Näheres zu diesen Voraussetzungen erfahren Sie in diesem Praxiswissen
Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber((GENDERNOTICE)) die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.
Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.
Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.
Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.
Sie sind noch kein HBE-Mitglied?
Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?
Weiterverarbeitung zu einem anderen Zweck (Art. 6 Abs. 4, ErwGr 50)
Die Verarbeitung von Daten zu einem anderen Zweck als zu dem, zu dem sie erhoben worden sind, ist nur unter engen Voraussetzungen zulässig.
Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit
Inhalt
Eine Datenverarbeitung zu einem anderen Zweck als dem ursprünglichen Erhebungszweck ist unter folgenden Voraussetzungen zulässig: ((Rechtsgrundlage: Art. 6 (4) ))
- Der Betroffene erteilt seine Einwilligung im Hinblick auf die Datenverarbeitung zu dem neuen Zweck.
- Die Zweckändernde Datenverarbeitung wird durch eine europäische oder nationale Rechtsvorschrift erlaubt.
- Der neue Zweck ist mit dem ursprünglichen Erhebungszweck vereinbar.
Kriterien für die Bewertung, ob die Zwecke miteinander vereinbar sind, sind nach der DS-GVO unter anderem:
- die Verbindung zwischen den Zwecken, ((Rechtsgrundlage: Art. 6 (4 a)))
- der Zusammenhang, in dem die Daten erhoben wurden; es kommt darauf an, ob die betroffene Person vernünftiger Weise erwarten konnte, dass die personenbezogenen Daten auch die dem neuen Zweck verarbeitet werden könnten, ((Rechtsgrundlage: Art. 6 (4 b), ErwGr 50))
- die Art der personenbezogenen Daten; bei Daten nach Art. 9 (besondere Kategorien von Daten) und 10 (Daten über strafrechtliche Verurteilungen und Straftaten) sind – wenn überhaupt – deutlich höhere Anforderungen für eine Weiterverarbeitung zu stellen, ((Rechtsgrundlage: Art. 6 (4 c)))
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person,
- das Vorhandensein geeigneter Garantien, z. B. Verschlüsselung oder Pseudonymisierung ((Rechtsgrundlage: Art. 6 (4 d)))
Diese Kriterien sind so allgemein, dass sie aktuell nur sehr eingeschränkt eine rechtssichere Entscheidung über die Zulässigkeit der Weiterverarbeitung ermöglichen. Angesichts der Formulierung ist nach Auffassung des HDE eine zweckändernde Datenverarbeitung aufgrund eines berechtigten Interesses des Verantwortlichen nicht mehr wie bisher zulässig.((Rechtsgrundlage: Art. 6 (4 e)))
Nach dem BDSG-neu ist eine zweckändernde Datenverarbeitung ergänzend zu folgenden Zwecken zulässig:
- zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit,
- zur Strafverfolgung sowie
- zur Geltendmachung, Ausübung und Verteidigung zivilrechtlicher Ansprüche; ((Rechtsgrundlage: § 24 (1)))
Bei besonderen Kategorien von Daten nach Art. 9 DSGVO muss zusätzlich zu diesen Voraussetzungen ein Ausnahmetatbestand nach Art. 9 Abs. 2 DS-GVO oder nach § 22 BDSG-neu vorliegen.
Form
Im Falle der Erteilung einer (erweiterten) Einwilligung durch den Betroffenen müssen alle Voraussetzungen für eine wirksam erteilte Einwilligung vorliegen. ((Rechtsgrundlage: Art. 7, ErwGr 32, 42.))
Der Betroffene muss in jedem Fall über den neuen Zweck der Verarbeitung und weitere Angaben informiert werden.
- Wenn die Daten ursprünglich direkt beim Betroffenen erhoben worden sind, sind neben dem neuen Zweck die Angaben des Art. 13 Abs. 2 in die Information aufzunehmen. ((Rechtsgrundlage: Art. 13 (3)))
- Wenn die Daten ursprünglich nicht bei der betroffenen Person erhoben worden sind, sondern aus einer anderen Quelle stammen, ist der Betroffene über die Angaben nach § 14 Abs. 2 zu informieren. ((Rechtsgrundlage: Art. 14 (4), Art. 7 (2)))
Handlungsempfehlungen
- Für alle geplanten Datenverarbeitungsvorgänge ist zu beachten, dass bereits erhobene personenbezogene Daten nur unter den neuen Voraussetzungen der Datenschutzgrundverordnung weiterverarbeitet werden dürfen.
- Bei zweckändernden Datenverarbeitungen ist ggfs. eine Kompatibilitätsprüfung durchzuführen.
- Die Informationspflichten bei zweckändernden Datenverarbeitungen sind zu beachten und umzusetzen.
- Ggfs. kann geprüft werden, ob sich zweckändernde Datenverarbeitungen verringern lassen, indem die Daten bereits zu Beginn zu mehreren Zwecken erhoben werden. Bei der Erhebung aufgrund von Einwilligungen ist jedoch zu beachten, dass bei völlig unterschiedlichen Zwecken ggfs. mehrere getrennte Einwilligungen einzuholen sind.
Fußnoten
Ihre Ansprechpartner zu diesem Thema
