C. Datenschutzrechtliche Anforderungen an die Datentreuhand: Grundlagen-und Funktions-Layer

Der Grundlagen-Layer folgt im Wesentlichen den Vorgaben des Datenschutzrechts, während für den Funktions-Layer im Rahmen der Zugangs- und Verwaltungs-Treuhand auch die Vorgaben des DGA zu berücksichtigen sind.1 Hinzu kommen jeweils sektorspezifische Vorgaben, die im Rahmen dieses Gutachtens allerdings außer Betracht bleiben.

Für die Datenverarbeitung im Grundlagen- und Funktions-Layer werden zunächst die allgemeinen datenschutzrechtlichen Vorgaben erörtert, d.h. es wird die Eröffnung des Anwendungsbereichs des Datenschutzrechts erläutert, hier also der DSGVO (unter C.I.1.), des BDSG (unter C.I.1.c.1)) und des TTDSG (unter C.I.1.c.2)). Anschließend wird die Rechtfertigung der Datenverarbeitung im Grundlagen- und Funktions-Layer nach der DSGVO geprüft (unter C.I.2.). Darauf folgt die Darstellung der datenschutzrechtlichen Pflichten, die bei dem Einsatz der Datentreuhand einzuhalten sind. Diese Ausführungen sind von zentraler Bedeutung, denn die fehlende Beachtung dieser Pflichten kann zu aufsichtsbehördlichen Sanktionen und zivilrechtlicher Haftung führen (unter C.I.3.). Anschließend werden die Anforderungen des TTDSG an die Datentreuhand dargestellt (unter C.II.).

Dieses Kapitel gliedert sich im Weiteren wie folgt:

I. Anforderungen aus der DSGVO

1. Anwendungsbereich der DSGVO

Der Anwendungsbereich der DSGVO gliedert sich in einen sachlichen und räumlichen Anwendungsbereich, die jeweils im Folgenden unter Einbeziehung des Grundlagen- und Funktions-Layer geprüft werden (unter C.I.1.a. und C.I.1.b.). Anschließend werden die die DSGVO flankierenden Gesetze, hier das BDSG und das TTDSG, in ihren Anwendungsbereichen zur DSGVO abgegrenzt (unter C.I.1.c.).

a. Sachlicher Anwendungsbereich der DSGVO: Verarbeitung personenbezogener Daten

Das Datenschutzrecht ist sachlich anzuwenden, sobald personenbezogene Daten verarbeitet werden. Zugleich besteht mit Eröffnung des sachlichen Anwendungsbereiches der DSGVO oder des BDSG eine zu rechtfertigende Datenverarbeitung. Wann personenbezogene Daten vorliegen, wird im Folgenden zunächst dargestellt und mit datentreuhandtypischen Anwendungsfällen unterlegt (C.I.1.a.1)). Anschließend wird dargestellt, wann eine Datenverarbeitung vorliegt und anhand dieser Ausführungen überprüft, welche Verarbeitungsschritte im Grundlagen- sowie Funktions-Layer unter Berücksichtigung der unterschiedlichen Personenkonstellationen grundsätzlich durchgeführt werden (C.I.1.a.2)).

In Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich der DSGVO wie folgt gefasst:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“.

Diese gesetzlichen Vorgaben werden im Folgenden unterteilt und einzeln mit Blick auf die Datentreuhand geprüft:

1) Personenbezogene Daten

Das Gesetz definiert den Begriff der personenbezogenen Daten (Art. 4 Nr. 1 DSGVO) wie folgt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; […]“.

Die oben genannte gesetzliche Definition von personenbezogenen Daten enthält damit weitere Komponenten, die im Einzelnen zu prüfen sind:

a) Natürliche (lebende) Person

Die Person, auf die sich die Daten beziehen, muss eine „natürliche“ Person sein, d.h. es muss sich um einen lebenden Menschen handeln.2 Die DSGVO gilt damit nicht für die Verarbeitung von Daten, die sich auf Verstorbene oder juristische Personen beziehen, z.B. auf eine GmbH oder AG. Daten juristischer Personen, z.B. den Namen eines Unternehmens wie „AI-Chat-GmbH“, schützt die DSGVO nicht.3 Allerdings können Daten juristischer Personen zugleich personenbezogene Daten sein. Das ist beispielsweise dann der Fall, wenn der Name der juristischen Person zugleich den Namen einer natürlichen Person enthält.4 Reine Sachdaten sind dagegen keine Daten, die sich auf eine natürliche Person beziehen, daher fallen auch sie nicht in den Anwendungsbereich des Datenschutzrechts,5 z.B. „Die Maschine XY kostet 10.000€.“.

Eine Datentreuhand wird unter Einbeziehung ihrer typischen Einsatzgebiete, sei es im Automobil-Sektor oder im Gesundheitsbereich, zumindest auch mit Daten von lebenden Personen umgehen. Diese Personen können lebende Patienten, Arbeitnehmer oder auch KFZ-Halter und -Fahrer oder Beifahrer sein. Sofern Daten in die Datentreuhand gegeben werden, die sich ausschließlich auf Maschinen beziehen und keinen Bezug zu einer natürlichen Person aufweisen, handelt es sich bei diesen um reine Sachdaten6 (z.B. „Die Maschine produziert in 8 Stunden 100.000 Teile.“). Werden daneben aber auch Daten in die Datentreuhand gegeben, die einen Bezug zu natürlichen Personen haben, die beispielweise eine Maschine bedienen, dann liegen wiederum keine Sachdaten vor. Das verdeutlicht das folgende Beispiel: „Die A-Maschine hat am 01.04.2023 in 8 Stunden 100.000 Teile produziert.“ Die Informationen aus diesen Daten beziehen sich zunächst nur auf die Maschine, allerdings ändert sich das, wenn weitere Daten vorliegen, die sich auf eine Person beziehen, z.B. „Frau XY hat am 01.04.2023 8 Stunden an der A-Maschine gearbeitet.“. Aus der Zusammenschau gehen in diesem Fall Daten hervor, die sich (auch) auf eine natürliche lebende Person beziehen,7 nämlich, dass unter der Bedienung von Frau XY die A-Maschine am 01.04.2023 in 8 Stunden 100.000 Teile produziert hat.

b) Identifizierte Person

Für die Eröffnung des sachlichen Anwendungsbereichs müssen darüber hinaus Daten vorliegen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Identifiziert“ ist eine Person dann, wenn ihre Identität unmittelbar aus der Information hervorgeht.8 Die Identifizierung einer Person ist kontextsensitiv, d.h. sie kann einerseits weltweit für jedermann bestehen (z.B. „Beyoncé Knowles ist eine Sängerin.“), andererseits kann sie auch nur in einem bestimmten Umfeld bestehen,9 z.B. gegenüber einem Arbeitgeber oder einer Gesundheitsklinik.

(1) Identifizierung am Beispiel von Arbeitnehmer-, Patienten- und Nutzerdaten

Aus dem Kontext kann sich die Identifizierung einer Person dann ergeben, wenn beispielsweise in einem Unternehmen Personen arbeiten, die jeweils individuelle Namen haben, dann ist die Person „Thomas Müller“ – auch wenn dieser Name deutschlandweit zahlreich existiert – gegenüber dem Arbeitgeber direkt identifiziert. Existieren mehrere Personen mit dem gleichen Namen im Unternehmen, so besteht die Identifizierung weiter auch, wenn die konkrete Person unter Nennung einer weiteren Information unmittelbar individualisiert ist, z.B. weil die Person in einem Arbeitsplan eingetragen ist („Thomas Müller arbeitet um 8 Uhr bei der XY GmbH.“). Gleiches gilt für Patienten, die mit Namen und Geburtsdatum in Patientenakten vermerkt sind,10 auch sie sind identifizierte Personen gegenüber der Arztpraxis.

Verschafft ein Dateninhaber als Datentreugeber, hier z.B. ein Wirtschaftsunternehmen oder eine Gesundheitsklinik, dem Datentreuhänder Daten, die eine unmittelbare Identifizierung von Arbeitnehmern oder Patienten ermöglichen, dann sind diese Personen nicht nur gegenüber dem Datentreugeber, sondern auch gegenüber dem Datentreuhänder direkt identifizierte Personen. Die diese Personen betreffenden Daten sind damit, sofern keine entgegenstehenden Umstände bestehen, personenbezogene Daten.

Verschafft eine betroffene Person als Datentreugeber dem Datentreuhänder Zugang zu den sie betreffenden personenbezogenen Daten, so ist in diesem Verhältnis zu berücksichtigen, dass zwischen ihnen grundsätzlich ein Nutzer-Diensteanbieter-Verhältnis besteht. Bei einer webbasierten Nutzung der Datentreuhand, in welcher Funktion sie auch immer genutzt wird, wird grundsätzlich das Herstellen eines Accounts mit Angaben wie dem Namen gefordert, die die Identifizierung des Nutzers11 als betroffene Person zur Folge haben. Die in diesem Verhältnis verarbeiteten Daten sind also personenbezogene Daten gegenüber dem Datentreuhänder.

(2) Identifizierung am Beispiel von Bilddaten aus kamerabasierten Technologien

Identifiziert sein kann eine Person auch ohne Angabe ihres Namens, z.B., wenn Bildaufnahmen vorliegen, die sie als Person klar erkennen lassen.12 Je nach Qualität und Umfang der Bildaufnahme kann dagegen eine Identifizierbarkeit oder aber auch kein Personenbezug bestehen.13 Die Identifizierung von natürlichen Personen anhand von Bildaufnahmen ist insbesondere in solchen technischen Konstellationen relevant, in denen mit kamerabasierten Technologien gearbeitet wird, z.B. beim (teil-)autonomen Fahren, bei (teil-)autonom arbeitenden Robotern oder bei Augmented-Reality-Funktionen in Fahrzeugen.14 In diesem Fall können sowohl die die Technologie nutzenden Personen sowie auch die sich im Umfeld der Technologie sich befinden Personen die betroffenen Personen sein.

Im Grundlagen- und Funktions-Layer ist bei der Identifizierung natürlicher Personen anhand von Bildaufnahmen zu differenzieren: Gegenüber dem Datentreuhänder ist die Identifizierung von natürlichen Personen anhand von Bildaufnahmen grundsätzlich dann gegeben, wenn der Datentreuhänder nach Vereinbarung, technisch oder in sonstiger Weise faktisch Zugang zu den Rohdaten, also zu dem Bildmaterial, hat. Aber auch die aus den Bilddaten gewonnenen Daten können auch ohne Vorliegen der Rohdaten immer noch personenbezogene Daten enthalten. Diese Frage muss mit Blick auf das konkrete Einsatzfeld der Datentreuhand und des Umfangs und Qualität der (Bild-)Daten im Einzelfall bestimmt werden.

(3) Identifizierung am Beispiel von KFZ-Daten

Der Kunde, der bei einem Hersteller eines vernetzten KFZ ein Kundenkonto anlegt, ist dem Hersteller gegenüber grundsätzlich eine direkt identifizierte Person, wenn er selbst ausschließlich auch Fahrer des KFZ ist, da für das Anlegen des Kontos die Stammdaten, insbesondere Klarnamen des Kunden, erhoben werden.15 Die Daten, die dann im Zusammenhang mit der Nutzung des KFZ entstehen, wie z.B. Daten über das Fahrverhalten, sind dann sämtlich personenbezogen.16 Besteht kein solches Konto, so besteht in diesem Fall regelmäßig die Identifizierbarkeit des Halters.17

Fahren neben dem Kunden weitere Personen das KFZ, so ist weiter zu differenzieren, ob die weiteren Fahrer ebenfalls Kundenkonten haben, denn dann sind sie ebenfalls direkt identifizierte Personen gegenüber dem Hersteller.18 Haben sie kein Kundenkonto, so kann in diesem Fall dennoch eine Identifizierung vorliegen, wenn jedenfalls kamerabasierte Funktionen im Innenraum bestehen.19 Ohne kamerabasierte Funktionen im Innenraum kann aber auch die Identifizierbarkeit der Personen bestehen, weil die fahrende Person grundsätzlich über den Halter ermittelt werden kann.20 Zudem ist im Einzelnen nach diesen genannten Kriterien noch zu differenzieren, ob die Beifahrer ebenso identifizierte oder identifizierbare Personen gegenüber dem KFZ-Hersteller sind.

Werden KFZ-Daten in der oben dargelegten Weise mit dem Namen sowie ggf. weiteren Informationen des Kunden in die Datentreuhand gegeben, so ist auch hier zu differenzieren, wer diese Daten in die Datentreuhand gibt. Auch hier kann der Datentreugeber sowohl der Kunde, der eine betroffene Person ist, als auch der KFZ-Hersteller sein, der hier Dateninhaber ist:

Gibt der Dateninhaber, hier der KFZ-Hersteller, die Account-Daten des Kunden in die Datentreuhand, dann ist der Kunde nicht nur gegenüber dem KFZ-Hersteller eine direkt identifizierte Person, sondern auch gegenüber dem Datentreuhänder. Gibt er nicht die Konto-Daten weiter, sondern einen eingegrenzten Datenbestand ohne Konto-Daten, so kann dennoch eine Identifizierbarkeit des Kunden bestehen, da der Kunde jedenfalls über den Hersteller gegenüber dem Datentreuhänder identifiziert werden kann.21

Gibt der KFZ-Kunde selbst als betroffene Person die Daten in die Datentreuhand, so wird auch hier regelmäßig durch die Herstellung des Nutzerkontos die Identifizierung des Kunden gegenüber dem Datentreuhänder bestehen.

Die übrigen Personen, wie weitere Fahrer sowie Beifahrer, können in beiden Konstellationen unter Zugrundelegung der obigen Ausführungen entweder direkt identifizierte oder aber identifizierbare Personen sein, sodass in beiden Fällen grundsätzlich vom Vorliegen personenbezogener Daten auszugehen ist. Für das Ergebnis ist daher die konkrete Einordnung, ob eine Identifizierung oder Identifizierbarkeit einer Person besteht, nicht relevant, denn das Datenschutzrecht ist in beiden Fällen sachlich anzuwenden.

c) Identifizierbare Person

Personenbezogene Daten liegen aber auch dann bereits vor, wenn die natürliche Person „identifizierbar“ ist. Wann eine Person „identifizierbar“ ist, ergibt sich aus Art. 4 Nr. 1 DSGVO:

[…] als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; […]“.

Erwägungsgrund 26, S. 4 und S. 5 DSGVO, die im Rahmen der Auslegung von Art. 4 DSGVO zu berücksichtigen sind, bestimmen:

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

Der EuGH hat im sog. Breyer-Urteil22]] diese Anforderungen weiter konkretisiert. Der Sachverhalt bezog sich zum Zeitpunkt der Entscheidung auf den damals geltenden Art. 2 Buchst. a RL 95/46, der im Wesentlichen durch Art. 4 Nr. 1 DSGVO übernommen wurde. Im Urteil heißt es:

[…] Nach alledem ist auf die erste Frage zu antworten, dass Art. 2 Buchst. a RL 95/46 dahin auszulegen ist, dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. […]“.

Um festzustellen, ob eine natürliche Person identifizierbar ist, sind also alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Die rein hypothetische Möglichkeit zur Identifizierung der Person reicht nicht aus, um die Person als identifizierbar anzusehen.23 Es muss eine faktische Möglichkeit zur Identifizierung bestehen.[^30] Allerdings muss die für die Datenverarbeitung verantwortliche Person nicht bereits gegenwärtig über Mittel der Identifizierung verfügen.24 Allerdings muss die für die Datenverarbeitung verantwortliche Person nicht bereits gegenwärtig über Mittel der Identifizierung verfügen. Nach Rechtsprechung des EuGH sind z.B. dynamische IP-Adressen gegenüber dem Webseitenanbieter personenbezogene Daten, da dieser bei Verdacht einer rechtswidrigen Handlung über einen Auskunftsanspruch gegenüber dem Netzwerkanbieter verfügt, also konkret die Herausgabe des Klarnamens und der Adressdaten des Netzwerkkunden verlangen kann. Solche Auskunftsansprüche bestehen gesetzlich im Falle der Verletzung von geistigem Eigentum, z.B. in § 21 Abs. 2 TTDSG, können aber auch in unzähligen anderen Konstellationen bestehen, z.B. bei gesetzlichen Auskunftsansprüchen wie aus §§ 241 Abs. 2, 242 BGB.25 Zu diesen Mitteln, die die Identifizierbarkeit einer Person herstellen können, gehören auch technische und faktische Mittel, z.B. technische Zugriffsmöglichkeiten auf Server, auf die weitere Informationen gespeichert sind, die die Identifizierung einer Person ermöglichen. Es kann auch das Zusatzwissen Dritter herangezogen werden. Die Identifizierbarkeit ist nach dem EuGH nur dann nicht gegeben, wenn die Mittel für die Identifizierung der betreffenden Person gesetzlich verboten oder eine Identifizierung praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko einer Identifizierung de facto vernachlässigbar ist.26 Der Begriff der Identifizierbarkeit und damit des Personenbezugs ist sehr weit. Insbesondere ist es nicht erforderlich, dass der Dateninhaber selbst den Betroffenen identifizieren können muss. Es reicht vielmehr, wenn dies ein Dritter tun kann.

Unter Berücksichtigung dieses weiten Verständnisses ist im jeweiligen Kontext der Datentreuhand, insbesondere im Hinblick auf die durch die Datentreuhand zu erfüllende Funktion, zu überprüfen, ob im konkreten Fall personenbezogene Daten vorliegen.

Bei KFZ-Daten, die ein Dateninhaber als Datentreugeber in die Datentreuhand gibt, können sowohl Halter als auch Fahrer über einen Auskunftsanspruch des Datentreugebers ermittelt werden, wenn aus Sicht des Datentreuhänders im konkreten Kontext der Verdacht einer rechtswidrigen Handlung besteht. Daneben besteht auch dann die Identifizierbarkeit des Fahrzeughalters, wenn die Fahrzeug-Identifizierungsnummer oder das KFZ-Kennzeichen27 in die Datentreuhand gegeben wird.

Bei Umgebungsdaten, die durch Datentreugeber in die Datentreuhand gegeben werden, liegen personenbezogene Daten vor, wenn Bilddaten als Rohdaten in die Datentreuhand gegeben werden oder der Datentreuhänder in sonstiger Weise auf Bilddaten Zugriff haben könnte, auf denen die Personen im Umfeld erkennbar28 oder aber KFZ-Kennzeichnen anderer Fahrzeuge im Umfeld des Fahrzeugs enthalten sind.29 Gleiches gilt im Kontext von kamerabasiert arbeitenden Maschinen, in deren Umfeld sich Arbeitnehmer befinden.

d) Keine Anwendbarkeit der DSGVO ab dem Zeitpunkt der Anonymisierung

Ab dem Zeitpunkt einer Anonymisierung der Daten besteht kein Personenbezug mehr, weshalb die DSGVO ab diesem Zeitpunkt nicht mehr auf die betreffenden Daten anzuwenden ist.30 Konkrete Vorgaben enthält die DSGVO für die Anonymisierung nicht. Es reicht jedoch in der Regel nicht aus, allein die direkten Identifizierungsmerkmale, z.B. den Namen, zu entfernen.31 Für eine Anonymisierung ist es notwendig, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht möglich ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und/oder Arbeitskraft wiederhergestellt werden kann.32 Zudem ist die Überprüfung der Anonymisierung auf ihre Validität wohl zumindest derzeit eine fortwährende Aufgabe des Verantwortlichen, da insbesondere die verfügbaren Technologien zum Zeitpunkt der Verarbeitung sowie die Entwicklung von Technologien bei der Feststellung der Re-Identifizierungsmöglichkeit zu berücksichtigen sind. Eine Checkliste wie sie etwa das „The HIPAA Journal für den Health Insurance Portability and Accountability Act“ (HIPAA) in den USA vorgibt, nach der die Entfernung von festgelegten Merkmalen aus einem Datensatz zur Anonymisierung führt, ist unter der DSGVO jedenfalls so pauschal nicht möglich.33

Werden Daten in die Datentreuhand gegeben, die praktisch nur unter einem unverhältnismäßigen Aufwand einer konkreten Person zugeordnet werden können, dann findet das Datenschutzrecht keine Anwendung34 mehr. Das kommt im Verhältnis zwischen Dateninhaber und Datentreuhänder in denkbar vielen Konstellationen in Betracht und kann allein kontextbezogen beurteilt werden. Ein Beispiel sind Patientendaten, die aus der (elektronischen) Patientenakte derart entnommen werden, dass weder Patientennummer, Versicherungsnummer, Name oder sonstige Merkmale fortbestehen, die auf den konkreten Patienten rückschließen lassen.35 Stets ist allerdings der isolierte Datensatz zu betrachten. Denn je nach Besonderheit der Krankheit oder Individualität des Befundes, kann bereits diese/r allein den Rückschluss auf einen Patienten erlauben, z.B. ein Patient, der eine weltweit extrem seltene Krankheit hat oder eine besondere Tumorformation aufweist, die z.B. in einem MRT-Bild nahezu einmalig ist.

2) Identifikation der Verarbeitungsschritte

Liegen personenbezogene Daten vor, ist als nächstes zu fragen, ob und inwieweit sie im Grundlagen- und Funktions-Layer der Datentreuhand verarbeitet werden. Dafür wird im Folgenden zunächst dargestellt, was die DSGVO unter dem Begriff der Verarbeitung versteht (unter B. I. 2. B. 1)). Anschließend werden sämtliche Verarbeitungsschritte im Grundlagen- und Funktions-Layer unter Heranziehung der möglichen Personenkonstellationen identifiziert (unter B. II. 2. 3)).

a) Begriff der Verarbeitung

Die DSGVO definiert den Begriff der Verarbeitung in Art. 4 Nr. 2 DSGVO wie folgt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: […] 2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]“.

Die gesetzliche Definition enthält damit folgende zwei Komponenten:

b) Verarbeitung mit oder ohne Hilfe automatisierter Verfahren

Das Gesetz unterscheidet zwischen Verarbeitung mit und ohne Hilfe automatisierter Verfahren. Unter automatisierten Verfahren ist die Verarbeitung von Daten mit technischen Hilfsmitteln, insbesondere mit Datenverarbeitungsanlagen, zu verstehen.36 Jeder computergestützte Umgang mit personenbezogenen Daten ist daher ein automatisiertes Verfahren im Sinne des Gesetzes.

Die typischerweise rechnergestützten Vorgänge im Grundlagen-Layer, unabhängig davon, ob eine dezentrale oder zentrale Speicherung vorliegt, fallen damit unter den Begriff des automatisierten Verfahrens. Im Grundlagen-Layer einer Datentreuhand finden damit grds. allein automatisierte Verarbeitungen statt.

c) Ausgeführter Vorgang

Unter dem im Gesetz genannten Begriff des „Vorgangs“ ist jeder Umgang mit personenbezogenen Daten zu verstehen.37 Wie sich aus den Beispielen des Art. 4 Nr. 2 DSGVO ergibt, ist das Löschen, die Offenlegung durch Übermittlung, die Auswertung oder die Speicherung von Daten unter einen solchen Vorgang zu fassen. Die konkrete Einordnung der Verarbeitungsart ist seit Geltung der DSGVO nicht mehr von zentraler Bedeutung,38 insbesondere, weil die Verarbeitungsarten nur beispielhaft aufgezählt sind. Vielmehr ist es entscheidend, zu identifizieren, ob überhaupt ein Umgang mit personenbezogenen Daten vorliegt. Vergegenwärtigt man sich exemplarisch die Verarbeitungsschritte im Grundlage-Layer am Beispiel einer (elektronischen) Patientenakte, bestehen zahlreiche Schritte im Umgang mit den personenbezogenen Daten, die jeweils rechtfertigungsbedürftig sind. Wird etwa eine Patientenakte in einer Arztpraxis angelegt, so ist das Anlegen der Akte eine „Erhebung“ personenbezogener Daten. Das „Behalten“ der (digitalen) Akte mit den sich in ihr befindenden Daten ist sodann die Speicherung personenbezogener Daten. Gibt die Praxis die Daten des Patienten nach einer Behandlung an die Versicherung oder an eine sonstige dritte Stelle weiter, so handelt es sich dabei um eine Übermittlung personenbezogener Daten. Aus Sicht der Versicherung oder der dritten Stelle besteht zugleich eine Erhebung personenbezogener Daten, wenn auf diese zugegriffen wird.

3) Verarbeitungsschritte im Grundlagen- und Funktions-Layer

Relevant mit Blick auf die verschiedenen Verarbeitungsschritte ist einerseits die Frage, ob die Daten zentral oder dezentral gespeichert werden, und andererseits die Frage, durch welche Person die Datenverarbeitung erfolgt. Beide Aspekte sollen nachfolgend vertieft werden.39 Erfüllt die Datentreuhand nicht nur eine Modell-Funktion, sondern mehrere, so liegen zusätzlich diejenigen Verarbeitungsschritte vor, die sich auf die weitere Funktion beziehen und müssen entsprechend gerechtfertigt werden.

a) Zentrale oder dezentrale Datenspeicherung

Die Daten können einerseits zentral auf den Servern des Datentreuhänders gespeichert werden, und andererseits dezentral bei den Datentreugebern. Im letztgenannten Fall dient der Server der Datentreuhand der Speicherung von Metadaten oder der Speicherung von Auswertungsergebnissen der dezentral gespeicherten Daten. Auch können die Daten vorübergehend, beispielsweise zum Zwecke der Weiterübermittlung (denkbar z.B. in Fällen der „Einwilligungstreuhand“), in der Datentreuhand gespeichert und anschließend wieder gelöscht werden.40

b) Verhältnis zwischen Datentreugeber und Datentreuhänder

Der Datentreugeber kann wie bereits dargestellt eine betroffene Person oder ein Dateninhaber sein, der dem Datentreuhänder, unabhängig von der konkreten Funktion der Datentreuhand im Funktions-Layer, Zugang zu personenbezogenen Daten verschafft. Im Verhältnis zwischen dem Datentreugeber und dem Datentreuhänder ist bei den einzelnen Verarbeitungsschritten wie folgt zu unterscheiden:

(1) Übermittlung oder Bereitstellung

Bevor es zu einer Verarbeitung – zunächst in welcher Form auch immer ­– durch den Datentreuhänder kommen kann, muss der Zugang zu den Daten durch den Datentreugeber geschaffen werden. Dieser Zugang lässt sich datenschutzrechtlich als eine Offenlegung durch Übermittlung oder durch Bereitstellung einordnen.

„Offenlegung“ bezeichnet den Vorgang, Dritten Kenntnis oder die Möglichkeit der Kenntnisnahme zu verschaffen. „Übermittlung“ ist die gezielte Weitergabe von Daten an einen oder mehrere Empfänger.41 Verschafft der Datentreugeber dem Datentreuhänder Zugang zu Daten, so wird es sich i.d.R. um eine solche Übermittlung handeln. Darüber hinaus ist aber auch eine Offenlegung durch sonstige Bereitstellung von personenbezogenen möglich. Die „Bereitstellung“ meint eine passive Form der Offenlegung, die anderen ermöglicht, durch eigenes Tätigwerden auf die Daten zugreifen zu können.42 Die Bereitstellung kommt hier u.U. ebenfalls in Frage, wenn die Daten weiter in der Sphäre des Datentreugeber bleiben und hierauf basierend weitere Verarbeitungsschritte des Datentreuhänders erfolgen sollen.

(2) Erhebung durch Datentreuhänder

Sollen die Daten nach Verschaffung des Zugangs in die Sphäre des Datentreuhänders gelangen, so kommt eine Erhebung in Frage. Das „Erheben“ bezeichnet einen Vorgang, durch den solche Daten durch aktives Tun des Verantwortlichen erstmals in dessen Verfügungsbereich gelangen.43 In diesem Fall ist dann die Erhebung der personenbezogenen Daten durch den Datentreuhänder ein zentraler zu rechtfertigender Verarbeitungsschritt.

(3) Auslesen und Abfragen personenbezogener Daten durch Datentreuhand

Der Zugriff auf personenbezogene Daten durch den Datentreuhänder kann je nach faktischer Ausgestaltung aber auch ein Auslesen und/oder Abfragen personenbezogener Daten sein. Das kommt dann in Frage, wenn personenbezogene Daten in der Sphäre des Datentreugebers bleiben, diese jedoch durch den Datentreuhänder zielgerichtet weiterverarbeitet werden sollen. Das „Auslesen“ bezeichnet den Vorgang, ein auf einem Datenträger gespeichertes Datum zielgerichtet konkret zur Kenntnis zu nehmen.44 Das „Abfragen“ bezeichnet den Vorgang, einen Datenträger oder einen physikalisch oder logisch abgegrenzten Teil davon zielgerichtet nach bestimmten Kriterien zu durchsuchen und von den gefundenen Daten („Abfrageergebnis“) konkret Kenntnis zu nehmen.45

Dieses Auslesen und Abfragen erfolgt dann durch das Verarbeitungssystem des Datentreuhänders, der zur Umsetzung der Datentreuhand die technischen Mittel hat und diese verwendet. Häufig wird sowohl das Auslesen als auch Abfragen vorliegen, da beide Verarbeitungsschritte per Definition und auch faktisch eng miteinander verknüpft sind.

(4) Speicherung durch Datentreuhänder

Bei einer zentralen Speicherung im Grundlagen-Layer liegt auch der Vorgang der „Speicherung vor. Das „Speichern“ bedeutet die Fixierung von Daten in einem geeigneten Medium für eine gewisse Dauer.

Nach der Übermittlung, Bereitstellung oder Erhebung der personenbezogenen Daten erfolgt in dieser Konstellation auch ihre Speicherung, also das Behalten der Daten in der Sphäre des Datentreuhänders für eine gewisse Dauer. Entscheidend ist zunächst die Identifizierung des Verarbeitungsschritts,46 die eine von der Erhebung zu unterscheidende Verarbeitung ist.

(5) Modifizierende Verarbeitung durch Mehrwert-Treuhand

Nachdem dem Datentreuhänder die personenbezogenen Daten übermittelt oder bereitgestellt worden sind, finden bei der Mehrwert-Treuhand weitere Verarbeitungen statt. Diese Verarbeitungsschritte sind von dem Umfang des konkreten Leistungsangebots abhängig, das der Datentreuhänder anbietet. Hierzu kann die Analyse, die Pseudonymisierung, die Anonymisierung oder die Aufbereitung zählen. Solche Verarbeitungsschritte finden statt, bevor dem Datennehmer der Zugang zu den modifizierten Daten verschafft wird.

Zur Vereinfachung modifizierender Verarbeitungen, wie z.B. der Analyse, kann das vorherige Ordnen der personenbezogenen Daten nach bestimmten Kriterien erforderlich sein. Die Organisation und das Ordnen von Daten stellen Vorgänge dar, durch die Möglichkeiten zur Auffindung und Auswertung dieser Daten vereinfacht oder verbessert werden, indem sie beispielsweise in einer in bestimmter Weise aufgebauten Datei oder Datenträger gespeichert werden.47 Das Ordnen stellt eine Unterkategorie des allgemeineren Begriffs der Organisation dar. Der Begriff des Ordnens stellt auf ein konkretes Kriterium ab, nach dem jeweils die Daten geordnet werden, z.B. nach alphabetischer Reihenfolge.48

Die Analyse und Auswertung von Daten sind als Verarbeitungsarten in der DSGVO nicht ausdrücklich erwähnt. Sie fallen jedoch unter den Begriff der „Verwendung“, worunter jede Form der Datenverarbeitung zu fassen ist, die in der DSGVO nicht ausdrücklich erwähnt wird.49 Darunter sind alle Arten zweckgerichteten Gebrauchens von personenbezogenen Daten zu verstehen.50 Dient die Mehrwert-Treuhand der Anonymisierung von Daten, so ist zu berücksichtigen, dass in rechtlicher Hinsicht umstritten ist, ob die Anonymisierung überhaupt eine „Verarbeitung“ ist und wenn ja, ob sie einer Rechtfertigung bedarf.51 Gegen die Annahme, dass eine Anonymisierung eine Verarbeitung ist, spricht das Wesen der Anonymisierung als neben der Löschung stärkste Schutzmaßnahme.52 Da der Begriff der Verarbeitung sehr weit ist und jeden Vorgang erfasst, dürfte auch aus Rechtssicherheitsgründen hier der Auffassung der Aufsichtsbehörden gefolgt werden und die Anonymisierung als Verarbeitung einzuordnen sein.

Die Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifisch betroffenen Person zugeordnet werden können, wobei die zusätzlichen Informationen gesondert aufbewahrt werden und diese technischen und organisatorischen Mitteln unterliegen, Art. 4 Nr. 5 DSGVO.53 Das erfordert die Zuordnung eines Pseudonyms, worunter der erfundener Name zu verstehen ist, der die wahre Identität einer Person verdeckt, z.B. eine Ordnungsziffer.54 Nach neueren Tendenzen der Rechtsprechung dürfte sich auch die Frage stellen, ob bei einer Pseudonymisierung und Übermittlung pseudonymisierter Daten, die darauf folgenden Schritte durch den Empfänger, hier Datennehmer, überhaupt in den Anwendungsbereich der DGVO fallen.55 Solange jedoch eine Wahrscheinlichkeit dafür besteht, dass der Empfänger durch rechtliche oder technische Mittel die Pseudonyme weiterhin einer Person zuordnen kann (Re-Pseudonymisierung), ist von einem Personenbezug auszugehen.

Bei der Zugangs-Treuhand finden modifizierende Verarbeitungen nicht statt, da der Zweck der Zugangs-Treuhand sich in der anschließenden Übermittlung oder Bereitstellung der Daten gegenüber dem Datennehmer erschöpft.

(6) Verwaltende Verarbeitung durch Verwaltungs-Treuhand

Bei der Verwaltungs-Treuhand können je nach konkreter Aufgabe des Verwaltungs-Treuhänders unterschiedliche Verarbeitungsschritte bestehen. Bei der Selbstbeschränkungstreuhand, die der Datentreugeber einsetzt, um den eigenen Zugang zu beschränken, können neben dem Speichern der Daten weitere Aufgaben des Treuhänders hinzukommen, die er in Bezug auf den Datenbestand erfüllen kann. Bei einer Rechtemanagementtreuhand können die mit den Anfragen betroffener Personen einhergehenden Verarbeitungen hinzukommen, z.B. das Auslesen der Datenbestände zur Erfüllung der Auskunftspflicht. Mit verwaltenden Aufgaben der Datentreuhand hängt in der Regel auch die Überprüfung der Notwendigkeit der Löschung von personenbezogenen Daten zusammen, da es gesetzliche und im Einzelfall zu bestimmende Löschpflichten gibt. Zur Überprüfung der Löschungspflicht sowie Durchführung der Löschung kann ein Ordnen der Daten nach bestimmten Kategorien erforderlich sein. Daher kommen hier auch das Ordnen und Löschen von personenbezogenen Daten als weitere Verarbeitungsschritte in Frage. Das Löschen ist jede Handlungsform, die dazu dient, dass Daten nicht mehr verwendet werden können, indem sie irreversibel verschwinden.56

a) Verhältnis zwischen Datentreuhänder und Datennehmer

Die Datenverarbeitungsschritte müssen auch im Verhältnis zwischen Datentreuhänder und Datennehmer datenschutzrechtlich getrennt betrachtet werden.

(1) Übermittlung oder Bereitstellung von Rohdaten

In der Zugangs-Treuhand werden die Daten als Rohdaten dem Datennehmer – je nach technischer Gestaltung der Treuhand – übermittelt oder bereitgestellt. Bei der Bereitstellung von Daten durch die Datentreuhand wird dem Datennehmer ein technischer Zugriff auf die Datengewährt, dessen Umfang sich nach dem Vertrag und den gesetzlichen Vorgaben richtet. Sowohl die Übermittlung als auch die Bereitstellung sind weitere Verarbeitungsschritte, die rechtfertigungsbedürftig sind.57 Gleiches gilt bei der Verwaltungs-Treuhand, denn hier werden neben der Verwaltung von Daten, die Daten an Datennehmer übermittelt oder zumindest bereitgestellt. Das gilt nur nicht für die Selbstbeschränkungstreuhand, denn diese beschränkt sich auf ein Zwei-Personen-Verhältnis zwischen Datentreugeber und Datentreuhänder, sodass Verarbeitungsschritte im Verhältnis zu Datennehmern entfallen.

(2) Übermittlung von Verarbeitungsergebnissen

Nach dem die Daten bei der Mehrwert-Treuhand nach den vertraglichen oder gesetzlichen Anforderungen pseudonymisiert, analysiert oder in sonstiger Weise umgewandelt wurden, werden die Verarbeitungsergebnisse an die Datennehmer übermittelt.

Handelt es sich jedoch bei der Mehrwert-Treuhand um eine Anonymisierungstreuhand, so ist dann die Übermittlung der anonymisierten Daten kein rechtfertigungsbedürftiger Schritt mehr.58 Dies gilt aber nicht für die Pseudonymisierungstreuhand, denn pseudonymisierte Daten sind nach der DSGVO personenbezogene Daten,59 sodass für die Übermittlung der pseudonymisierten Daten an den Datennehmer ein Erlaubnistatbestand vorliegen muss.

Handelt es sich bei der Mehrwert-Treuhand um eine Analysierungstreuhand, so ist die Analyse eine Verwendung und damit ebenso ein zu rechtfertigender Verarbeitungsschritt. Wenn die Analyse dabei über Fragen entscheidet, die eine rechtliche Wirkung gegenüber der betroffenen Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen kann, muss der Datentreuhänder weitere Anforderungen erfüllen, Art. 22 Abs. 1, Abs. 2 DSGVO.60

b) Zwischenergebnis

Im Grundlagen- und Funktions-Layer der Datentreuhand finden unterschiedliche Verarbeitungen von personenbezogenen Daten statt. Der sachliche Anwendungsbereich der DSGVO ist bei Betrachtung der Datenverarbeitung im Grundlagen- und Funktions-Layer eröffnet, Art. 2 Abs. 1 DSGVO: Bei Betrachtung des Anwendungsumfeldes der Datentreuhand liegen regelmäßig zumindest auch personenbezogene Daten vor.

Zunächst handelt es sich bei den im vorliegenden Kontext behandelten computergestützten Vorgängen der Datentreuhand um solche, die mit Hilfe automatisierter Verfahren stattfinden, Art. 2 Abs. 1, Art. 4 Nr. 2 DSGVO. Insbesonder können folgende Verarbeitungen stattfinden:

  1. Die Offenlegung von personenbezogenen Daten durch Übermittlung oder Bereitstellung seitens des Datentreugebers

  2. Die Erhebung personenbezogener Daten durch den Datentreuhänder

  3. Das Abfragen und Auslesen personenbezogener Daten durch den Datentreuhänder

  4. Die Speicherung personenbezogener Daten durch den Datentreuhänder

  5. Modifizierende Verarbeitungsschritte, wie z.B. die Analyse, die Anonymisierung oder die Pseudonymisierung personenbezogener Daten sowie ein diese Verarbeitungen voraussetzendes Ordnen von Daten

  6. Verwaltende Verarbeitungsschritte, wie z.B. das Ordnen und Löschen personenbezogener Daten nach gesetzlichen Löschungspflichten

  7. Die Übermittlung oder Bereitstellung personenbezogener Daten aus der Zugangs- und der Verwaltungs-Treuhand

  8. Die Übermittlung oder Bereitstellung von Verarbeitungsergebnissen durch die Mehrwert-Treuhand, wie z.B. von pseudonymisierten oder analysierten Daten. Die Übermittlung oder Bereitstellung von anonymisierten Daten ist hingegen kein rechtfertigungsbedürftiger Verarbeitungsschritt, da die DSGVO nicht für anonymisierte Daten gilt.

c) Keine Anwendbarkeit der DSGVO bei sog. Haushaltsausnahme

Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“, Art. 2 Abs. 2 lit. c) DSGVO. Die Ausnahmevorschrift gilt nur für natürliche Personen, jedoch nicht für juristische Personen. Als eng auszulegende Ausnahmevorschrift werden nur solche Verarbeitungen des Privat- oder Familienlebens von Einzelpersonen erfasst, die objektiv betrachtet „ausschließlich“ persönlicher oder familiärer Art sind.61 Hierbei ist eine Gesamtbetrachtung vorzunehmen, die objektive Umstände umfasst, die die Tätigkeit in den privaten Aktionskreis der natürlichen Person verorten lassen.62 Das Verfolgen (teilweise) wirtschaftlicher Zwecke ist von dieser Ausnahme nicht erfasst. Erfasst werden etwa das Führen von analogem oder elektronischem Schriftverkehr, das Führen von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen privater und familiärer Tätigkeiten.63

Verschafft die betroffene Person als Datentreugeber dem Datentreuhänder Zugang zu personenbezogenen Daten, ohne wirtschaftliche Zwecke zu verfolgen, einzig zu privaten Zwecken, um etwa Daten und Datenschutzrechte effektiver verwalten zu lassen, so etwa durch PIMS, erfolgt diese Datenverarbeitung durch die betroffene Person zur Ausübung einer persönlichen Tätigkeit. Allein, dass die Datentreuhand einen Online-Dienst darstellt, spricht jedenfalls nicht gegen die Anwendung der Haushaltsausnahme.64 Das hat zur Folge, dass das Bereitstellen der personenbezogenen Daten durch die betroffene Person, die auch dritte unbeteiligte Personen betreffen können, nicht in den Anwendungsbereich der DSGVO fällt. Die Ausnahme gilt jedoch nicht für die anschießende Datenverarbeitung durch den Datentreuhänder, denn dieser wird grundsätzlich keine privaten oder familiären Tätigkeiten mit der Verarbeitung ausüben. Vielmehr werden mit der Verarbeitung wirtschaftliche oder sonstige Tätigkeiten ausgeübt, die nicht in die Haushaltsausnahme fallen.

Nutzt die betroffene Person als Datentreugeber die Datentreuhand, um die sie betreffenden personenbezogenen Daten zu monetarisieren, wird keine private Tätigkeit ausgeübt, wenn der Datenbestand Daten über andere Personen enthält. Damit wird vielmehr eine wirtschaftliche Tätigkeit ausgeübt. Diese Frage ist jedoch bisher in der Rechtswissenschaft nicht eingehend behandelt worden

b. Räumlicher Anwendungsbereich der DSGVO

Die Datenverarbeitung durch den Datentreuhänder muss auch in den räumlichen Anwendungsbereich der DSGVO fallen, damit die in ihr aufgestellten Pflichten ihm gegenüber gelten. Der räumliche Anwendungsbereich der DSGVO gilt für folgende Konstellationen:

1) Niederlassungsprinzip

Der räumliche Anwendungsbereich der DSGVO ist zum einen dann eröffnet, wenn personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung in der Union verarbeitet werden (sog. Niederlassungsprinzip). Hierzu heißt es konkret in Art. 3 Abs. 1 DSGVO:

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. […]“.

Der Verantwortliche muss hiernach eine Niederlassung innerhalb der Europäischen Union haben, damit die DSGVO in räumlicher Hinsicht gilt. Eine Niederlassung ist in diesem Sinne eine „feste Einrichtung“, von der aus eine Tätigkeit tatsächlich ausgeübt wird.65 Die ausgeübte Tätigkeit muss nicht wirtschaftlicher Natur sein.66 Ob die Datenverarbeitung faktisch innerhalb der Union stattfindet, ist für die Geltung des räumlichen Anwendungsbereichs der DSGVO unerheblich.67 Datentreuhänder, die eine feste Einrichtung innerhalb der Europäischen Union haben, von der aus sie die Datentreuhand als Tätigkeit betreiben, haben also die Anforderungen der DSGVO einzuhalten, Art. 3 Abs. 1 DSGVO.

2) Marktortprinzip

Darüber hinaus ist die DSGVO in räumlicher Hinsicht anzuwenden, wenn die Datenverarbeitung einen Bezug zum Markt in der Union im Sinne des Gesetzes aufweist (sog. Marktortprinzip). Dieses umfasst die Tätigkeit von Verantwortlichen, die ihre Niederlassung außerhalb der Europäischen Union haben, aber nach Art. 3 Abs. 2 DSGVO personenbezogene Daten von betroffenen Personen verarbeiten, die sich in der Union befinden, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

a) Anbieten von Waren oder Dienstleistungen gegenüber betroffenen Personen

In der Konstellation des Art. 3 Abs. 2 lit. a) DSGVO muss die Datenverarbeitung im Zusammenhang damit stehen, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, damit der räumliche Anwendungsbereich eröffnet ist. Der Begriff des „Anbietens“ von Waren oder Dienstleistungen ist nicht im Sinne eines zivilrechtlichen Angebotsbegriffs, sondern unionsrechtlich autonom auszulegen. Er umfasst auch alle Datenverarbeitungen, die im Rahmen einer bloßen Aufforderung zur Abgabe eines Angebots, also einer sog. invitatio ad offerendum, erfolgen.68 Der Begriff der Dienstleistung ist in Anlehnung an Art. 57 Abs. 1 AEUV jede selbstständige Tätigkeit, wie etwa eine kaufmännische, handwerkliche oder sonstige gewerbliche Tätigkeit.69 Der Begriff der Ware umfasst in Anlehnung an den Warenbegriff aus Art. 28 ff. AEUV jeden beweglichen körperlichen Gegenstand, der einen Geldwert hat und Gegenstand von Handelsgeschäften sein kann.70 Nicht erforderlich ist, dass die betroffene Person für die Dienstleistung oder für die Ware eine Zahlung tätigt.

Der Datentreuhänder, der gewerblich tätig ist, wird regelmäßig eine Dienstleistung i.S.d. Art. 3 Abs. 2 lit. a) DSGVO erbringen. Die datentreuhänderische Tätigkeit steht als Datenverarbeitung nicht nur „im Zusammenhang mit der Dienstleistung“, wie die Vorschrift es fordert, sie ist selbst die Datenverarbeitung. Ein solcher Dienst wird, sobald der Datentreuhänder seine Tätigkeit über eine Webseite bewirbt, auch angeboten. Bieten Datentreuhänder also, die zwar keine Niederlassung in der Union haben, ihre Dienstleistung aber betroffenen Personen in der Union an, ist der räumliche Anwendungsbereich nach Art. 3 Abs. 2 lit. a) DSGVO eröffnet.

b) Verhaltensbeobachtung von betroffenen Personen

Der räumliche Anwendungsbereich ist auch dann eröffnet, wenn die Datenverarbeitung durch außerhalb der EU niedergelassene Verantwortliche oder Auftragsverarbeiter im Zusammenhang mit der Beobachtung des Verhaltens betroffener Personen steht, soweit ihr Verhalten in der Union erfolgt. Der Begriff des Beobachtens wird in der DSGVO nicht definiert. ErwGr. 24 DSGVO führt hierzu aus:

„[…] Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.

Es könnte danach darauf abzustellen sein, ob eine auf eine bestimmte Dauer angelegte Verarbeitung stattfindet.71 Allerdings ist es erforderlich, dass die Datenverarbeitung, durch die eine Beobachtung erfolgt, zweckgerichtet erfolgen muss.72 Angesichts des weiten Schutzes personenbezogener Daten, den die DSGVO bezweckt, muss das Beobachten des Verhaltens aber nicht der eigentliche Zweck der Maßnahme sein, sondern ausreichend ist, dass sie als notwendiges Mittel zur Zielerreichung erfolgt.73

Wird die datentreuhänderische Tätigkeit durch einen Datentreuhänder, der nicht in der Union niedergelassen ist, Datentreugebern angeboten, kann der räumliche Anwendungsbereich also durchaus – je nach Verantwortlichkeit – für Datenverarbeitungen von Datentreuhänder und Datengeber eröffnet sein, wenn das Verhalten derjenigen beobachtet wird, deren Daten in die Treuhand gegeben werden. Die Realisierung der Datentreuhand selbst ist zwar primäres Ziel von Datentreuhänder und Datentreugeber, allerdings hängt mit ihr eine auf Dauer angelegte Datenverarbeitung zusammen, die durchaus auch zu Beobachtungszwecken erfolgen kann.

3) Zwischenergebnis

Datentreuhänder, die eine feste Einrichtung innerhalb der Europäischen Union haben, von der aus sie die Datentreuhand als Tätigkeit betreiben, unterliegen in räumlicher Hinsicht der DSGVO (sog. Niederlassungsprinzip), Art. 3 Abs. 1 DSGVO.

Die Datenverarbeitung durch Datentreuhänder, die zwar keine Niederlassung in der Union haben, aber ihren Treuhanddienst betroffenen Personen in der Union anbieten, fällt ebenfalls in den räumlichen Anwendungsbereich der DSGVO (sog. Marktortprinzip), Art. 3 Abs. 2 lit. a) DSGVO.

Die Datenverarbeitung im Grundlagen-Layer kann darüber hinaus auch im Zusammenhang mit der Beobachtung des Verhaltens betroffener Personen stehen, die in der Union erfolgt, denn durch die Datentreuhand findet eine kontinuierliche Datenverarbeitung statt, aus der grundsätzlich Vorhersagen über das Verhalten dieser Personen getroffen werden können (ebenfalls sog. Marktortprinzip), Art. 3 Abs. 2 lit. b) DSGVO.

c. Anwendungsbereiche BDSG und TTDSG sowie Verhältnis zur DSGVO

Neben der DSGVO enthalten v.a. das BDSG und das TTDSG hier relevante datenschutzrechtliche Regelungen. Es stellt sich daher die Frage der Anwendbarkeit auch dieser Gesetze, die jeweils über eigene sachliche und räumliche Anwendungsbereiche verfügen.

1) Anwendungsbereich des BDSG

Auch der Anwendungsbereich des BDSG ist in sachlicher und räumlicher Hinsicht unter Einbeziehung der Besonderheiten der Datentreuhand zu beurteilen.

a) Sachlicher Anwendungsbereich des BDSG

Das BDSG gilt in sachlicher Hinsicht für die personenbezogene Datenverarbeitung durch öffentliche und nichtöffentliche Stellen. Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, §§ 1 Abs. 1 S. 2, 2 Abs. 4 S. 1 BDSG. Das BDSG findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, die durch nichtöffentliche Stellen stattfinden, § 1 Abs. 1 S. 2 BDSG. Die Voraussetzungen der Norm decken sich mit jenen des Art. 2 Abs. 1 DSGVO, sodass hier auf die obigen Ausführungen zu verweisen ist (B. I. 2.).74 Nicht eröffnet ist der Anwendungsbereich des BDSG dagegen dann, wenn die Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (sog. Haushaltsausnahme), § 1 Abs. 1 S. 2 HS. 2 BDSG. Auch hier decken sich die Voraussetzungen im Wesentlichen mit der Haushaltsausnahme des Art. 2 Abs. 2 lit. c) DSGVO, sodass auch hier auf die obigen Ausführungen zu verweisen ist (B. I. 2. C.).

Die Datentreuhand kann sowohl durch öffentliche als auch durch nichtöffentliche Stellen angeboten werden. Da sich die Begriffe der Verarbeitung personenbezogener Daten mit jenen der DSGVO decken, werden im Grundlagen-Layer nach den oben aufgezeigten Schritten personenbezogene Daten im Verhältnis zu den Datentreugebern verarbeitet (siehe B. I. 2.). Im Treuhandverhältnis zwischen der betroffenen Person als Datentreugeber und dem Datentreuhänder ist im gleichen Umfang wie unter B. I. 2. C. behandelt die Haushaltsausnahme auf die Datenverarbeitung durch die betroffene Person anwendbar. In allen anderen Fällen ist der sachliche Anwendungsbereich des BDSG für die Datenverarbeitung durch den Datentreuhänder im Grundlagen-Layer eröffnet.

b) Räumlicher Anwendungsbereich des BDSG

Das BDSG regelt in § 1 Abs. 4 S. 2 BDSG den räumlichen Anwendungsbereich für die Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen. Darin heißt es

„[…] Auf nichtöffentliche Stellen findet es Anwendung, sofern

  1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
  2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
  3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Abl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) fällt […].“

Diese Norm ist jedoch europarechtlich problematisch, denn § 1 Abs. 4 S. 2 BDSG unterscheidet nicht danach, ob die Regelung des räumlichen Anwendungsbereiches die Bestimmungen in Teil 2, also Verarbeitungen zu Zwecken der DSGVO, oder in Teil 3 des BDSG, also Verarbeitungen zu Zwecken der RL (EU) 2016/680, betrifft. Soweit die Regelungen des BDSG auf Öffnungsklauseln in der DSGVO basieren, ist eine pauschale Definition des räumlichen Anwendungsbereichs für diese Regelungen unionsrechtlich bedenklich.75 Denn in bestimmten Öffnungsklauseln sind Hinweise auf die Anwendbarkeit des jeweils mitgliedstaatlichen Rechts angelegt, die für diese bestimmten Bereiche eine Regelung des räumlichen Anwendungsbereiches zuließen.76 Diese pauschale Regelung des räumlichen Anwendungsbereichs droht aber die besonderen Regelungen der Öffnungsklauseln, die nur in abgegrenzten Bereichen eine räumliche Anwendbarkeitsregelung zulassen, zu unterwandern. Insoweit kann der räumliche Anwendungsbereich für die Datenverarbeitung durch nichtöffentliche Stellen nicht pauschal nach § 1 Abs. 4 S. 2 BDSG bestimmt werden. Vielmehr muss innerhalb der konkret anzuwenden Norm des BDSG die Öffnungsklausel, auf die sie beruht, herangezogen werden, um zu bestimmen, ob das BDSG auch räumlich anwendbar ist (vgl. etwa Art. 49 Abs. 1 lit. g) DSGVO). Zudem ist der Wortlaut des § 1 Abs. 4 S. 2 Nr. 3 BDSG missglückt, da er zu weit geraten ist.77 Vielmehr dürfte die Anwendung des Markortprinzips in Deutschland hierunter zu verstehen sein.78

Da in dem vorliegenden Prüfungsrahmen zum einen nur die Normen aus Teil 2 zur Anwendung kommen und die Öffnungsklauseln, auf denen die Normen basieren, keine Regelung zur räumlichen Anwendbarkeit enthalten, kann § 1 Abs. 4 S. 2 BDSG hier in unionsrechtskonformer Auslegung zur Anwendung kommen. atentreuhänder, die in Deutschland personenbezogene Daten verarbeiten oder in Deutschland eine Niederlassung haben und im Rahmen der Tätigkeiten Daten verarbeiten, fallen in den räumlichen Anwendungsbereich der DSGVO. Auf Datenverarbeitungen durch Datentreuhänder, die ihr Angebot als Dienstleistung in Deutschland gegenüber betroffenen Personen anbieten, ist das BDSG ebenso räumlich anwendbar.79 Die Datenverarbeitung durch die Datentreuhand ist bei weitem Umfang der Datenverarbeitung auch nach den oben dargestellten Voraussetzungen eine Verhaltensbeobachtung von betroffenen Personen,80 die sich in Deutschland befinden. Insoweit dürfte auch dieser Tatbestand in der Regel erfüllt sein.

c) Verhältnis des BDSG zur DSGVO

Die DSGVO hat Anwendungsvorrang gegenüber dem BDSG, d.h. die Regelungen der DSGVO sind vorrangig gegenüber solchen des BDSG anzuwenden.81 Fällt der zu prüfende Sachverhalt in einen Bereich, den die Mitgliedstaaten aufgrund von Rechtsgrundlagen aus der DSGVO selbst regeln durften, z.B. den Arbeitnehmerdatenschutz (§ 24 ff. BDSG) oder etwa die Verarbeitung sensibler Daten zu spezifischen Zwecken, z.B. zum Zwecke eines erheblichen öffentlichen Interesses (§ 22 Abs. 1 Nr. 1 BDSG), sind die Normen des BDSG, sofern sie unionsrechtskonform sind, anzuwenden.

Hat der nationale Gesetzgeber von den Öffnungsklauseln der DSGVO nicht in unionsrechtskonformer Weise Gebrauch gemacht, ist die nationale Norm nicht anwendbar.82 Insoweit ist diese Frage insbesondere bei der Überprüfung der Rechtfertigung der Datenverarbeitung und der Bestimmung der konkreten Pflichten erneut aufzugreifen und konkret zu überprüfen.

2) Anwendungsbereich des TTDSG

Für die Frage der Anwendbarkeit des TTDSG ist ebenfalls zwischen sachlichem und räumlichem Anwendungsbereich zu differenzieren. Im Folgenden wird dargelegt, ob das TTDSG auf die Datenverarbeitung durch den Datentreuhänder anwendbar ist sowie anschließend das Verhältnis zwischen DSGVO und TTDSG näher erörtert:

a) Sachlicher Anwendungsbereich des TTDSG

Das TTDSG umfasst in seinem sachlichen Anwendungsbereich die in § 1 Nr. 1 bis 8 TTDSG aufgezählten Regelungsgegenstände. Aufgrund der internetbasierten Nutzung der Datentreuhand stellt sich die Frage, ob der Datentreuhänder ein Anbieter von Telemedien ist. Zum sachlichen Anwendungsbereich führt § 1 TTDSG aus:

(1) Dieses Gesetz regelt

  1. […]
  2. besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien,
  3. […]
  4. […]
  5. die von Anbietern von Telemedien zu beachtenden technischen und organisatorischen Vorkehrungen,
  6. die Anforderungen an die Erteilung von Auskünften über Bestands- und Nutzungsdaten durch Anbieter von Telemedien,
  7. […]
  8. die Aufsichtsbehörden und die Aufsicht im Hinblick auf den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation; bei Telemedien bleiben die Aufsicht durch die nach Landesrecht zuständigen Behörden und § 40 Bundesdatenschutzgesetz unberührt._

Entscheidend ist damit die Frage, ob es sich bei der Datentreuhand um einen Telemediendienst handelt. Nach § 2 Abs. 2 Nr. 1 TTDSG ist ein Anbieter von Telemedien „jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt“. Nach der Legaldefinition des § 2 Abs. 1 TTDSG i.V.m. § 1 TMG sind Telemedien „[…] alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nummer 61 des Telekommunikationsgesetzes, telekommunikationsgestützte Dienste nach § 3 Nummer 63 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind […]“. Soweit keine Telekommunikationsdienste i.S.d. § 3 Nr. 61 TKG oder Rundfunk nach § 2 Nr. 1 MStV, der die Nachfolgerregelung des § 2 RStV ist, vorliegen, ist im Übrigen zu prüfen, ob ein sonstiger elektronischer Informations- und Kommunikationsdienst vorliegt, also u. a. webgestützte Dienste wie soziale Medien, Blogs, Online-Shops, Online-Vermittlungsdienste, Internet-Banking, e-Zeitungen, Streaming- und Sharing-Plattformen oder Verkehrs- und Wetterdienste sowie entsprechende mobile Apps.83 Telemedien sind dadurch gekennzeichnet, dass der Anbieter die elektronischen Informations- und Telekommunikationsdienste – sei es über Abruf- oder Verteildienste – elektronisch in Gestalt von Bild-, Text- oder Toninhalten zur Verfügung stellt.84 Dabei macht es für die Einordnung als Telemedien keinen Unterschied, ob sie entgeltlich oder unentgeltlich von nichtöffentlichen oder öffentlichen Anbietern bereitgestellt werden.85

Die Datentreuhand ist kein Telekommunikationsdienst i.S.d § 3 Nr. 61 des TKG,86 denn sie vermittelt nicht gegen Entgelt Dienste über Telekommunikationsnetze,87 insbesondere ist sie kein Internetzugangsdienst, bietet keinen interpersonellen Telekommunikationsdienst an und stellt keinen reinen Übertragungsdienst dar, wie es etwa bei einem M2M-Kommunikationsdienst der Fall wäre.

Einschlägige Rechtsauffassungen zur Einordnung von Datentreuhandangeboten als Telemedien existieren nicht, insoweit kann eine Einordnung nur mithilfe allgemein geltender Rechtsauslegungsmethoden erfolgen. Der Wortsinn ist dabei an der in § 2 Abs. 2 Nr. 1 TTDSG genannten Definition des „Anbieters von Telemedien aufzuhängen. Danach handelt es sich um einen solchen, bei „jede[r] natürliche[n] oder juristische[n] Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt.“ Zwar verdrängt diese Definition nach § 2 Abs. 1 TTDSG diese des § 2 Nr. 1 TMG,88 jedoch kann zur Erörterung auf teleologische sowie historische Erwägungen dieser Norm zurückgegriffen werden. Historisch stellt sich dabei die Frage, ob die Datentreuhand die typischen Merkmale aufweist, die der Gesetzgeber bei Anbietern von Telemedien adressieren wollte. Die Gesetzesbegründung zählt folgende Beispiele auf: Online-Angebote von Waren oder Dienstleistungen mit unmittelbarer Bestellmöglichkeit (z.B. Börsen-, Umwelt-, Verkehrs- und Wetterdaten, elektronische Presse, Fernseh-/Radiotext, Teleshopping), Internet-Suchmaschinen.89 Bei der Datentreuhand handelt es sich um einen Dienst, der für die individuelle Nutzung und Vermittlung von Daten bestimmt ist und dem nur eine Übertragung mittels elektronischer Telekommunikation, hier über das Internet, zugrunde liegt. Sie ist damit vergleichbar mit sonstigen webbasierten Diensten, die unter dem Begriff des Telemediums fallen. Zudem besteht eine Vergleichbarkeit mit Diensten, die Dienstleistungen mit unmittelbarer Bestellmöglichkeit anbieten. Datentreuhänder bieten Verbrauchern und auch Unternehmen Dienste an. Dieser Dienst ist bei der Datentreuhand zwar nicht immer zwingend mit einer „unmittelbaren Bestellmöglichkeit“ verknüpft. Allerdings ist die Zugangsmittelung von Daten zwischen Datentreugebern und Datennehmern ein Dienst, der in der Regel über eine Webseite angeboten wird.90 Dass nicht zwingend eine Bestellung oder Abschluss eines Vertrages über das Internet erfolgen muss, zeigt auch die folgende Formulierung in der Gesetzesbegründung: „[…] Online-Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten oder zur Datenabfrage bereitstellen (z.B. Internet-Suchmaschinen) […]“.91 Diese recht weite und offene Formulierung zeigt die Intention des Gesetzgebers, entsprechend viele internetgestützte Dienste erfassen zu wollen, denn Internet-Suchmaschinen werden nur beispielhaft aufgezählt. Zudem scheint der Inhalt des angebotenen Dienstes irrelevant für die Einordnung zu sein, denn erfasst werden sowohl Streaming-Dienste als auch Warenanbieter und sonstige Angebote.92 Insoweit dürfte davon auszugehen sein, dass ein Datentreuhandangebot ein Telemediendienst sein kann. Damit handelt es sich bei den Diensten der Datentreuhand um Telemediendienste. Diese werden von dem Datentreuhänder „erbracht“, indem er sein Datentreuhandangebot über das Internet verschiedenen Datentreugebern zur Verfügung stellt. In sachlicher Hinsicht sind die telemedienbezogenen Regelungen des TTDSG auf Datentreuhandangebote also anwendbar.

b) Räumlicher Anwendungsbereich des TTDSG

Das TTDSG regelt seinen räumlichen Anwendungsbereich in § 1 Abs. 3 TTDSG wie folgt:

Diesem Gesetz unterliegen alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. § 3 des Telemediengesetzes bleibt unberührt.“

Das Datentreuhandangebot des Datentreuhänders, der als juristische Person im Inland eine Niederlassung hat oder, ohne eine Niederlassung in Deutschland zu haben, im Inland die Datentreuhand als Dienstleistung erbringt, fällt in den räumlichen Anwendungsbereich des TTDSG, § 1 Abs. 3 S. 1 TTDSG. Das Gesetz gilt aber auch dann, wenn nur die Niederlassung im Inland ist, aber der Dienst außerhalb Deutschlands angeboten wird, § 1 Abs. 3 S. 2 i.V.m. § 3 TTDSG. Der räumliche Anwendungsbereich des TTDSG ist damit eröffnet.

c) Verhältnis zwischen TTDSG und DSGVO

Das Verhältnis zwischen DSGVO und der Richtlinie 2002/58/EG („ePrivacy-Richtlinie“, im Folgenden e-Privacy-RL), auf der das TTDSG als mitgliedstaatliches Recht beruht, regelt Art. 1 Abs. 2 der e-Privacy-RL sowie Art. 95 DSGVO. Gem. Art. 1 Abs. 2 ePrivacy-RL sind die Regelungen der ePrivacy-RL eine „Detaillierung und Ergänzung“ der EU-Datenschutzrichtlinie. Verweise auf die EU-Datenschutzrichtlinie in der ePrivacy-RL gelten gem. Art. 94 Abs. 2 DSGVO seit seinem Inkrafttreten als Verweise auf die DSGVO. In Art. 95 DSGVO heißt es:

Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Im Spannungsfeld dieser beiden Normen ist rechtlich umstritten, ob die ePrivacy-Richtlinie als Ganzes und damit die ihr zugrundeliegenden Normen eine „Detaillierung“ der datenschutzrechtlichen Vorschriften sind, also grundsätzlich als spezielleres Gesetz anzuwenden sind93 oder, ob die DSGVO immer daneben Anwendung findet, es sei denn Art. 95 DSGVO regelt explizit einen Vorrang der ePrivacy-RL.94 Andere prüfen vor der Anwendung der Kollisionsregel des Art. 95 DSGVO, ob es sich bei der in Frage stehenden Regelung der ePrivacy-RL um eine „Detaillierung und Ergänzung“ der DSGVO handelt.95 Sei dies der Fall, so verdränge die Vorschrift der ePrivacy-RL im Bereich der Verarbeitung personenbezogener Daten im Kontext elektronischer Kommunikation solche, die in der DSGVO geregelt sind. Jedenfalls die Ansicht, die pauschal der ePrivacy-RL den Vorrang gewährt, ist abzulehnen. Zwar mag der Wortlaut des Art. 1 Abs. 2 ePrivacy-RL darauf hindeuten, die gesamte ePrivacy-RL sei eine „Detaillierung“ der DSGVO. Allerdings findet dieses Verständnis unter Berücksichtigung der verschiedenen Schutzziele der DSGVO, der den Schutz des Grundrechts auf Datenschutz aus Art. 8 Abs. 1 GRCh bezweckt, und der ePrivacy-RL, die den Schutz der Kommunikation und des Privatlebens aus Art. 7 GRCh bezweckt, keinen Anklang.96 Ob zunächst Art. 1 Abs. 2 ePrivacy-RL zu prüfen oder unmittelbar Art. 95 DSGVO muss hier nicht entschieden werden, denn beide Ansichten setzen eine einzelfallbezogene Prüfung der in Rede stehenden Norm des TTDSG voraus. Insoweit stellt sich diese Frage erst bei den konkreten Pflichten und der Überprüfung der Funktionen der Datentreuhand, die zu einem späteren Zeitpunkt ausgeführt werden.97

3) Zwischenergebnis

Der sachliche und räumliche Anwendungsbereich von BDSG und TTDSG ist für die Datenverarbeitung im Grundlagen- und Funktions-Layer grundsätzlich eröffnet.

In unionsrechtskonformer Auslegung des § 1 Abs. 4 S. 2 findet das BDSG auf Datenverarbeitungen von Datentreuhändern statt, die im Inland oder im Rahmen der Tätigkeit einer inländischen Niederlassung personenbezogene Daten verarbeiten. Darüber hinaus gilt das Marktortprinzip, sodass das Anbieten der Datentreuhand als Dienstleistung gegenüber betroffenen Personen in Deutschland die räumliche Anwendbarkeit des BDSG begründet. Die Datentreuhand dürfte auch je nach Umfang der verarbeiteten Daten als Verhaltensbeobachtung von betroffenen Personen in Deutschland einzustufen sein, sodass der räumliche Anwendungsbereich auch nach diesem Tatbestand eröffnet ist. Die DSGVO hat Anwendungsvorrang gegenüber dem BDSG. In den Fällen, in denen das BDSG unmittelbar aufgrund von Öffnungsklauseln anzuwenden ist, ist die Heranziehung einer in Rede stehenden Norm aus dem BDSG und die Öffnungsklausel erforderlich, um zu prüfen, ob ein unionsrechtkonformer Gebrauch der Öffnungsklausel vorliegt und damit die konkrete Norm aus dem BDSG angewendet werden kann.

In sachlicher Hinsicht sind die telemedienbezogenen Regelungen des TTDSG auf Datentreuhandangebote anwendbar, denn bei dem Datentreuhandangebot handelt es sich um einen Telemediendienst, den der Datentreuhänder erbringt, mithin ist er Anbieter von Telemedien, § 1 i.V.m. § 2 Abs. 1 TTDSG i.V.m. § 1 Abs. 1 TMG.

Der räumliche Anwendungsbereich des TTDSG ist eröffnet nach § 1 Abs. 3 TTDSG (i.V.m. § 3 TTDSG), sodass die Regelungen des TTDSG auch in räumlicher Hinsicht für den Datentreuhänder gelten.

Das Verhältnis zwischen TTDSG und DSGVO ist umstritten. Allerdings ist ein pauschaler Vorrang der ePrivacy-RL, auf dem das TTDSG beruht, gegenüber der DSGVO abzulehnen. Vielmehr lässt sich das Verhältnis nur anhand einer konkret in Rede stehenden Norm auf Grundlage von Art. 95 DSGVO sowie Art. 1 Abs. 2 ePrivacy-RL bestimmen.

2. Rechtmäßigkeit der identifizierten Datenverarbeitungsschritte

Der Grundsatz der Rechtmäßigkeit im Datenschutzrecht aus Art. 5 Abs. 1 lit. a) DSGVO verpflichtet den Verantwortlichen, die Verarbeitung personenbezogener Daten zu rechtfertigen. Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“), Art. 5 Abs. 1 lit. a) DSGVO. Aus diesem Grundsatz geht das Verbotsprinzip aus Art. 6 Abs. 1 DSGVO sowie Art. 9 Abs. 1, Abs. 2 DSGVO hervor,98 d.h. personenbezogene Daten dürften nur auf rechtmäßige Weise verarbeitet werden. Diese zentrale Pflicht trifft den für die Datenverarbeitung Verantwortlichen, daher muss zunächst bestimmt werden, ob und inwieweit der Datentreuhänder für die Datenverarbeitung im Grundlagen- und Funktions-Layer verantwortlich ist (unter C.I.2.a.), bevor dann die einzelnen Verarbeitungsschritte auf ihre datenschutzrechtliche Rechtfertigung überprüft werden können (unter C.I.2.b.):

a. Verantwortliche für die Datenverarbeitung

Da bei der Datentreuhand unterschiedliche Akteure beteiligt sind und ihre Rollen Einfluss auf die Datenverarbeitung haben können, ist eine datenschutzrechtliche Zuordnung dieser Personen erforderlich. Neben dem (Allein-)Verantwortlichen adressiert die DSGVO auch den sog. Auftragsverarbeiter und die sog. „gemeinsam Verantwortlichen“ mit Pflichten, Art. 26, 28 f. DSGVO. Das bedeutet, dass neben der Überprüfung der Frage, ob der Datentreuhänder „Verantwortlicher“ ist, auch die Datentreugeber, d.h. sowohl die Dateninhaber als auch die betroffene Person sowie den Datennehmer, in die Verantwortlichkeitsprüfung miteinzubeziehen. Diese Frage, ob der Datentreuhänder „Verantwortlicher“ ist, lässt sich nicht pauschal beantworten. Es kommt darauf an, ob und inwieweit er über Mittel und Zweck(e) der Datenverarbeitung entscheidet. Diese Frage muss für jeden einzelnen Verarbeitungsschritt im Grundlagen- und Funktions-Layer99 geprüft werden. Diese Kriterien der Verantwortlichkeit und die damit eingehergehenden Abgrenzungsfragen zur Auftragsverarbeitung sowie zur gemeinsamen Verantwortlichkeit sollen im Folgenden erläutert werden (unter C.I.2.a.1)) und als Leitlinien für die konkrete Einordnung im Einzelfall dienen (unter C.I.2.a.2).):

1) Begriff des Verantwortlichen und des Auftragsverarbeiters

Die DSGVO adressiert den Verantwortlichen, den Auftragsverarbeiter und die gemeinsam Verantwortlichen mit Pflichten, Art. 26, 28 f. DSGVO. Im Folgenden werden die Begriffe des Verantwortlichen, des Auftragsverarbeiters sowie anschließend der gemeinsam Verantwortlichen allgemein erläutert:

a) Verantwortlicher

Die Frage nach der Verantwortlichkeit entscheidet darüber, wen im Außenverhältnis die datenschutzrechtlichen Pflichten einer Verarbeitung treffen. Ein Verantwortlicher ist nach der Begriffsdefinition aus Art. 4 Nr. 7 DSGVO

„[…] eine natürliche oder juristische Person oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […]“.

Der Verantwortliche ist hiernach derjenige, der die Entscheidungsgewalt über Mittel und Zweck der Datenverarbeitung hat.100 Der Zweck ist gesetzlich nicht definiert. Allgemein anerkannt ist, dass mit dem Begriff des Zwecks der Datenverarbeitung das Ziel und der Grund gemeint ist, zu dem eine Stelle die Datenverarbeitung durchführt.101 Der Zweck beantwortet damit die Frage des „Wozu“ der Datenverarbeitung. Zwecke einer Datenverarbeitung können denkbar vielzählig sein. Das können konkrete technische Zwecke sein, z.B. die kurze Zwischenspeicherung von Daten, um darauffolgende technische Schritte zu ermöglichen. Weitere Zwecke können konkrete wirtschaftliche Zwecke sein, z.B. die Übermittlung von Daten zur kommerziellen Verwertung nach einem bestimmten Geschäftsmodell. Ein Zweck kann auch eine konkrete Verwaltung sein, z.B. die Speicherung von Stammdaten von Kunden zur Zuordnung von konkreten Dienstleistungen. Legt eine Person solche Gründe oder Ziele der Verarbeitung fest, hat sie damit die Entscheidungsgewalt über den Zweck der Datenverarbeitung.

Die Mittel der Verarbeitung betreffen das „Wie“ der Datenverarbeitung und umfassen damit die faktische und hier vor allem auch technische Art und Weise der Verarbeitung.102 Der Verantwortliche muss nicht unmittelbar selbst an der Verarbeitung beteiligt sein, vielmehr ist seine Herrschaftsmacht über die Mittel der Datenverarbeitung entscheidend. Eine stärkere Macht über die Entscheidung, ob und wozu eine Verarbeitung stattfindet, kann eine schwächere Entscheidungsmacht über die Art und Weise der Verarbeitung austarieren. Zentral bei der Bestimmung der Verantwortlichkeit ist, ob die Person eine Datenverarbeitung initiiert und durch eigene Entscheidungen steuernd beeinflusst. Ein Beispiel hierfür ist die Installation einer Überwachungskamera in einem Geschäftslokal. Der Geschäftsinhaber betätigt nur eine fremde Technik und hat wenig Einfluss auf die konkrete technische Verarbeitung, allerdings entscheidet er maßgeblich darüber, ob überhaupt eine Überwachung, also eine Verarbeitung, und wozu sie stattfindet.

b) Auftragsverarbeiter

Von dem Verantwortlichen zu unterscheiden ist der Auftragsverarbeiter. Nach der gesetzlichen Definition aus Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter

„[…] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet […]“.

Eine solche Auftragsverarbeitung liegt vor, wenn eine Stelle durch Auftrag und auf Weisung sowie im Interesse eines Verantwortlichen personenbezogene Daten verarbeitet.103 Die Existenz des Auftragsverarbeiters im konkreten Verarbeitungskontext hängt also einzig von der Entscheidung des ihm übergeordneten Verantwortlichen ab. Um abzugrenzen, ob eine Stelle Auftragsverarbeiter oder selbst Verantwortlicher ist, ist eine funktionelle Betrachtung und die Berücksichtigung der tatsächlichen Beziehungen erforderlich.104 Nicht jede datenverarbeitungsbezogene Dienstleistung ist per se bereits eine Auftragsverarbeitung.105 Insbesondere die Entscheidungsgewalt über die technischen Vorgänge allein machen den Auftragsverarbeiter nicht schon zum Verantwortlichen: So ist beispielsweise ein Sicherheitsunternehmen, das im Auftrag eines Geschäftsinhabers Überwachungskameras an öffentlichen Orten installiert, an die Weisungen des Geschäftsinhabers gebunden. Selbst wenn die konkrete Technik primär durch das Überwachungsunternehmen bestimmt wird, so entscheidet der Geschäftsinhaber faktisch, ob und wozu personenbezogene Daten verarbeitet werden, und wie sie verarbeitet werden; hier durch eine Überwachungskamera. Das Sicherheitsunternehmen ist hierbei der Auftragsverarbeiter des Geschäftsinhabers.

a) Gemeinsam Verantwortliche

Sind mehrere Personen im Verarbeitungskonstrukt involviert, ist es notwendig zu fragen, ob statt einer Auftragsverarbeitung eine gemeinsame Verantwortlichkeit für die Datenverarbeitung besteht. Die DSGVO kennt neben der alleinigen Verantwortlichkeit auch die Rolle der gemeinsam Verantwortlichen. Hierbei handelt es sich um mindestens zwei Verantwortliche, die „gemeinsam über Mittel und Zweck der Verarbeitung entscheiden“, Art. 4 Nr. 7, Art. 26 Abs. 1 DSGVO. Eine gemeinsame Entscheidung über den Zweck der Verarbeitung liegt, nach streitbarer Ansicht des Europäischen Datenschutzausschusses (EDSA) vor, wenn die beteiligten Stellen Daten für dieselben oder gemeinsam festgelegte Zwecke verarbeiten oder, wenn die Daten für dieselben oder gemeinsam festgelegte Zwecke verarbeitet werden, die eng verknüpft oder verbunden sind,106 beispielsweise, wenn aus denselben Verarbeitungsvorgaben beiderseitig Nutzen gezogen wird, sofern beide an der Zwecksetzung beteiligt waren.107 Nicht ausreichend ist es, wenn die beteiligten Parteien eigene (wirtschaftliche) Vorteile aus der Verarbeitung ziehen, sofern sie darüber hinaus keine gemeinsam festgelegten Zwecke mit der Datenverarbeitung verfolgen. Im Gegenteil ist es nicht erforderlich, dass die verfolgten Zwecke beider Parteien (auch) wirtschaftlicher Art sind. Vielmehr genügt es, wenn beide Parteien beliebige (auch unterschiedliche) Zwecke verfolgen, sofern diese gemeinsam beschlossen werden.108

Gemeinsam festgelegte Mittel sind dann gegeben, wenn eine Partei die Mittel der Verarbeitung bereitstellt und der anderen Partei die Verarbeitung mit diesen Mittel gestattet, hierbei aber mitentscheidet, wie dieses Mittel eingerichtet werden soll.109

Eine „gemeinsame“ Entscheidung über Mittel und Zweck der Verarbeitung setzt keine symmetrische Verteilung der Entscheidungsbefugnisse voraus. Es reicht vielmehr aus, die Entscheidungsbefugnis über einen Teil der Verarbeitung zu haben.110 Insoweit kann die gemeinsame Verantwortlichkeit verschiedene Formen aufweisen und muss nicht gleichmäßig verteilt sein.111 Es gibt Formen, in denen die Verantwortlichen vollständig gemeinsam die Zwecke und Mittel der Verarbeitung in Bezug auf sämtliche Verarbeitungsprozesse festlegen. Es gibt aber auch Formen, in denen die Parteien gemeinsam nur über Teile eines gesamten Verarbeitungsgefüges entscheiden und dies auch ggf. mit einer unterschiedlich starken Entscheidungsmacht.112 Ein Beispiel für eine ausgeglichene gemeinsame Verantwortlichkeit ist etwa der folgende Fall: Eine Fluggesellschaft und eine Hotelkette errichten eine Plattform, mit der beide Akteure ihre Dienstleistungen bewerben wollen, also hier gleichrangig die Datenverarbeitung initiieren. Hierbei haben beide Akteure gleichermaßen Entscheidungsgewalt über alle Funktionen der Webseite, also über die Mittel der Verarbeitung.

Ein Beispiel für eine in der Entscheidungsmacht unausgeglichene gemeinsame Verantwortlichkeit, die sich zudem nur auf einen Teil eines größeren Verarbeitungsgefüges bezieht, ist der Betrieb einer Fanpage bei Facebook:113 Facebook erstellt Besucherstatistiken und stellt sie ausschließlich in anonymisierter Form an den Betreiber der Fanpage zur Verfügung. Zwar beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung personenbezogener Daten durch Facebook allein, die u.a. durch gesetzte Cookies auf den Rechnern von Internet-Nutzern erfolgen. Die Verarbeitung der personenbezogenen Daten dieser Nutzer für diese statistischen Zwecke, auf die der Fanpage-Betreiber zugreifen und seine Seite zielorientiert anpassen konnte, reichen jedoch für eine gemeinsame Verantwortlichkeit bereits aus. In kurzem zeitlichem Abstand zum Fanpages-Urteil des EuGH erging das Urteil in der Rechtssache Zeugen Jehovas.114 Bei diesem, aus Finnland vorgelegten, Verfahren ging es mitunter um die Frage, ob die Glaubensgemeinschaft der Zeugen Jehovas mit ihren Verkündigern gemäß Art. 2 lit. d DSRL (RL 95/46/EG) gemeinsam datenschutzrechtlich verantwortlich ist. Die Datenverarbeitungen, die Gegenstand des Rechtsstreits waren, umfassten das Notieren von Namen, Adressen, religiösen Auffassungen und Familienverhältnissen von an der Haustür zum Zwecke der Missionierung angesprochenen Personen. Schwerpunkt der Diskussion in diesem Urteil lag jedoch auf dem Verhältnis des kirchlichen zum staatlichen Datenschutzrecht. Bezüglich der hier relevanten Frage der gemeinsamen Verantwortlichkeit bestätigte das Urteil des EuGH im Wesentlichen die Judikatur zu Facebook Fanpages. Es lässt sich daher als eine konsequente Fortführung des weiten Verantwortlichkeitsverständnisses des EuGH begreifen. Im Urteil zu FashionID des EuGH115 wurden kleinere Korrekturen bzw. Eingrenzungen der Rspr. zu Facebook Fanpages sowie den Zeugen Jehovas vorgenommen.116 Der EuGH stellte in diesem nämlich klar, dass im Rahmen von datenverarbeitenden Tätigkeiten hinsichtlich der (gemeinsamen) Verantwortlichkeit nach den einzelnen Phasen der Datenverarbeitung zu unterscheiden ist.117 Im Rahmen jeder dieser Phasen muss die Verantwortlichkeit – nach den oben genannten Kriterien – festgestellt werden.118

2) Verantwortlichkeit für die identifizierten Verarbeitungsschritte

Zur Bestimmung der Verantwortlichkeit kommt es auf die konkrete Ausgestaltung119 der Datentreuhand an, insbesondere darauf, wer entscheidet, wie die in die
Datentreuhand gegebenen Daten verarbeitet werden. Für jeden Verarbeitungsschritt ist die Verantwortlichkeit separat zu prüfen.

a) Verantwortlichkeit der Datentreugeber

Bei der Verantwortlichkeit der Datentreugeber ist zu unterscheiden, ob die betroffene Person oder der Dateninhaber als Datentreugeber auftritt.

(1) Dateninhaber

Zunächst könnte der Dateninhaber über Mittel und Zweck der Verarbeitung, insbesondere über die Übermittlung oder Bereitstellung, der Daten entscheiden, also selbst Verantwortlicher nach der DSGVO sein. Dateninhaber sind regelmäßig selbstständige Unternehmen oder Privatpersonen, die autonom über die Abläufe in ihrem Geschäftsbereich entscheiden, so z.B. KFZ-Hersteller oder Gesundheitskliniken. Hierzu gehört es auch, selbstständig über die Ziele und Gründe für die Bereitstellung oder Übermittlung der personenbezogenen Daten zu entscheiden.120 Auch die technische Art und Weise, also wie die personenbezogenen Daten durch Bereitstellung dem Datentreuhänder gegenüber offengelegt werden, obliegt dem Dateninhaber.121 Er kann selbst entscheiden, ob er die Daten übermittelt oder dem Datentreuhänder Zugriff auf die bei ihm gespeicherten Daten gewährt, damit dieser die Daten auslesen kann. Bei Betrachtung von KFZ-Herstellern oder sonstigen Unternehmen, die faktisch selbst entscheiden, ob sie personenbezogene Daten in die Datentreuhand geben wollen oder nicht, wird diese Frage grundsätzlich zu bejahen sein. Es stellt sich aber die Frage, ob er gemeinsam mit dem Datentreuhänder für die Übermittlung oder Bereitstellung der Daten verantwortlich ist. Diese Frage stellt sich in Bezug auf jeden einzelnen Verarbeitungsschritt, auf den der Dateninhaber potenziell Einfluss hat, und zwar bei jedem Datentreuhand-Modell.122

Sofern der Datentreuhänder den Weisungen des Dateninhabers in Bezug auf die Speicherung oder anderen Verarbeitungsschritten unterliegt, ist der Dateninhaber der Verantwortliche und der Datentreuhänder sein verlängerter Arm, mithin dessen Auftragsverarbeiter.123 Es wird zum Teil vertreten, dass der Datentreuhänder gerade überlegenes Wissen über die Mittel der Verarbeitung habe und daher als Auftragsverarbeiter nicht in Frage käme.124 Es ist aber bei dem hier zugrunde gelegten weiten Verständnis des Datentreuhandbegriffes durchaus möglich, z.B. als PIMS, aber auch als Mehrwerttreuhand, allein Weisungen des Dateninhaber zu erfüllen. Dann liegt eine Auftragsverarbeitung vor.

(2) Betroffene Person als Verantwortlicher?

Betroffene Personen können nicht selbst Verantwortliche für die Verarbeitung der sie betreffenden Daten sein. Sie können nicht Anspruchsgegner ihrer selbst in Bezug auf die Verarbeitung personenbezogener Daten sein. Überschreitet die betroffene Person aber die Grenzen der Haushaltsausnahme und übt sie die Entscheidungsgewalt über den Zweck und die Mittel der Verarbeitung von Daten aus, die andere Personen betreffen,125 bspw. bei der Bereitstellung von Umgebungsdaten, die Informationen über natürliche Personen in der Umgebung126 enthalten, kann auch sie in Bezug auf die Verarbeitung dieser Daten von anderen Betroffenen, Verantwortliche sein. Für die Möglichkeit der gemeinsamen Verantwortlichkeit mit dem Datentreuhänder sowie die Möglichkeit der Auftragsverarbeitung durch den Datentreuhänder wird auf die Ausführungen unter C.I.2.a. verwiesen.

b) Verantwortlichkeit des Datennehmers

Für die Bestimmung der Verantwortlichkeit für die Verarbeitungsschritte, die im Funktions-Layer im Verhältnis Datentreuhänder und Datennehmer stattfinden, ist ebenfalls eine schrittweise Prüfung erforderlich. Datennehmer könnten selbst über Mittel und Zweck der Verarbeitung, insbesondere über die Übermittlung oder Bereitstellung von Rohdaten oder Auswertungsdaten sowie die anschließende Nutzung dieser Daten entscheiden, also selbst Verantwortlicher nach der DSGVO sein. Datennehmer sind regelmäßig selbstständige Unternehmen oder Privatpersonen, die autonom über die Abläufe in ihrem Geschäftsbereich entscheiden, so z.B. KFZ-Hersteller. Hierzu gehört es auch, selbstständig über die Ziele und Gründe zu entscheiden, personenbezogene Daten über einen Datentreuhänder an sie übermitteln oder bereitstellen zu lassen. Insoweit sind Datennehmer grundsätzlich verantwortlich für Datenverarbeitungen, die aufgrund ihrer Veranlassung durch die Datentreuhand stattfinden. Es wird auch hier zu fragen sein, ob der Datentreuhänder gemeinsam mit dem Datennehmer für einzelne oder alle Datenverarbeitungsschritte verantwortlich ist.127 Bei einer Weisungsgebundenheit des Datentreuhänders ist er jedenfalls Auftragsverarbeiter des Datennehmers. Für die im Anschluss an die Datenübermittlung an den Dateninhaber erfolgende Nutzung der Daten, ist der Datennehmer in der Regel allein verantwortlich.

c) Verantwortlichkeit des Datentreuhänders

Neben der Datenübermittlung und -bereitstellung der Daten durch den Datentreugeber und der Übermittlung aus der Datentreuhand an den Datennehmer, für die, wie soeben aufgezeigt, jeweils eine gemeinsame Verantwortlichkeit oder eine Auftragsverarbeitung durch die Datentreuhand in Betracht kommt, stellt sich die Frage der Verantwortlichkeit des Datentreuhänders insbesondere für die Datenverarbeitungen, die zwischen diesen beiden Schritten in der Datentreuhand stattfinden. Gemeint sind beispielsweise die Pseudonymisierung, Anonymisierung oder Auswertung der Daten.

Sowohl eine alleinige Verantwortlichkeit des Datentreuhänders ist hier möglich als auch eine gemeinsame Verantwortlichkeit sowie eine Auftragsverarbeitung. Es kommt maßgeblich darauf an, welche Funktion der Datentreuhänder erfüllt.128 Gibt der Dateninhaber die Ziele der Verarbeitung vor und der Datentreuhänder setzt diese Vorgaben lediglich um, so ist der Datentreuhänder Auftragsverarbeiter. Eine Weisungsgebundenheit besteht etwa dann, wenn der Dateninhaber den Datentreuhänder einsetzt, um Auskünfte gegenüber Dritten zu erteilen, so etwa bei der Verwaltungs-Treuhand in Form einer Rechtemanagement-Treuhand.129 Zudem kann trotz einer bestehenden Weisungsgebundenheit, die Verantwortlichkeit des Datentreuhänders entstehen, wenn er selbst weisungswidrig personenbezogene Daten verarbeitet oder weisungswidrig Unterauftragsverarbeiter einsetzt.130

Nimmt der Datentreuhänder dagegen die Interessen aller Seiten gleichsam wahr, indem er sich auf dem Markt als eine zentrale Vertrauensstelle für betroffene Personen, Dateninhaber und Datennehmer positioniert, so kann diese neutrale Ausgestaltung für eine alleinige Verantwortlichkeit des Dateninhabers sprechen. Das ist etwa bei einer Datentreuhand denkbar, die bei der Verarbeitung sensibler Daten eine Vertrauensstelle darstellt, die selbständig die Einhaltung von Schutzvorgaben bei der Verarbeitung personenbezogener Daten überwacht bzw. aus mehreren Datenverarbeitungsmöglichkeiten, die für den Einzelfall passende wählt, ohne dass der Datengeber dies vorgibt.

Je mehr der Datentreuhänder sich faktisch und technisch von anderen Verantwortlichen, hier dem Dateninhaber, abgrenzt und damit eine gemeinsame Datenverarbeitung mit ihm ausschließen kann, umso mehr kann er tendenziell als alleinig Verantwortlicher eingestuft werden.131

Verarbeitet der Datentreuhänder Daten nach den Weisungen und im Auftrag der betroffenen Person, so kann er nicht Auftragsverarbeiter für diese betroffene Person sein, denn Auftragsverarbeiter ist per Definition eine Stelle, die im Auftrag eines „Verantwortlichen“ personenbezogene Daten verarbeitet.132 Die betroffene Person kann aber nicht Verantwortlicher für die Verarbeitung der sie betreffenden personenbezogenen Daten sein (s.o.), da sie nicht Gläubiger und Schuldner datenschutzrechtlicher Ansprüche gegen sich selbst sein kann. Zivilrechtlich läge eine Konfusion vor, die zum Erlöschen des Schuldverhältnisses führt.

Bei der Zugangs-Treuhand in Form von PIMS könnte die Datentreuhand aber Vertreter oder Bote der betroffenen Person sein, wobei in Fällen der Stellvertretung gerade ein eigener Entscheidungsspielraum vorläge, sodass die Datentreuhand für die Datenverarbeitung (jedenfalls mit-)verantwortlich wäre. Der Treuhänder könnte aber auch lediglich als Bote der betroffenen Person auftreten. 133 Dann wäre allein der Datennehmer verantwortliche Stelle für die Datenverarbeitung.

b. Rechtmäßigkeit der Verarbeitungsschritte im Grundlagen- und Funktions-Layer

Im Folgenden gilt es zu prüfen, ob die oben identifizierten Verarbeitungsschritte, die im Grundlagen- und Funktions-Layer stattfinden, nach der DSGVO gerechtfertigt sind. Grundsätzlich verbietet das Gesetz jede Verarbeitung personenbezogener Daten, Art. 6 Abs. 1 S. 1 DSGVO, Art. 9 Abs. 1 DSGVO. Dieses Verbot gilt nicht, wenn ein sog. Rechtfertigungsgrund für die Datenverarbeitung besteht.134 Die getrennte Betrachtung der Verarbeitungsschritte im Verhältnis zwischen der betroffenen Person als Datentreugeber einerseits und dem Datentreuhänder sowie zwischen dem Dateninhaber als Datentreugeber und dem Datentreuhänder andererseits ist auch bei der Prüfung der Rechtfertigung erforderlich. Denn jeder einzelne Verarbeitungsschritt muss für sich genommen im konkreten Verarbeitungsverhältnis gerechtfertigt sein.

Die Pflicht zur Rechtfertigung der einzelnen Verarbeitungen im Grundlagen- und Funktions-Layer trifft nach den oben geprüften Voraussetzungen den Verantwortlichen oder die gemeinsamen Verantwortlichen. Im Folgenden wird die Rechtmäßigkeit der Verarbeitungen ausgehend vom Grundsatz der Verantwortlichkeit geprüft. Sollte im Einzelfall eine gemeinsame Verantwortlichkeit vorliegen, gilt das folgend Ausgeführte entsprechend für alle gemeinsam Verantwortlichen. Dabei ist zu beachten, dass eine abschließende Prüfung der Rechtmäßigkeit nur anhand der Umstände im konkreten Fall erfolgen kann. Die hier folgenden Ausführungen zur Rechtmäßigkeit der Verarbeitungsschritte berücksichtigen die Besonderheiten, die es bei Datenverarbeitungen im Zusammenhang mit der Datentreuhand zu beachten gilt und dienen insofern als Leitfaden.

1) Rechtmäßigkeit der Übermittlung oder Bereitstellung durch Dateninhaber

Bevor die konkrete Rechtfertigungsgrundlage herangezogen werden kann, muss bestimmt werden, welche Art von personenbezogenen Daten Gegenstand der Verarbeitung sind. Denn diese bestimmt den Maßstab der Rechtfertigung, also, welche Rechtfertigungsgrundlagen aus dem Gesetz anzuwenden sind:

a) Identifikation der Art der personenbezogenen Daten

Das Gesetz unterscheidet im Grundsatz zwei Arten personenbezogener Daten: Die allgemeine Kategorie personenbezogener Daten, deren Verarbeitung nach Art. 6 Abs. 1 S. 1 DSGVO gerechtfertigt werden kann, und die besondere Kategorie personenbezogener Daten („sensible Daten“), deren Verarbeitung nach Art. 9 Abs. 2 DSGVO (i.V.m. weiteren Rechtsgrundlagen) gerechtfertigt werden kann.

Sensible Daten sind nach den oben dargestellten Ausführungen personenbezogene Daten,135 die aber darüber hinaus aufgrund ihres besonderen Informationsgehalts besonders schutzbedürftig sind.136 Das Gesetz zählt die einzelnen sensiblen Daten abschließend wie folgt auf:

Die Verarbeitung personenbezogener Daten, aus denen die rassische137]] und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“, Art. 9 Abs. 1 DSGVO.

(1) Gesundheitsdaten als Beispiel sensibler Daten

Im Folgenden werden Gesundheitsdaten als sensible Daten näher dargestellt, da diese praktisch häufig Gegenstand der Datentreuhand sein können, etwa weil die betroffene Person selbst solche Daten zur Verfügung stellt oder, weil Datenverarbeitungen durch Gesundheitskliniken vorliegen, die als Dateninhaber und damit Datentreugeber in Frage kommen. Zugleich können Gesundheitsdaten auch als Gegenstand bestimmter Forschungsbereiche in Frage kommen, in deren Zusammenhang Datentreuhänder ebenso eigesetzt werden können. Datennehmer Forschungseinrichtungen sein, die ebenso Interesse an Gesundheitsdaten haben können.

Das Gesetz definiert den Begriff der Gesundheitsdaten wie folgt: „Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[…] „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“, Art. 4 Nr. 15 DSGVO.

Je nach Konstellation können bestimmte Daten ohne Weiteres als sensibel eingestuft werden, so sind etwa sämtliche Daten eines Patienten als Gesundheitsdaten einzustufen.138 Denn zu dem Patienten wird grundsätzlich eine Patientenakte erstellt, die mindestens den Namen der natürlichen Person enthält und sie damit direkt identifizierbar macht. Insbesondere sind auch solche Daten als Gesundheitsdaten einzustufen, die auf den ersten Blick nicht unbedingt eine Information über den Gesundheitszustand enthalten. Dazu gehört etwa, ob und wann ein Patient einen Arzttermin hat.139 Auch Nummern und sonstige Kennzeichen, die einzelnen Patienten im Rahmen der Behandlung vergeben werden, sind Gesundheitsdaten. Weitere Informationen, die unmittelbar Aussagen über den Gesundheitszustand enthalten, wie z.B. über Krankheiten, Informationen aus MRT-Bildern oder Informationen über den Status quo der körperlichen oder geistigen Verfassung des Patienten, sei es auch nur die Informationen, dass dieser gesund sei, stellen Gesundheitsdaten dar.140

(2) Kategorisierungsproblem bei mittelbar hervorgehendem sensiblem Informationsgehalt

In juristischer Hinsicht ist sehr umstritten, wie sich ermitteln lässt, ob Daten zu einer sensiblen Gruppe, insbesondere zu den Gesundheitsdaten, gehören, wenn der sensible Informationsgehalt nur mittelbar aus dem Datum hervorgeht (z.B. Daten eines Schrittzählers oder aus Funktionen von Fitness-Apps). Die Daten, eine Person gehe im Wochendurchschnitt 5.000 Schritte, enthält für sich genommen möglicherweise noch keine Informationen über den körperlichen Gesundheitszustand. Kommen jedoch weitere Daten hinzu, die wiederum weitere Informationen enthalten, wie z.B. Alter, Körpergewicht und Häufigkeit der Anwendung der App, so besteht eine andere Ausgangssituation hinsichtlich des Informationsgehalts. Bei solchen Daten vertritt ein Teil der Literatur die Ansicht, es müsse bei der Einordnung dieser Daten als Gesundheitsdaten auf die Auswertungsabsicht des Verantwortlichen abgestellt werden.141 Rechtssicher dürfte es jedoch sein, mit der Gegenansicht auf den gesamten (objektiven) Verarbeitungszusammenhang abzustellen, um zu bestimmen, ob es sich bei den Daten um Gesundheitsdaten handelt. Die Tendenz der Rechtsprechung des EuGH geht dahin, den Begriff der Gesundheitsdaten weit zu verstehen.142 Der Sinn und Zweck des Art. 9 Abs. 1 DSGVO, der einen weiten Schutz von Gesundheitsdaten bezweckt, spricht gegen die Auswertungsabsicht als alleiniges Einordnungskriterium, insbesondere auch der Wortlaut lässt ein Abstellen auf die Auswertungsabsicht zur Bestimmung eines Gesundheitsdatums nicht zu.143

Abstrakt lässt sich die Art der personenbezogenen Daten, die der Datentreugeber dem Datentreuhänder übermittelt oder bereitstellt, nicht bestimmen. Denn diese Einordnung lässt sich nur anhand des Verwendungszusammenhanges der Daten sowie des konkreten Anwendungsumfeldes der Datentreuhand vornehmen. Insoweit wird im Folgenden bei der Prüfung der Rechtmäßigkeit der Datenverarbeitung auf beide Arten von personenbezogenen Daten eingegangen.

a) Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 DSGVO

Art. 6 Abs. 1 S. 1 DSGVO enthält Rechtfertigungsgründe für die Verarbeitung von personenbezogenen Daten, die nicht sensibel sind. Werden also personenbezogene Daten durch die Datentreugeber übermittelt oder bereitgestellt, kommen die folgenden Rechtfertigungsgründe in Frage:

(1) Einwilligung, Art. 6 Abs. 1 S. 1 lit. a) DSGVO

Zunächst kommt die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO zur Rechtfertigung der Übermittlung oder Bereitstellung personenbezogener Daten in Betracht. Im Gesetz heißt es hierzu:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; […]“.

Die Einwilligung ist nach der gesetzlichen Definition des Art. 4 Nr. 11 DSGVO

„[…] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; […]“.

Die Einwilligung setzt sich damit aus folgenden Komponenten zusammen, die jeweils vorliegen müssen, damit die Einwilligung der betroffenen Person wirksam ist:

(a) Freiwilligkeit

Die Einwilligung ist freiwillig, wenn die betroffene Person eine echte oder freie Wahl hat, ob die Einwilligung erteilt und der Datenverarbeitung zugestimmt wird, und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen ohne Nachteile zu erleiden.144 Die Einwilligung gilt als nicht freiwillig erteilt, wenn zu gesonderten Verarbeitungsvorgängen nicht gesondert eine Einwilligung abgefragt wurde, obwohl dies im Einzelfall angebracht wäre.145 Bei der Beurteilung der Freiwilligkeit ist nach Art. 7 Abs. 4 DSGVO zu berücksichtigen, ob die Erfüllung eines Vertrages von der Erteilung einer Einwilligung zu einer Datenverarbeitung abhängig gemacht wird, welche für die Erfüllung des Vertrages nicht erforderlich ist. In solchen Fällen kann eine Einwilligung als nicht freiwillig erteilt gelten.146 Gleiches gilt auch hinsichtlich einer Einwilligung, die in einem starken Ungleichgewichts- oder Abhängigkeitsverhältnis zwischen der betroffenen Person und dem Verantwortlichen erteilt wurde, bei welcher es nach den Umständen unwahrscheinlich ist, dass sie freiwillig gegeben wurde.147

Bei der Einwilligung ist vor allem zu differenzieren, ob der Dateninhaber Daten in die Treuhand gibt, die bereits erhoben wurden.148 Hier kommt eine Einwilligung nur dann in Betracht, wenn die Übermittlung oder die Bereitstellung dieser Daten für die Datentreuhand als Zweck in der durch die betroffenen Personen erteilten Einwilligung enthalten war.149 Ist es dem Dateninhaber möglich, die Einwilligung für die Übermittlung oder Bereitstellung der Daten für die Datentreuhand einzuholen, so wäre die Freiwilligkeit im Grundsatz gegeben, beispielsweise aber dann anzuzweifeln, wenn der Dateninhaber als Arbeitgeber den Abschluss oder Fortführung eine Vertrages gegenüber einem Arbeitnehmer von der Einwilligungserteilung abhängig macht.150

(b) Bestimmtheit

Die Einwilligung muss für einen bestimmten Fall, d.h. für konkrete, vorher durch den Verantwortlichen festgelegte sowie offengelegte Zwecke und Umstände der Verarbeitung erklärt werden.151 Die betroffene Person muss konkret und bei mehreren Verarbeitungszwecken granular zustimmen und ihr muss hierzu die entsprechende Möglichkeit eingeräumt werden.152 Findet die Verarbeitung zu mehreren Zwecken statt, ist für alle Zwecke eine Einwilligung einzuholen, was jedoch nicht bedeutet, sie sollten in unterschiedlichen Dokumenten eingeholt werden – zumal es für die Einwilligung nach der DSGVO keiner vorgegebenen Form Bedarf.153 Allerdings können mehrere Verarbeitungsschritte die gleichen Zwecke verfolgen und daher gemeinsam durch die Einwilligung gerechtfertigt sein. Der Zweck der Verarbeitung muss konkret sein, wie sich aus Art. 6 Abs. 1 S. 1 lit. a) und Art. 5 Abs. 1 lit. b) DSGVO ergibt. Die DSGVO enthält den sog. Grundsatz der Zweckbindung. Dieser Grundsatz gibt im Kern vor, dass spätestens bei der Erhebung personenbezogener Daten die Zwecke festgelegt sein müssen, zu denen die Daten erhoben und weiterverarbeitet werden sollen, Art. 5 Abs. 1 lit. b) DSGVO.154 Sobald eine Zweckänderung erfolgt, muss sich die Einwilligung auch auf diese beziehen oder ein Fall der gesetzlich zulässigen Zweckänderung nach Art. 6 Abs. 4 DSGVO vorliegen. Eine Ausnahme hinsichtlich der Bestimmtheit der vorherigen Zwecksetzung gibt es für Zwecke der wissenschaftlichen Forschung, da bei diesen zum Zeitpunkt der Erhebung der Daten der Zweck der Verarbeitung oftmals nicht vollständig angegeben werden kann, ErwGr. 33 S. 1 DSGVO. Allerdings sind die einzelnen Voraussetzungen einer „breiten Einwilligung“ umstritten.155 Sofern die Verarbeitung zu Zwecken der wissenschaftlichen Forschung unter Einhaltung anerkannter ethischer Standards der wissenschaftlichen Forschung erfolgen, kann die Einwilligung auch für Bereiche der Forschung oder Teile von Forschungsprojekten erteilt werden, ErwGr. 33 S. 2, 3 DSGVO.156 Im Bereich der medizinischen Forschung existiert bereits eine Mustereinwilligung für einen solchen Broad Consent, der in rechtskonformer Weise die Nutzung personenbezogener Daten zu nicht näher bestimmten medizinischen Forschungszwecken ermöglicht.157

Damit die Einwilligung der betroffenen Person in die Übermittlung oder Bereitstellung der Daten für die Datentreuhand gegenüber dem Dateninhaber wirksam erteilt werden kann, muss er zuvor den Zweck der Datenverarbeitung festlegen. Zudem darf der Dateninhaber den Zweck nicht bloß abstrakt oder pauschal benennen (z.B. „geschäftliche Interessen“), sondern vielmehr muss er den Zweck konkretisieren (z.B. „Erhebung zum Zwecke der treuhänderischen Verwaltung von Daten zur Optimierung von landwirtschaftlichen Fahrzeugassistenzsystemen“). Für künftig in die Datentreuhand zu gebende Daten müsste der Dateninhaber die Zwecke, für die die Übermittlung oder Bereitstellung stattfinden, in der vorformulierten Einwilligung – wie sie in der Praxis geläufig ist – konkret benennen, damit die Zwecke als bestimmt gelten. Für jede Zweckänderung der Übermittlung der Daten in die Treuhand oder Bereitstellung der Daten müsste der Dateninhaber grundsätzlich eine neue Einwilligung einholen. Das ist praktisch nur dann handhabbar, wenn die Zwecke der Übermittlung oder Bereitstellung der Daten für die Datentreuhand bereits konkret für eine gewisse Zeit festgelegt sind und sich absehbar nicht ändern werden. Ansonsten ist bereits aufgrund der hohen Bestimmtheitsanforderungen der Einwilligung ein flexibler Einsatz einer Datentreuhand nur schwer in rechtskonformer Weise einsetzbar.158 Denkbar ist ein flexibler Einsatz dann, wenn der Dateninhaber die Einwilligung in der Weise elektronisch einholt, dass die betroffene Person bei jeder Zweckänderung benachrichtigt wird und der Zweckänderung zustimmen kann.

(c) Informiertheit

Die Einwilligung hat in informierter Weise zu erfolgen, d.h. die betroffene Person muss mindestens wissen, wer der Verantwortliche ist, für welche Zwecke die personenbezogenen Daten verarbeitet werden sollen, die Art, wie Daten erhoben werden und verwendet werden, das Bestehen eines Widerrufsrechts nach Art. 7 Abs. 3 S. 1 DSGVO, ggf. Informationen zur Verwendung dieser Daten für automatisierte Entscheidungsfindung sowie, soweit zutreffen, über besondere Risiken eine Datenübermittlung in Drittländer ohne Vorliegen eines Angemessenheitsbeschlusses oder geeignete Garantien i.S.d. Art. 47 DSGVO.159 Die Herstellung der Informiertheit der betroffenen Person ist ein Problem, das im Datenschutzrecht seit Langem besteht, denn faktisch ist sie in den meisten Fällen nicht gegeben. Grundsätzlich sind die zur Verfügung gestellten Informationen meist so umfangreich, dass die einwilligende Person keine Kenntnis von dem Inhalt der vorformulierten Einwilligung hat. Es besteht also nur eine Einwilligungsfiktion und keine wirksame Einwilligung. 160

Will der Dateninhaber die Übermittlung oder Bereitstellung der personenbezogenen Daten über die Einwilligung der betroffenen Person rechtfertigen, besteht zumindest stets das Risiko, eine Informiertheit nicht zu erreichen und damit rechtlich keine wirksame Einwilligung zu erlangen. Darüber hinaus hat die betroffene Person ein sog. Widerrufsrecht aus Art. 7 Abs. 3 S. S. 1 DSGVO. Hiernach kann die betroffene Person jederzeit die Einwilligung widerrufen, ohne einen Grund nennen zu müssen. Zwar bleibt die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Zeitpunkt des Widerrufs erhalten, allerdings ist eine weitere Datenverarbeitung ab Widerruf der Einwilligung rechtlich unzulässig.161 Zudem besteht ab dem Zeitpunkt des Widerrufs eine Löschpflicht des Dateninhabers als Verantwortlichen, die gesetzlich normiert ist, vgl. Art. 17 Abs. 1 lit. b) DSGVO.162 Auch dieser Umstand macht die Einwilligung zu einem wenig verlässlichen Rechtfertigungsinstrument für die Übermittlung oder Bereitstellung der personenbezogenen Daten durch den Dateninhaber.

(d) Erklärung oder sonstige eindeutig bestätigende Handlung der Person

Die Abgabe der Einwilligung kann nach der Definition des Art. 4 Nr. 11 DSGVO sowie ErwGr. 32 S. 1 DSGVO durch eine Erklärung oder sonstige eindeutig bestätigende Handlung der Person erfolgen, d.h., eine aktive bestätigende Handlung der betroffenen Person ist erforderlich.163 Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person reichen nicht aus,164 vielmehr muss eine bewusste und aktive Bestätigungshandlung vorliegen. Die Willenserklärung oder Handlung muss dazu geeignet sein, die Zustimmung der betroffenen Person unmissverständlich auszudrücken.165 Sofern die Einwilligung schriftlich abgefragt wird, hat dies in verständlicher und leicht zugänglicher Form sowie klarer und einfacher Sprache und ohne missbräuchliche Klauseln zu erfolgen, Art. 12 Abs. 1 S. 1 DSGVO. Im Übrigen kann die Einwilligung mündlich, schriftlich und/oder elektronisch abgegeben werden.166 Aus Gründen der Beweislast, die nach Art. 5 Abs. 2 DSGVO den Verantwortlichen trifft, ist die schriftlich bzw. elektronisch vorformulierte Einwilligung die am meisten verbreitete.

Der Dateninhaber, der personenbezogene Daten in die Datentreuhand geben will, muss der betroffenen Person die Möglichkeit geben, die Willensbekundung aktiv und erkennbar zu äußern. Stehen Beschäftigtendaten in Rede, müssen jedoch die Voraussetzungen der Einwilligung nach § 26 Abs. 2 BDSG vorliegen, wonach dann grundsätzlich die schriftliche Einwilligung einzuholen ist, sodass hier die eindeutige bestätigende Handlung grundsätzlich die Unterschrift des Arbeitnehmers ist.

(2) Erforderlichkeit zur Erfüllung des Treuhandvertrages, Art. 6 Abs. 1 S. 1 lit. b) DSGVO

Für die Rechtfertigung der Erhebung personenbezogener Daten, die der allgemeinen Kategorie zuzuordnen sind, kommt auch Art. 6 Abs. 1 S. 1 lit. b) DSGVO in Frage. Im Gesetz heißt es hierzu:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; […]“.

Wann eine Datenverarbeitung zur Erfüllung eines Vertrages „erforderlich“ ist, ist umstritten.167 Die wohl überwiegende Rechtsauffassung hält in diesem Sinn nur solche Datenverarbeitungen für die Erfüllung eines Vertrages für erforderlich, die zur Erfüllung des Geschäfts objektiv unentbehrlich sind.168 Hiernach können Basisdaten des Vertragspartners zur Zuordnung der Leistung und von anderen notwendigen Maßnahmen im Kontext des Vertrages fallen, nicht dagegen Datenverarbeitungen, die selbst Gegenstand des Vertrages sind. Eine andere Auffassung versteht den Begriff so weit, dass zur Erfüllung des Vertrages auch vertraglich vereinbarte Datenverarbeitungen notwendig sein sollen.169 Durch ein solches Verständnis droht der Schutz personenbezogener Daten allerdings durch eine bloße vertragliche Vereinbarung zur Disposition gestellt zu werden.170 Bis zu einer höchstrichterlichen Klärung sollte ihr aus Rechtssicherheitsaspekten nicht gefolgt werden.

Nach dem eindeutigen Wortlaut der Norm ist ein Vertrag zwischen der betroffenen Person und dem Dateninhaber als Verantwortlichem erforderlich. D.h., die Rechtfertigungsgrundlage kommt bereits zur Rechtfertigung solcher Datenverarbeitungen nicht in Betracht, in dem kein Vertragsverhältnis oder vorvertragliches Verhältnis besteht, z.B. bei Verarbeitungen von Daten, die sich auf unterschiedliche Fahrer eines KFZ oder, auf Personen im Umfeld des KFZ beziehen. Selbst wenn ein Vertragsverhältnis besteht, erlaubt das mit der herrschenden Meinung zugrundeliegende enge Verständnis keine Übermittlung oder Bereitstellung von personenbezogenen Daten, die über Basisdaten zur Vertragserfüllung hinausgehen. Insoweit scheidet Art. 6 Abs. 1 S. 1 lit. b) DSGVO in beiden Konstellationen als Rechtsfertigungsgrundlage aus. Allein die Verarbeitung von Daten, die sich auf den Dateninhaber beziehen und zu Abrechnungszwecken und zur Zuordnung der Leistung171 durch den Datentreuhänder notwendig sind, sind hiernach gerechtfertigt.

(3) Interessenabwägung, Art. 6 Abs. 1 S. 1 lit. f) DSGVO

Die einzige Rechtfertigungsgrundlage, die für die Rechtfertigung der Übermittlung oder Bereitstellung der personenbezogenen Daten durch den Dateninhaber im Privatrechtsverhältnis weiterhin in Frage kommt, ist die sog. Interessenabwägungsklausel nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

Die Übermittlung oder Bereitstellung der personenbezogenen Daten der betroffenen Person durch den Dateninhaber kann dann gerechtfertigt sein, wenn eine Interessenabwägung ergibt, dass Interessen des Dateninhabers oder eines Dritten an der Datenverarbeitung bestehen, die den Interessen der betroffenen Person an dem Schutz der sie betreffenden Daten mindestens gleichrangig sind (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Hierzu heißt es im Gesetz:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. […]“ .

Dieser Rechtfertigungsgrund hat im Privatrechtverhältnis aufgrund der aufgezeigten Schwächen der Einwilligung faktisch eine enorm große Bedeutung und kommt auch als zentraler Erlaubnistatbestand zur Rechtfertigung der Datenverarbeitung im gesamten Datentreuhandgefüge als zentrales Instrument der Legitimation in Frage.172

(a) Berechtigte Interessen des Dateninhabers oder eines Dritten

Die innerhalb von Art. 6 Abs. 1 S. 1 lit. f) DSGVO verwendeten Begriffe sind stets autonom, also unabhängig von einem mitgliedsstaatlichen Begriffsverständnis, auszulegen.173 In einem ersten Schritt müssen bei der Rechtfertigung durch Art. 6 Abs. 1 S. 1 lit. f) DSGVO „berechtigte Interessen des Verantwortlichen oder eines Dritten“ an der Verarbeitung im Einzelnen bestimmt werden. Was unter „berechtigte Interessen“ zu verstehen ist, regelt die DSGVO nicht. Da jedoch Art. 6 Abs. 1 S. 1 lit. f) DSGVO nicht von „Zweck“ spricht, ist vielmehr mit dem Begriff des Interesses das mit dem Zweck der Verarbeitung verfolgte Bestreben oder der mit dem Zweck verfolgte Nutzen gemeint.174 Das mit dem Zweck der Verarbeitung verfolgte Interesse kann als ein materielles oder immaterielles Bestreben und Nutzen des Verantwortlichen verstanden werden.175 Ein berechtigtes Interesse kann unter Heranziehung des Zwecks der Verarbeitung beispielsweise die Aufrechterhaltung einer Geschäftsbeziehung, die Vorbeugung von Straftaten, der vielfältige Zugang zu Informationen, die Förderung eines konkreten Forschungsprojekts, die ordnungsgemäße Beitreibung von Forderungen176 oder die Gewinnerzielung sein. Allerdings ist zu berücksichtigen, dass die Interessen des Verantwortlichen oder des Dritten regelmäßig auf die Ausübung von Grundrechten und Grundfreiheiten zurückzuführen sind, sodass allein die Grundrechte von Personen als äquivalentes Gegengewicht mit den Grundrechten der betroffenen Person abgewogen werden können.177 Berechtigt sind Interessen im Gegensatz zum Begriff der „lebenswichtigen Interessen“ (vgl. Art. 6 Abs. 1 S. 1 lit. d) DSGVO) dann, wenn sie nicht verboten, also von der Rechtsordnung anerkannt sind.178

Welche Interessen der Dateninhaber mit der Übermittlung oder Bereitstellung der personenbezogenen Daten verfolgt, hängt maßgeblich vom hinter dem Zweck liegenden Bestreben des Dateninhabers ab. Dieses Bestreben kann divergieren und daher nur im konkreten Anwendungsfall bestimmt werden. Im vorliegenden Zusammenhang ist also zu fragen, welchen Nutzen das von ihm gewählte Treuhandmodell für den Dateninhaber hat. Der Dateninhaber kann etwa konkrete Gesundheitsforschungszwecke verfolgen, die das immaterielle Interesse der Forschung betreffen, die von der Forschungsfreiheit aus Art. 13 S. 1 Alt. 2 GRCh umfasst ist. Auch kann der Zweck eine reine Gewinnerzielungsabsicht innerhalb der Umsetzung eines konkreten Entgeltmodells sein, mit dem materielle Interessen verfolgt werden, die von der unternehmerischen Freiheit nach Art. 16 GRCh oder von der Berufsfreiheit aus Art. 15 GRCh179 erfasst sind. Auch bei Dateninhabern, die z.B. im Kontext von vernetzten KFZ Daten bereitstellen, werden diese benannten Interessen maßgeblich betroffen sein.180 Außerhalb der Gewinnerzielungsabsicht bestehen auch rechtliche Pflichten, deren Einhaltung im Interesse des Unternehmens des Dateninhabers liegen, so etwa solche aus dem DA-E oder der DSGVO, um das Geschäft vor Sanktionen zu schützen. Auch solche Interessen sind von unternehmerischen Freiheit nach Art. 16 GRCh oder von der Berufsfreiheit aus Art. 15 GRCh erfasst.

Nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO können auch Interessen Dritter an der Datenverarbeitung bestehen und in die Interessenabwägung einfließen, die aber ebenfalls konkret zu bestimmen sind. „Dritter“ ist nach Art. 4 Nr. 10 DSGVO

jede juristische oder natürliche Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten“.

Hierunter ist eine sonstige Stelle zu verstehen, die zwar personenbezogene Daten verarbeitet, jedoch nicht die betroffene Person und weder Verantwortlicher, dessen Auftragsverarbeiter oder noch eine sonstige Person ist, die diesen unterstellt ist.

Die Interessen des Datentreuhänders können als Interessen Dritter bei der durchzuführenden Interessenabwägung zu berücksichtigen sein, wenn er für die Übermittlung oder Bereitstellung nicht gemeinsam mit dem Dateninhaber verantwortlich ist.181 Seitens des Datentreuhänders können denkbar viele Interessen bestehen. Diese können rein materielle und damit geschäftliche Interessen sein, die von der unternehmerischen Freiheit aus Art. 16 GRCh oder von der Berufsfreiheit aus Art. 15 GRCh erfasst sind. Diese können aber auch konkrete Forschungsinteressen sein, die je nach Einbindung der Datentreuhänder als wesentlicher Bestandteil des Forschungszyklus erfasst sein können, z.B. bei Datentreuhändern, die darauf spezialisiert sind, als Vertrauensstelle für die Forschung, Daten zu anonymisieren oder zu pseudonymisieren. Ein solches Interesse ist von der Forschungsfreiheit aus Art. 13 S. 1 Alt. 2 GRCh umfasst. Hier ist also insbesondere zu berücksichtigen, dass auch mehrere Interessen des Datentreuhänders nebeneinanderstehen können, und zwar abhängig davon, in welchem Kontext er tätig ist.

Als Interessen Dritter können hier zum anderen die Interessen von Datennehmern herangezogen werden. Zwar sind die Verarbeitungsverhältnisse im Datentreuhandverhältnis und die Rechtfertigung der Datenverarbeitung in diesen als solche strikt voneinander zu trennen. Nicht davon zu trennen sind, wie das Gesetz ausdrücklich sagt, aber anderweitige Interessen Dritter, die an der Verarbeitung bestehen können. Auch hier kann der konkrete Nutzen von Datennehmern und die damit zusammenhängenden Interessen denkbar vielfältig sein. Sie können ebenso von konkreten Forschungsinteressen, die von der Forschungsfreiheit aus Art. 13 S. 1 Alt. 2 GRCh umfasst sind (so z.B. privatrechtliche Forschungsstellen), bis hin zu materiellen und damit rein geschäftlichen Interessen reichen, die von der unternehmerischen Freiheit aus Art. 16 GRCh oder von der Berufsfreiheit aus Art. 15 GRCh182 erfasst sind (so z.B. Datennehmer, die als Datenbroker arbeiten). Diese können nur im Einzelfall bestimmt werden. Ihre Bestimmung ist von zentraler Bedeutung, denn die Interessen und damit Grundrechte werden als Gewicht in die Waagschale gesetzt, d.h., sie können die einzelfallbezogene Abwägung zugunsten der Rechtfertigung der Übermittlung oder Bereitstellung der personenbezogenen Daten im Grundlagen-Layer deutlich beeinflussen.

(b) Übermittlung oder Bereitstellung zur Wahrung der Interessen „erforderlich“

In einem zweiten Schritt muss die Verarbeitung zur Wahrung dieser zuvor bestimmten Interessen „erforderlich“ sein. Die Erforderlichkeit beschreibt allgemein die Relation zwischen Mittel und Zweck.183 Die Verarbeitung zur Wahrung der Interessen des Verantwortlichen oder eines Dritten ist dann erforderlich, wenn das Interesse nicht in zumutbarer Weise durch andere Mittel gewahrt werden kann.184 Auch diese Frage hängt von den Umständen des Einzelfalls ab, was generell zu großer Kritik an der Interessenabwägungsklausel aus Art. 6 Abs. 1 S. 1 lit. f) DSGVO führt, weil sie eine große Rechtsunsicherheit für den Anwender mit sich bringt.185

Konkret dürften zur Wahrung der festgestellten Interessen des Dateninhabers sowie des Datentreuhänders und der Datennehmer als Dritter nicht in zumutbarer Weise durch ein anderes Mittel gewahrt werden als durch die Übermittlung oder Bereitstellung der personenbezogenen Daten. In Betracht käme als mildere Alternative, der unmittelbare Austausch zwischen Dateninhaber und dem Datennehmer unter Ausschluss des Datentreuhänders, der als weiterer Akteur Einblick in die personenbezogenen Daten erhält. Ein Unterlassen der Übermittlung oder Bereitstellung kommt als milderes Mittel nicht in Betracht, da mit den verfolgten Interessen, zu schützende Grundrechte der einzelnen Dateninhaber, Datentreuhänder und ggf. Datennehmer verwirklicht werden. Der Einsatz eines Datentreuhänders kann allerdings auch gerade die Funktion haben, systematisch dem Schutz personenbezogener Daten zu dienen und – wenn eine Weitergabe stattfinden soll – eine Weitergabe erst nach Überprüfung datenschutzrechtlicher Voraussetzungen zu veranlassen. Gegenüber einem unmittelbaren Datenaustausch zwischen Datennehmer und Datengeber wäre er also selbst das mildere Mittel.

Sollte der Dateninhaber vor der Übermittlung oder Bereitstellung eine Anonymisierung durchführen können, die die verfolgten Interessen in gleichem Maße bedienen, dann wäre diese Art der Verarbeitung ein milderes Mittel186 und damit nach dem Gesetz vorzuziehen.

(c) Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person

In einem dritten Schritt sind die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person zu identifizieren und in die Abwägung einzubeziehen.

Bei der Übermittlung oder Bereitstellung personenbezogener Daten kommt i.S.d. Art. 1 Abs. 1 DSGVO das Interesse der betroffenen Person in Betracht, selbst über die Verarbeitung der sie betreffenden Daten zu entscheiden und damit das Risiko einer fremdbestimmten Datenverarbeitung entgegenzuwirken.187 Die Freiheit, selbst die Preisgabe und Verwendung persönlicher Daten zu entscheiden188 und „Herr seiner Daten“ zu sein, ist grundsätzlich durch die Übermittlung oder Bereitstellung personenbezogener Daten durch den Dateninhaber beeinträchtigt.189 Mithin stellen sie eine Beeinträchtigung des Datenschutzgrundrechts aus Art. 8 Abs. 1 GRCh dar.

Auch kann das Interesse der betroffenen Person an Transparenz und Auskunft,190 die Kontrolle über die Verarbeitung der sie betreffenden Daten verschaffen, beeinträchtigt sein. Das ist nicht nur einfachgesetzlich in den Art. 13, Art. 14 und Art. 15 DSGVO, sondern auch grundrechtlich durch Art. 8 Abs. 2 S. S. 1, 2 GRCh gewährleistet.191 In vielen Fällen wird der Dateninhaber nämlich bereits bestehende Daten in die Datentreuhand geben wollen. Auch in Fällen, in den eine Einwilligung in die Übermittlung oder Bereitstellung künftiger entstehender Daten aufgrund tatsächlicher Umstände nicht möglich ist, wie etwa bei mehreren Fahrern eines vernetzten KFZ oder Passanten im Umfeld des Fahrzeugs192, beeinträchtigt diese Rechte im Grundsatz.

Zudem können Risiken mit der Übermittlung oder Bereitstellung personenbezogener Daten einhergehen, die über die einzelne Information hinaus ­ Auswirkungen auf das Privatleben der einzelnen Person haben können. Das lässt sich zwar abstrakt nicht immer als Interesse der betroffenen Person festmachen, jedoch können Daten im Einzelfall auch Informationen enthalten, die für die betroffene Person eine beeinträchtigende Wirkung entfalten können, was insbesondere dann an Bedeutung gewinnt, wenn Bilddaten193 übermittelt oder bereitgestellt werden sollen. Das ist v.a. im Kontext von vernetzten KFZ, die mit kamerabasierten Technologien arbeiten, von Bedeutung.194 In diesen Fällen betreffen die Interessen der betroffenen Person das Recht auf Privatleben nach Art. 7 GRCh, das ebenso in die Waagschale fällt, die gegenüber der Waagschale zugunsten der Verarbeitung steht.

Ist die betroffene Person ein Kind, so ist der Schutz der Rechte des Kindes195 in besonderem Maße zu berücksichtigen.196 Das ergibt sich auch ausdrücklich aus dem Wortlaut des Art. 6 Abs. 1 S. 1 lit. f) HS. 2 DSGVO sowie der UN-Kinderrechtskonvention (UN-KRK). Werden also im konkreten Anwendungskontext Daten, die sich auf Kinder beziehen, durch den Dateninhaber übermittelt oder bereitgestellt, stellen sie ein schweres Gewicht in der Waagschale dar, die gegen die Rechtsmäßigkeit der Datenverarbeitung spricht. Ein solcher Anwendungskontext kann etwa bei vernetzten Kinderspielzeugen oder aber Spiele-Apps für Kinder bestehen, wenn die Anbieter dieser Anwendungen die Dateninhaber sind und Daten in die Datentreuhand geben wollen.

(d) Abwägung im Einzelfall und Faktoren

In einem vierten und letzten Schritt muss festgestellt werden, ob die Interessen oder Grundrechte und Grundfreiheiten des Verantwortlichen oder Dritten gegenüber solchen der betroffenen Person mindestens gleichrangig sind. Dann ist die Verarbeitung zulässig.197 Auch hier ist die Norm des Art. 6 Abs. 1 S. 1 lit. f) DSGCO in besonderem Maße offen und unbestimmt, sodass allein die Umstände des Einzelfalls maßgebend für die Abwägung sind. Zur Konkretisierung und Konturierung der Abwägung werden Faktoren vorgeschlagen, die bei der Abwägung maßgebend sind.198 Diese Faktoren müssen bei der Frage der Übermittlung oder Bereitstellung der personenbezogenen Daten im Einzelfall geprüft werden. Sie sind Ausprägung des sog. risikobasierten Ansatzes der DSGVO.199 Nach dem risikobasierten Ansatz der DSGVO steigen die Anforderungen an die Rechtmäßigkeit und die Bemühungen des Verantwortlichen in Bezug auf den Schutz personenbezogener Daten, je höher das Risiko der Verarbeitung ist.200 Die folgenden Kriterien sind dabei im Wesentlichen (nicht abschließende Aufzählung) zu berücksichtigen.

(4) Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 S. 1 lit. c) DSGVO

Ein weiterer Rechtfertigungsgrund für die Verarbeitung kann grundsätzlich Art. 6 Abs. 1 S. 1 lit. c) DSGVO (i.V.m. Art. 6 Abs. 2, 3 DSGVO) sein. Darin heißt es:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] c) ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; […].

Bei den Normen handelt es sich selbst nicht um einen Rechtfertigungstatbestand, sondern erst in Verbindung mit den Voraussetzungen aus Art. 6 Abs. 2 und Art. 3 DSGVO sowie mit einer konkreten Norm aus dem nationalen oder unionalen Recht kann eine Rechtfertigung begründet werden.218 Zunächst einmal muss es eine rechtliche Verpflichtung geben, die durch den Verantwortlichen zu erfüllen ist, die durch Rechtsvorschrift vorgegeben ist, d.h., allgemeine ungeschriebene Pflichten reichen hier nicht aus.219 Die rechtliche Verpflichtung muss zudem ein Ziel verfolgen, das im öffentlichen Interesse liegt.220 Zudem muss die Rechtsnorm einen objektiven Bezug zur Datenverarbeitung haben, z.B. steuerrechtliche Aufbewahrungspflichten von Dokumenten. Allerdings sind solche Regelungen sehr bereichsspezifisch und legitimieren dann in der Regel auch nur bestimmte Verarbeitungsarten, z.B. die Aufbewahrung in Form der Speicherung, nicht jedoch eine Übermittlung oder Bereitstellung von Daten gegenüber einem anderen Verantwortlichen. Aus diesen Gründen ist Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 6 Abs. 2, 3 DSGVO keine Rechtsgrundlage, die einen breiten Anwendungsbereich für die Rechtfertigung bietet, wie sie aber im Verarbeitungsverhältnis zwischen Dateninhaber und Datentreuhänder erforderlich ist.

(5) Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe, Art. 6 Abs. 1 S. 1 lit. e) DSGVO

Nach Art. 6 Abs. 1 S. 1 lit. e) DSGVO (i.V.m. Art. 6 Abs. 2, 3 DSGVO) kann die Verarbeitung personenbezogener Daten gerechtfertigt sein, wenn sie im öffentlichen Interesse liegt. Im Gesetz heißt es hierzu:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […] e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; […]“.

Bei der Norm handelt es sich nicht um einen Erlaubnistatbestand, sondern sie kann die Datenverarbeitung erst in Verbindung mit den Voraussetzungen aus Art. 6 Abs. 2 und Abs. 3 DSGVO rechtfertigen.221

Von Relevanz ist in diesem Kontext nur die erste Variante des Art. 6 Abs. 1 S. 1 lit. e) DSGVO, da die zweite Variante im Anwendungsbereich nur solche Private erfasst, die kraft Gesetzes als Beliehene öffentliche Aufgaben222 wahrnehmen. Im öffentlichen Interesse handeln kann auch eine private Stelle, also grundsätzlich auch der Dateninhaber.223 Allerdings muss eine nationale Vorschrift vorliegen, die gerade den Privaten adressiert und dabei auch die Voraussetzungen von Art. 6 Abs. 2 und Abs. 3 DSGVO erfüllt. In dieser Konstellation kommen nur spezielle Vorschriften, wie z.B. § 1 PartG oder § 30 Abs. 4 AO in Frage.224 Insoweit käme eine Rechtfertigung der Übermittlung oder Bereitstellung personenbezogener Daten gegenüber dem Datentreuhänder nur zur Erfüllung spezieller und damit abgegrenzter Aufgaben in Betracht. Die Norm ermöglicht also nicht die Rechtfertigung der Datenverarbeitung unter allgemeinen Voraussetzungen, z.B. im Bereich von KFZ-Daten.

b) Rechtfertigungstatbestände sensibler Datenverarbeitung Art. 9 Abs. 2 DSGVO

Will der Dateninhaber sensible Daten übermitteln oder bereitstellen, so kommen ausschließlich die in Art. 9 Abs. 2 DSGVO aufgezählten Erlaubnistatbestände in Frage.

Art. 9 Abs. 2 enthält in lit. b), c), lit. d), lit. e) und lit. f) DSGVO Erlaubnistatbestände, die einen engen oder besonderen Anwendungsbereich haben. Diese werden hier nicht näher erörtert, da sie grundsätzlich nicht in Frage kommen, die hier aufgezeigten Datenverarbeitungen in den hier behandelten Anwendungsfällen der Datentreuhand zu rechtfertigen.225

Die in Frage kommenden Erlaubnistatbestände zur Rechtfertigung der Übermittlung oder Bereitstellung sensibler Daten durch den Dateninhaber sind die Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO, die Rechtsgrundlage für die Gesundheitsvorsorge, Diagnostik, Systeme und Dienstleistungen im Gesundheitsbereich nach § 22 Abs. 1 Nr. 1 lit. b) BDSG i.V.m. Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO sowie die Rechtsgrundlage für die Verarbeitung zu Forschungszwecken § 27 BDSG i.V.m. Art. 9 Abs. 2 lit. j), Art. 89 DSGVO.

(1) Einwilligung in Übermittlung oder Bereitstellung sensibler Daten

Zur Rechtfertigung der Erhebung sensibler Daten im Datentreuhandverhältnis zur betroffenen Person kommt zunächst die Einwilligung in Frage.

Die DSGVO sieht neben der Einwilligung in die Verarbeitung nicht-sensibler personenbezogener Daten nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO auch eine auch eine Einwilligung in die Verarbeitung sensibler Daten nach Art. 9 Abs. 2 lit. a) DSGVO vor. Hierzu heißt es im Gesetz:

„[…] Absatz 1 gilt nicht in folgenden Fällen: a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, […]“.

Aus der Vorschrift gehen jedoch im Vergleich zu Art. 6 Abs. 1 S. 1 lit. a) DSGVO strengere Voraussetzungen hervor. Zum einen gibt die Vorschrift die Voraussetzung der „Ausdrücklichkeit“ vor. Die Ausdrücklichkeit der Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO setzt erhöhte Anforderungen an die Art und Weise, wie eine Person ihre Zustimmung zum Ausdruck bringt.226 Diese kann nicht stillschweigend oder konkludent erfolgen, wobei die schriftliche Einholung nicht zwingend erforderlich ist.227 Höhere Anforderungen gelten auch für die Bestimmtheit der Einwilligung, insbesondere die Benennung der konkreten sensiblen Daten und der konkreten Zwecke der Datenverarbeitung ist erforderlich.228 Auch an die Freiwilligkeit der Einwilligung werden hohe Voraussetzungen geknüpft, insbesondere muss die betroffene Person in einzelnen Verarbeitungszwecke auswählen können (sog. Granularität.).229. Zu beachten ist andererseits, eine Überdetaillierung zu vermeiden, da diese zu einer schweren Verständlichkeit bei vorformulierten Einwilligungen führt und der Transparenzpflicht gegenüber der betroffenen Person widersprechen kann.230 Das ist vor dem Hintergrund erforderlich, um der betroffenen Person die aus der Verarbeitung erwachsenden Gefahren hinreichend zu vermitteln. Das macht die Einwilligung zur Rechtfertigung sensibler Daten noch schwerer handhabbar als zur Rechtfertigung nicht-sensibler personenbezogener.

Sofern die Verarbeitung zu Zwecken der wissenschaftlichen Forschung unter Einhaltung anerkannter ethischer Standards erfolgt, kann die Einwilligung auch ausnahmsweise für unbestimmte Bereiche der Forschung oder Teile von Forschungsprojekten erklärt werden.231 Im Bereich der medizinischen Forschung existiert bereits eine Mustereinwilligung, ein sog. Broad Consent, die in die Nutzung personenbezogener Daten zu nicht näher bestimmten medizinischen Forschungszwecken ermöglicht.232 Bei Anwendung einer solchen Mustereinwilligung ist dennoch stets eine konkrete Prüfung durch den Verantwortlichen notwendig, da sich der Inhalt der Einwilligung stets nach den konkreten Umständen der Forschung richten muss. Insoweit muss der Verantwortliche auch erwägen, ob er eine sog. „Tiered Consent“ (sog. abgestufte Einwilligung), die eine Auswahl an Zwecken und Optionen bietet, 233 oder ein sog. „Dynamic Consent“ (sog. dynamische Einwilligung),234 der unter Nutzung eines elektronischen Interfaces zeitlich begleitend mit verändertem Inhalt erteilt werden kann, nach den Umständen des Einzelfalls vorzuziehen ist.

Bei der Übermittlung oder Bereitstellung sensibler Daten durch den Dateninhaber gilt hier das bereits Ausgeführte zur Einwilligung (siehe unter C.I.2.b.1)b)(1)). Handelt es sich bei dem Dateninhaber um eine Forschungseinrichtung, so kommt die Einwilligung in Anlehnung eines Broad Consent im medizinischen Forschungsbereich durchaus in Frage. Dann muss die Einwilligung unter Einhaltung der hohen Bestimmtheitsanforderungen die Übermittlung oder Bereitstellung der sensiblen Daten an den Datentreuhänder beinhalten. Denn jede Stelle, die Zugang zu sensiblen Daten erhält, muss ausdrücklich benannt werden.235

Aus Beweisgründen und der Vermeidung daran anknüpfender Sanktionen sollte der Dateninhaber die Einwilligung schriftlich oder elektronisch einholen.

(1) Gesundheitsvorsorge, Diagnostik, Systeme und Dienstleistungen im Gesundheitsbereich

Ein zentraler Erlaubnistatbestand im Bereich der Gesundheitsversorgung stellt § 22 Nr. 1 lit. b) BDSG (i.V.m. Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO) dar.236 Mit ihr sollen Verarbeitungen im gesamten gesundheits- und Sozialwesen erfasst werden.237 Hierzu heißt es im Gesetz:

Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig

1. durch öffentliche und nichtöffentliche Stellen, wenn sie

a) zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden, […]“.238

Relevant im vorliegenden Kontext ist die Variante der Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich. Hiermit soll sichergestellt werden, dass auch im Rahmen der mit Gesundheitsdienstleistungen einhergehenden Verwaltungstätigkeit sensible Daten verarbeitet werden dürfen, soweit dies erforderlich ist.239 Erfasst sind hier etwa das Führen einer Patientenakte, die Buchführung und Statistik sowie auch die administrative Tätigkeit der Träger der Kosten für Gesundheits- und Sozialdienstleistungen.240 Die Verarbeitung wird aber auf die Verarbeitung in der jeweiligen Einrichtung beschränkt, also in der Arztpraxis, der Apotheke, dem Krankenhaus oder der sonstigen Einrichtung der Gesundheitsversorgung.241

Das Tatbestandsmerkmal des „Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs“ umfasst nur Behandlungsverträge i.S.d. §§ 630a ff BGB sowie Verarbeitungen durch ihre Erfüllungsgehilfen, die einer gesetzlichen Geheimhaltungspflicht unterfallen, aber nicht Verarbeitungen im Zusammenhang von Verträgen zwischen Heilberufsangehörigen und Dritten.242

Will der Dateninhaber sensible Daten übermitteln oder bereitstellen, kommen die in § 22 Abs. 1 Nr. lit. b) BDSG genannten Rechtfertigungsgründe nicht in Betracht: Denn zum einen muss die Datenverarbeitung innerhalb der Einrichtung des Dateninhabers erfolgen, was aber denklogisch ausscheidet, wenn eine außenstehende Stelle, hier de Datentreuhänder Zugang zu den sensiblen Daten erhält. Zum anderen rechtfertigt der Tatbestand die Datenverarbeitung auf Grundlage des Behandlungsvertrages mit dem Dateninhaber, wenn dieser ein Behandelnder i.S.d. § 630a ff. BGB ist. Nicht erfasst ist aber die Verarbeitung auf Grundlage eines Vertrages des Behandelnden mit einem Dritten, hier also dem Dateninhaber. Hier käme allenfalls eine Auftragsverarbeitung durch den Datentreuhänder in Betracht, die die Anforderungen des Art. 28 DSGVO erfüllt. Vorliegend wird aber von der Prämisse ausgegangen, dass der Datentreuhänder grundsätzlich Verantwortlicher ist (s.o.), sodass hier nicht näher auf die Auftragsverarbeitung eingegangen wird. In dieser Konstellation kommt allein die Einwilligung zur Rechtfertigung der Übermittlung oder Bereitstellung der Daten in Betracht.

(2) Wissenschaftliche und historische Forschungszwecke, statistische Zwecke

§ 27 Abs. 1 S. 1 BDSG (i.V.m. Art. 9 Abs. 2 lit. j) DSGVO) enthält einen Rechtfertigungstatbestand für die Verarbeitung sensibler Daten zu wissenschaftlichen und historischen Forschungszwecken sowie zu statistischen Zwecken. Die Norm kommt im Bereich der Übermittlung oder Bereitstellung sensibler Daten für Forschungszwecke und statistische Zwecke in der Privatwirtschaft in Frage.243 In § 27 Abs. 1 S. 1 BDSG heißt es:

(1) „Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. […]“.244

Der Begriff der wissenschaftlichen Forschung ist weder im BDSG noch in der DSGVO definiert und insofern auslegungsbedürftig.245 Der Begriff der wissenschaftlichen Forschung i.R.d. DSGVO weit auszulegen und umfasst beispielsweise die technologische Entwicklung und Demonstration, die Grundlagenforschung, die angewandte Forschung, privat finanzierte Forschung sowie Studien, die im allgemeinen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. 246 Hierbei ist nach DSGVO auch dem in Art. 179 AEUV festgehaltene Ziel der Schaffung von Forschung im europäischen Raum sowie dem Grundrecht der Forschungsfreiheit nach Art. 13 GRCh Rechnung zu tragen.247 Unter Berücksichtigung dieser Auslegungsansätze kann wissenschaftliche Forschung iSd. der DSGVO und § 27 Abs. 1 BDSG als Tätigkeit verstanden werden, die dem Ziel dient, in methodischer, systematischer, nachprüfbarer, kritikoffener sowie revisionsoffener Art und Weise neue Erkenntnisse zu gewinnen, diese zu deuten oder weiterzugeben.248 Teilweise wird vertreten, eine Beschränkung der wissenschaftlichen Forschung auf unabhängige Forschungsvorhaben sei notwendig, was hieße, dass jedenfalls solche Vorhaben, bei denen ein kommerzieller Auftraggeber Einfluss auf die Tätigkeit ausüben kann, der geeignet ist, die Forschungsergebnisse nach den Vorstellungen des Auftragsgeber zu gestalten oder zu manipulieren, keine wissenschaftliche Forschung i.S.d. § 27 BDSG darstelle.249 Dagegen spricht jedoch, dass die Unabhängigkeit nicht bereits deshalb ausgeschlossen, weil der Auftraggeber kommerzielle Interessen verfolgt.250 Nach dem ausdrücklichen Wortlaut des EwrGr. 159 S. 2, 2. Hs. DSGVO ist auch die privat finanzierte Forschung als wissenschaftliche Forschung erfasst. Vielmehr ist darauf abzustellen, ob bei der privatfinanzierten Forschung wissenschaftliche Methodik zum Einsatz kommt oder nicht,251 denn allein diese kann normativ und objektiv darüber entscheiden, ob eine wissenschaftliche Forschung nach anerkannten Maßstäben vorliegt oder nicht.

Hiernach kann also ein Dateninhaber, der als private Stelle handelt und sensible Daten zu wissenschaftlichen Forschungszwecken übermitteln oder bereitstellen will, sich auf die Rechtsgrundlage nach § 27 BDSG stützten. Solche Zwecke können insbesondere im Zusammenhang mit der Datentreuhand für technologische Entwicklung oder Grundlagenforschung bestehen.

(a) Erforderlichkeit

Die Übermittlung oder Bereitstellung der sensiblen Daten muss auch erforderlich sein. Dies ist der Fall, wenn kein gleichgeeignetes, milderes Mittel zur Erreichung der anvisierten Forschungszwecke vorhanden ist.252 An der Erforderlichkeit fehlt es jedenfalls dann, wenn die Zwecke der Verarbeitung, d.h. die Durchführung der wissenschaftlichen Forschung, auch mit anonymisierten oder pseudonymisierten Daten erfolgen könnte.253 Die Erforderlichkeit ist anhand der konkreten Umstände des Einzelfalls zu prüfen. Hier wird jedoch davon ausgegangen, dass die Übermittlung oder Bereitstellung der sensiblen Daten in anonymisierter oder pseudonymisierter Form für die Erreichung der wissenschaftlichen Forschungszwecke möglich ist, um in folgenden Schritt die Maßstäbe der Abwägung näher darzustellen.

(b) Interessenabwägung

Als einen letzten zu prüfenden Schritt müssten die Interessen des Dateninhabers an der Übermittlung oder Bereitstellung der sensiblen Daten zu Forschungszwecken die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung in einer Interessenabwägung erheblich überwiegen. Bei den zu berücksichtigenden Interessen kommt es vor allem auf die wissenschaftlichen Interessen an der Durchführung des konkreten Forschungsvorhabens an, denn die Rechtsgrundlage will insbesondere den Gemeinwohlgedanken der Forschung privilegieren.254 Ein erhebliches Überwiegen liegt vor, wenn das Ergebnis der Interessenabwägung ein deutliches Überwiegen der Interessen des Verantwortlichen aufzeigt.255

Der Dateninhaber wird auch hier als private Stelle häufig in seiner unternehmerischen Freiheit aus Art. 12 Abs. 1 GG bzw. Art. 16 AEUV, sowie Forschungsfreiheit aus Art. 5 Abs. 3 GG bzw. Art. 13 GRCh betroffen sein.256 Generell sollte bei der Interessenabwägung ebenso beachtet werden, dass der europäische und der nationale Gesetzgeber die Datenverarbeitung zu Forschungs- und statistischen Zwecken an vielen Stellen privilegiert haben.257 Diese generelle Privilegierung stellt ein erhebliches Gewicht in der Waagschale zugunsten der Verarbeitung dar. Dahinter steht der Gedanke des Nutzens der Forschung für die Allgemeinheit.258

Als Interessen der betroffenen Person an einem Ausschluss der Verarbeitung kommen grundsätzlich der Schutz der Privatsphäre aus Art. 2 Abs. 1 GG sowie des Rechts auf informationelle Selbstbestimmung bzw. aus Art. 8 GRCh sowie Art. 7 GRCh. Erheblich zulasten der Zulässigkeit der Verarbeitung fällt ins Gewicht, dass der Schutz sensibler Daten nach der DSGVO sehr hoch ist.259 Der Gesetzgeber geht davon aus, dass besondere Risiken mit der Verarbeitung sensibler Daten verbunden sind, insbesondere kann eine Diskriminierung oder der Verlust der Vertraulichkeit von Berufsgeheimnissen unterliegenden Daten damit einhergehen.260 Diese Risiken verringern können allerdings technische und organisatorische Maßnahmen, die, soweit sie der Dateninhaber vorsieht, die Abwägung deutlich zugunsten der Zulässigkeit der Datenverarbeitung lenken können.261

(3) Zwischenergebnis

Die Kategorie der personenbezogenen Daten, also, ob nicht-sensible oder sensible personenbezogene Daten durch den Dateninhaber übermittelt oder bereitgestellt werden, entscheidet über den Maßstab der Rechtfertigung nach Art. 6 Abs. 1 S. 1 oder Art. 9 Abs. 2 DSGVO.

Im Einzelnen:

Die Einwilligung der betroffenen Person in die Übermittlung oder Bereitstellung der sie betreffenden Daten durch den Dateninhaber kommt vor allem nur dann in Betracht, wenn die Daten Personen betreffen, bei denen der Dateninhaber problemlos eine solche Erklärung einholen kann, z.B. von eigenen Mitarbeitenden des Unternehmens oder Kunden des Unternehmens. In anderen Konstellationen, wie etwa der Übermittlung oder Bereitstellung von KFZ-Daten ist es kaum möglich, eine informierte und damit wirksame Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO einzuholen, insbesondere nicht, wenn es um die Verarbeitung von Daten geht, die sich auf Personen im Umfeld des KFZ befinden.

Der Rechtfertigungstatbestand aus Art. 6 Abs. 1 S. 1 lit. b) DSGVO scheidet für die Rechtfertigung der Übermittlung oder Bereitstellung von personenbezogenen Daten durch den Dateninhaber aus. Denn die Norm verlangt ein Vertragsverhältnis oder vorvertragliches Verhältnis, das hier entweder zwischen dem Dateninhaber und der betroffenen Person gar nicht besteht oder wenn es besteht, nur die Verarbeitung von objektiv unentbehrlichen Daten für die Vertragserfüllung im Verhältnis zwischen Dateninhaber und betroffener Person erlaubt. Eine Übermittlung oder Bereitstellung der personenbezogenen Daten an den Datentreuhänder als eine in diesem Verhältnis außenstehende Stelle ist hiervon nicht gedeckt.

Die Interessenabwägungsklausel aus Art. 6 Abs. 1 S. 1 lit. f) DSGVO kann nach einer Abwägung der widerstreitenden Interessen die Übermittlung oder Bereitstellung personenbezogener Daten durch den Dateninhaber an den Datentreuhänder rechtfertigen. Das gilt sowohl für Daten, die sich auf Personen beziehen, die auch grundsätzlich eine Einwilligung abgeben könnten, z.B. Arbeitnehmer- oder Kundendaten. Das gilt aber auch für Daten, die sich auf Personen beziehen, deren Einwilligung aufgrund praktischer Umstände nicht eingeholt werden kann. Die Abwägung ist unter Berücksichtigung der im Einzelfall vorliegenden Umstände und Heranziehung der hier dargestellten Faktoren durchzuführen, wobei technische und organisatorische Schutzmaßnehmen das Ergebnis deutlich zugunsten der Zulässigkeit der Übermittlung oder Bereitstellung lenken können. Das sind nach dem risikobasierten Ansatz der DSGVO folgende (nicht abschließende) Faktoren:

  1. Bedeutung der hinter den Interessen liegenden Grundrechte

  2. Bedeutung der Verarbeitung

  3. Anzahl der Verantwortlichen, Dritten und betroffenen Personen

  4. Zweck der Verarbeitung

  5. Art der Verarbeitung

  6. Menge der verarbeiteten Daten

  7. Speicherdauer

  8. Art der Erhebung und vernünftige Erwartungen der Person

  9. Quelle der Daten

  10. Technische und organisatorische Maßnahmen

  11. Machtverhältnis

  12. Drittstaatbezug

Aufgrund des spezifischen und nur für begrenzte Bereiche vorgesehenen Anwendungsbereichs scheiden Art. 6 Abs. 1 lit. c) i.V.m. lit. e) (i.V.m. Art. 6 Abs. 2, 3 DSGVO) für die Rechtfertigung der Übermittlung oder Bereitstellung personenbezogener Daten durch den Dateninhaber im Sinne eines generellen Verarbeitungsrahmens aus.

Die Übermittlung oder Bereitstellung sensibler Daten durch den Dateninhaber an den Datentreuhänder kann grundsätzlich durch die Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a) DSGVO gerechtfertigt werden. Die Einwilligung Bedarf der Einhaltung noch engerer Voraussetzungen als die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO, die sie in der Praxis zu einem schwer handhabbaren Rechtfertigungsinstrument macht, insbesondere, weil ein jederzeitiger Widerruf der betroffenen Person nach Art. 7 Abs. 3 S. 1 DSGVO möglich ist und diese eine anschließende Löschungspflicht nach Art. 17 Abs. 1 DSGVO auslöst. Für den Bereich der Forschung kommen Mustereinwilligungen in Frage, die es erlauben, ein Broad Consent, abzugeben.

Die Rechtfertigung der Übermittlung oder Bereitstellung sensibler Daten durch den Dateninhaber gegenüber dem Datentreuhänder nach § 22 Abs. 1 Nr. 1 lit. b) DSGVO (i.V.m. Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO) scheidet aus, da die Norm nur Datenverarbeitungen innerhalb der Gesundheitseinrichtung zulässt. Zudem ist eine Datenverarbeitung nur im Rahmen eines Behandlungsvertrags zwischen Dateninhaber und der betroffenen Person zulässig, nicht aber im Rahmen eines Vertrages mit einem Dritten, hier dem Datentreuhänder.

Eine Rechtfertigung der Übermittlung oder Bereitstellung sensibler Daten durch einen Dateninhaber an einen Datentreuhänder zu wissenschaftlichen Forschungszwecken und statistischen Zwecken ist auf Grundlage des § 27 Abs. 1 (i.V.m. Art. 9 Abs. 2 lit. j) DSGVO) grundsätzlich möglich, wenn die Interessen des Dateninhabers gegenüber den Interessen der betroffenen Person am Ausschluss der Verarbeitung überwiegen.

2) Rechtmäßigkeit der Erhebung durch Datentreuhänder

Im Folgenden ist zu prüfen, ob die Erhebung durch den Datentreuhänder rechtmäßig ist. Hierbei ist der Datentreuhänder grundsätzlich der Verantwortliche, sofern keine Anhaltspunkte für eine gemeinsame Verantwortlichkeit mit dem Dateninhaber bestehen. Hier ist bei der Rechtmäßigkeit der Erhebung danach zu unterscheiden, ob die Daten bei der betroffenen Person oder dem Dateninhaber als Datentreugeber erhoben werden.

a) Einwilligung der betroffenen Person

Zunächst kommt auch hier die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO zur Rechtfertigung der Erhebung personenbezogener Daten, die der allgemeinen Kategorie zuzuordnen sind, in Frage. Hier ist jedoch zu unterscheiden, dass die betroffene Person nun selbst als Datentreugeber dem Datentreuhänder gegenübersteht, sodass die Einwilligung direkt gegenüber dem Datentreuhänder erklärt wird.

Hinsichtlich der Anforderungen an die Freiwilligkeit gilt das bereits oben Dargestellte.262 Die Einwilligung gilt als nicht freiwillig erteilt, wenn zu gesonderten Verarbeitungsvorgängen nicht gesondert eine Einwilligung abgefragt wurde, obwohl dies im Einzelfall angebracht wäre, daher sollte der Datentreuhänder die Einwilligung so vorformulieren, dass die Erhebung der personenbezogenen Daten auch explizit genannt wird.263 Ein starkes Ungleichgewichts- oder Abhängigkeitsverhältnis zwischen der betroffenen Person und dem Datentreuhänder, die zu einer unfreiwilligen Erteilung führen kann, ist nach jetzigem Stand unwahrscheinlich, da bei Datentreuhandangeboten weder Monopolstellungen noch sonstige Abhängigkeitsverhältnisse264 derzeit erkennbar sind. Bei PIMS als besondere Form der Zugangstreuhand wird diskutiert, ob der Anbieter des PIMS als „Bote“ und/oder Stellvertreter der betroffenen Person für die Übermittlung der personenbezogenen Daten an Datennehmer auftritt.265

Ist es dem Dateninhaber möglich, eine Einwilligung der betroffenen Personen einzuholen,266 so muss in dieser Einwilligung der Datentreuhänder als Empfänger der Daten benannt und die Erhebung durch ihn als Verarbeitungsvorgang267 in der vorformulierten Erklärung enthalten sein.

Wie bereits dargestellt muss die Einwilligung für einen bestimmten Fall, d.h. für konkrete, vorher durch den Verantwortlichen festgelegte sowie offengelegte Zwecke und Umstände der Verarbeitung erklärt werden.268 Das heißt, der Datentreuhänder muss die Zwecke der Erhebung für die Datentreuhand konkret angegeben, z.B. bei der PIMS die verwaltenden Zwecke im Einzelnen. Solche Zwecke können denkbar unterschiedlich sein und können hier nicht abschließend dargestellt werden. Hierbei müssen die Bestimmtheitsanforderungen eingehalten werden, d.h., nicht ausreichend sind Angaben wie „geschäftliche Interessen“, sondern z.B. „Erhebung zum Zwecke der treuhänderischen Verwaltung von Daten zur besseren Durchsetzung von Betroffenenrechten“. Dies gilt allerdings nur eingeschränkt, wenn die betroffene Person die Einwilligung in die Erhebung zu Forschungszwecken erteilt.269

Die Einwilligung ist zudem wie bereits dargestellt in informierter Weise zu erklären.270 Beabsichtigt der Datentreuhänder die betroffene Person mittels eines Textes über die Erhebung der sie betreffenden Daten zu informieren, so wird die Einwilligung auf das bekannte Problem des „information overload“ stoßen. Solche Texte sind, in Papierform oder in digitaler Form, meistens so lang und enthalten so viele Informationen, dass die betroffene Person faktisch uninformiert bleibt.271 Neue Ansätze gibt es zwar, diesem Problem zu begegnen, indem etwa die Informationen über die Datenverarbeitung durch Piktogramme272 oder als Videodatei zur Verfügung gestellt werden oder gar interaktiv der betroffenen Person vermittelt werden. Sie sind jedoch kaum verbreitet. Einwilligungen, die stufenweise oder in besonderer Form elektronisch erklärt werden,273 können durchaus in informierter Weise erteilt werden, sodass der Datentreuhänder solche Ansätze durchaus verfolgen sollte, wenn die Umstände dies zulassen.

Wie bereits ausgeführt, ist eine aktive bestätigende Handlung der betroffenen Person erforderlich, um die Einwilligung in wirksamer Weise zu erklären.274 Der Datentreuhänder muss je nach Anwendungskontext entscheiden, welche Art der Einwilligungserteilung er zur Verfügung stellt. Eine besondere Form oder gar Schriftform ist nicht vorgesehen. Aus Gründen der Nachweisbarkeit, die dem Datentreuhänder nach Art. 5 Abs. 2 DSGVO obliegt, empfiehlt es sich, physische oder digitale Vorkehrungen für die Einwilligungserteilung zu treffen, die die Erteilung der Einwilligung nachweisbar machen.

Die Einwilligung der betroffenen Person, die als Datentreugeber dem Datentreuhänder gegenübersteht, kommt als Rechtfertigungsinstrument grundsätzlich in Frage, wenn der Datentreuhänder v.a. auf die Informiertheit der betroffenen Person besondere Aufmerksamkeit legt. Dennoch bleibt auch hier eine gewisse Rechtsunsicherheit für die Rechtfertigung der Erhebung personenbezogener Daten, da die Einwilligung jederzeit frei widerruflich ist.275

Zur Einwilligung in die Erhebung sensibler Daten durch den Datentreuhänder wird auf das oben Dargestellte verwiesen.276 Handelt es sich bei dem Datentreugeber um die betroffene Person, muss die betroffene Person über die Erhebung der konkreten sensiblen Daten in Kenntnis gesetzt sein und insbesondere für welchen Zweck der Datentreuhänder die sensiblen Daten erhebt. Erhebt der Datentreuhänder sensible Daten, die sich bei dem Dateninhaber befinden, muss die betroffene Person sowohl über die Erhebung durch den konkreten Datentreuhänder als auch über die konkreten sensiblen Daten informiert sein, um wirksam einzuwilligen.277 Ansonsten ist die Erhebung unrechtmäßig, da – außerhalb der spezifischen Verarbeitungsgrundlagen im oben dargestellten Rahmen278 – keine weitere Rechtsgrundlage für die Rechtfertigung der Erhebung sensibler Daten durch den Datentreuhänder besteht.

b) Erforderlichkeit zur Erfüllung des Treuhandvertrages

Für die Rechtfertigung der Erhebung personenbezogener Daten, die der allgemeinen Kategorie zuzuordnen sind, kommt zwar auch hier Art. 6 Abs. 1 S. 1 lit) b) DSGVO in Frage. Im Verhältnis zwischen Datentreugeber und dem Datentreuhänder wird zwar grundsätzlich ein Treuhandvertrag bestehen, der zivilrechtlich grundsätzlich als Auftragsvertrag i.S.d. § 662 BGB bzw. Geschäftsbesorgungsvertrag nach § 675 BGB eingeordnet werden kann.279 Allerdings kommt die Rechtsgrundlage auch für die Rechtfertigung der Erhebung durch den Datentreuhänder nicht in Betracht:

Zwar schließt die betroffene Person, die in der hier geprüften Konstellation Datentreugeber ist, grundsätzlich einen Vertrag mit dem Datentreuhänder, sodass er damit Vertragspartner des Datentreuhänders im Sinne der Vorschrift ist. Jedoch ist die Erhebung unter Zugrundelegung der wohl herrschenden Auffassung280 keine Datenverarbeitung, die zur Erfüllung des Datentreuhandvertrages objektiv unentbehrlich ist. Vielmehr sind nur die Verarbeitung der Stammdaten der betroffenen Person zur Erfüllung des Datentreuhandvertrages objektiv unentbehrlich, die im Zuge der Abwicklung des Datentreuhandvertrages verarbeitet werden, wie etwa Vor- und Nachname, technische Daten etc.281 Damit ist die Erhebung der personenbezogenen Daten, die in die Datentreuhand gelangen sollen, nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO nicht gerechtfertigt.

Im Verhältnis zwischen dem Dateninhaber und dem Datentreuhänder ist die Vorschrift bereits mangels Stellung des Dateninhabers als „betroffene Person“ i.S.d. der Vorschrift, die Vertragspartner des Datentreuhänders sein muss, als Rechtfertigungsgrundlage ausgeschlossen.

c) Interessenabwägung

Bei der Interessenabwägungsklausel ist hier zu unterscheiden, dass der Datentreuhänder, soweit keine Anhaltspunkte für eine Auftragsverarbeitung vorliegen, Verantwortlicher für die Erhebung ist und hier vorrangig seine Interessen mit den Interessen der betroffenen Person, die der Verarbeitung entgegenstehen, zu berücksichtigen sind. Betroffene Person kann einerseits der Datentreugeber, aber auch im Verhältnis zum Dateninhaber, jede sonstige natürliche Person sein, die nicht an der Datentreuhand beteiligt ist. Als Dritte kommen hier weiterhin die Datennehmer in Betracht, deren Interessen hier (mittelbar) an der Erhebung bestehen können.282

(1) Berechtigte Interessen das Datentreuhänders oder Dritter

Welche Interessen der Datentreuhänder mit der Erhebung der personenbezogenen Daten der betroffenen Person verfolgt werden, hängt maßgeblich vom Zweck der Erhebung ab. Diese Zwecke können divergieren und können daher nur im konkreten Anwendungsfall bestimmt werden. Der Datentreuhänder kann mit der Erhebung etwa konkrete Gesundheitsforschungszwecke verfolgen, die das immaterielle Interesse der Forschung betreffen und damit von der Forschungsfreiheit aus Art. 13 S. 1 Alt. 2 GRCh umfasst ist. Die Erhebung personenbezogener Daten durch Anbieter von PIMS verfolgt den Zweck der besseren Durchsetzung von Betroffenenrechten, wenn es zunächst nur um verwaltende Funktion der Treuhand geht. Zu welchem Zweck dann die anschließende Übermittlung erfolgt, kann dagegen divergieren. Hinter dem Zweck der Verwaltung von Betroffenenrechten kann ein legitimes Interesse der Gewinnerzielung des Datentreuhänders bestehen. Auch kann über PIMS hinaus bei der Zugangs-Treuhand eine reine Gewinnerzielungsabsicht innerhalb der Umsetzung eines konkreten Entgeltmodells bestehen , die materielle Interessen betrifft und damit von der unternehmerischen Freiheit nach Art. 16 GRCh oder von der Berufsfreiheit aus Art. 15 GRCh erfasst ist. Hinsichtlich der Interessen von Datennehmern wird auf die obigen Ausführungen verwiesen.283

(2) Erhebung zur Wahrung der Interessen erforderlich

Ein Unterlassen der Erhebung kommt als milderes Mittel nicht Betracht, da der Datentreuhänder mit ihr Grundrechte wahrnimmt, die er ansonsten nicht ausüben könnte. Zu prüfen wäre, ob eine Erhebung anonymisierter Daten, den verfolgten Zweck des Datentreuhänders in gleich effektivem Maße erreichen würde. 284 Das wird häufig abzulehnen sein, da die betroffene Person als Datentreugeber gegenüber dem Datentreuhänder nicht anonym auftreten kann, weil Datentreuhandverträge und ihre Abwicklung über das Internet laufen, bei der eine Identifizierbarkeit bereits über die IP-Adresse besteht285 und darüber hinaus der zu schließende Vertrag mit dem Datentreuhänder regelmäßig identifizierende Stammdaten erfordert.

(3) Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person

Auf Seiten der betroffenen Person werden wie bereits dargestellt das Recht auf Schutz der sie betreffenden Daten sowie das Recht auf Privatsphäre stehen.286 Bei betroffenen Personen, die Kinder sind, muss der erhöhte Schutz ihrer Rechte in besonderem Maße in die Abwägung einfließen.287

(4) Abwägung im Einzelfall

Wie bereits dargestellt muss die Abwägung der Interessen unter Berücksichtigung der im Einzelfall vorliegenden Umstände erfolgen.288 Daher wird hier vor allem auf solche Faktoren eingegangen, die für die Rechtfertigung der Erhebung durch den Datentreuhänder besonders zu berücksichtigen sind:

Bei der Gewichtung der Grundrechte und Grundfreiheiten der betroffenen Person, die der Erhebung entgegenstehen, muss differenziert werden: Genau zu differenzieren ist, ob personenbezogene Daten bei dem Dateninhaber erhoben werden, die unbeteiligte betroffene Personen betreffen oder bei der betroffenen Person als Datentreugeber erhoben werden. Handelt es sich bei den betroffenen Personen um Unbeteiligte, dann ist der Umstand, dass sie mit der Erhebung nicht rechnen müssen, insofern zu gewichten, dass dieser gegen die Zulässigkeit der Verarbeitung spricht.289 Ist die betroffene Person dagegen Datentreugeber, so besteht zum Datentreuhänder ein Vertragsverhältnis, das eine Erhebung von personenbezogenen Daten erwartbar macht.290 Dieser Umstand spricht im Verhältnis zur betroffenen Person als Datentreugeber für die Zulässigkeit291 der Erhebung durch den Datentreuhänder im Rahmen der Interessenabwägungsklausel.

Besonders relevant ist zudem der Faktor der Anzahl der Verantwortlichen und der Dritten, die mit der Erhebung durch den Datentreuhänder ihre Interessen wahrnehmen. Datentreuhänder können eine Schlüsselrolle beim sicheren und vertrauensvollen Datenaustausch spielen. Das heißt, es ist zu berücksichtigen, dass erst die Erhebung beim Dateninhaber oder der betroffenen Person in bestimmten Konstellationen einen geschäftsmäßigen und rechtskonformen Austausch von Daten ermöglichen kann, so z.B. bei der Mehrwert-Treuhand in Form der Pseudonymisierungs- oder Anonymisierungs-Treuhand. Der Datentreuhänder kann damit Räume eröffnen, die bis dato von zahlreichen Datentreugebern und Datennehmern noch als rechtlich und faktisch unsicher eingestuft wurden. Das heißt, durch die Verarbeitung des Datentreuhänders, hier zunächst durch die Erhebung, können Hemmeffekte auf beiden Seiten abgebaut werden, was dazu beiträgt, dass einer Vielzahl von Datentreugebern und Datennehmern zu einer effektiveren Grundrechtsausübung verholfen werden kann. Dieser Faktor spricht zugunsten der Zulässigkeit der Erhebung.

Ein weiterer Faktor ist die Eingriffsintensität der Erhebung für die Grundrechte der betroffenen Personen. Zu differenzieren ist, ob die betroffene Person hier Datentreugeber ist, denn dann ist die Intensität der Erhebung im Grundsatz geringer, weil sie weiterhin Kontrolle ausüben kann. Insoweit kann dieser Faktor hier zugunsten der Zulässigkeit der Erhebung sprechen.

Anders hingegen ist es, wenn es um Daten von betroffenen Personen geht, die der Treuhänder bei dem Dateninhaber erhebt, denn oft werden die betroffenen Personen hier unbeteiligt sein,292 z.B. der Fahrer oder Beifahrer eines vernetzten KFZ. Zwar ließe sich argumentieren, dass Beifahrer in einem vernetzten KFZ damit rechnen müssen, dass Ihre Daten erhoben werden, sodass eine gewisse Erwartbarkeit der Datenverarbeitung durch den Dateninhaber, etwa durch den KFZ-Hersteller, besteht. Allerdings kann dies nicht mehr für die Erhebung für den Datentreuhänder gelten, denn der Einsatz eines Datentreuhänders lässt sich allein aus einer modernen Ausstattung eines KFZ heraus unmöglich ableiten. In dieser Konstellation verringert sich die Kontrollmöglichkeit der betroffenen Person, weshalb die Eingriffsintensität293 der Erhebung höher ist. Andererseits können gerade die betroffenen Personen ein großes Interesse daran haben, dass nicht nur diejenigen Stellen über einen Datenaustausch oder anderweitige Datenverarbeitung entscheiden, die ausschließlich eigene Interessen wahrnehmen, sondern eine zwischengeschaltete Stelle besteht, die durchaus als Vertrauensstelle fungieren kann.294 Die Förderung von Datentreuhändern ist zwar politisch gewollt,295 ändert jedoch nichts an dem Umstand, dass die DSGVO einen solchen Akteur nicht kennt und die mit der Datentreuhand bestehenden Vorteile und der politische Wille nicht ohne Weiteres in den Verordnungstext hineingelesen werden können. Vielmehr muss weiterhin am Einzelfall geprüft werden, ob und inwieweit die Eingriffsintensität der Erhebung durch den Datentreuhänder besteht. Insoweit kann dieser Faktor zugunsten oder zulasten der Zulässigkeit der Erhebung durch den Datentreuhänder sprechen.

Auch der konkrete Zweck der Verarbeitung kann maßgeblich das Ergebnis der Abwägung zugunsten der Zulässigkeit der Erhebung lenken. Insbesondere Forschungszwecke oder statistische Zwecke, die der Datentreuhänder mit der Erhebung verfolgen kann, lenken das Ergebnis der Abwägung zugunsten der Rechtmäßigkeit der Verarbeitung, da diese Zwecke besonders privilegiert sind.296 Geht es um andere Zwecke, hinter denen z.B. das Interesse des Datentreuhänders an Gewinnerzielung besteht, sieht das Gesetz keine Privilegierung vor. In solchen Fällen müssen die Umstände der Erhebung so gestaltet werden, dass sie zugunsten der Verarbeitung sprechen. Das kann dadurch erfolgen, dass der Datentreuhänder – unabhängig davon, ob er ein Anonymisierungs-Treuhänder ist – erhobene Daten unmittelbar nach ihrer Erhebung anonymisiert. In diesem Fall ist die Speicherdauer sehr kurz, weil die Daten kurz darauf durch Anonymisierung ihren Personenbezug verlieren. Das ist ein Faktor, der zugunsten der Erhebung spricht. Das könnte auch u.U. dann gelten, wenn die Daten unter sehr hohen technischen Schutzstandards pseudonymisiert297 werden (sog. interne Pseudonymisierung).298 Diese hohen Schutzstandards sind notwendig, da eine wirkungsvolle Pseudonymisierung von Daten voraussetzt, dass die Pseudonyme nicht bei der Verantwortlichen Person verbleiben, sondern bei einem Verantwortlichen, der selbst kein Verarbeitungsinteresse hat.299 Bei der Erhebung personenbezogener Daten durch den Datentreuhänder beim Dateninhaber erscheint also auch die Verkettung von Datentreuhändern als eine wirkungsvolle Schutzmaßnahme, z.B. kann die Erhebung durch eine reine Pseudonymisierungs-Treuhand erfolgen, der die die Pseudonyme aufbewahrt und die pseudonymisierten Daten im Interesse aller Seiten an den Zugangs-Treuhänder weiterleitet, damit dieser die Daten anschließend an Datennehmer übermitteln kann. Daten, die Personen betreffen, die keine Datentreugeber sind, dürften jedoch nicht darüber hinaus gespeichert werden, da die Speicherung eine intensive Verarbeitungsart ist und unbeteiligte betroffene Personen mit einer Speicherung ihrer Daten nicht rechnen, z.B. Beifahrer, die sich in einem vernetzten KFZ befinden.300 Hier ist bereits problematisch, ob der Hersteller oder sonstige Verantwortliche im Bereich des vernetzten KFZ überhaupt als primäre Verarbeitung in zulässiger Weise diese Daten verarbeiten dürfen,301 insoweit dürfte die weitere Verarbeitung durch eine weitere Stelle, hier durch den Datentreuhänder, entsprechend problematisch sein.

d) Wissenschaftliche und historische Forschungszwecke, statistische Zwecke

Zur Rechtfertigung der Erhebung sensibler Daten zu wissenschaftlichen und historischen Forschungszwecken sowie zu statistischen Zwecken kommt auch hier § 27 Abs. 1 BDSG in Frage. Das setzt allerdings voraus, dass die Interessen des Datentreuhänders an der Erhebung gegenüber solchen, die der Verarbeitung entgegenstehen, erheblich überwiegen müssen.302 Da der Wortlaut des § 27 Abs. 1 BDSG von Interessen des Verantwortlichen spricht, muss auch eine Erhebung durch den Datentreuhänder als Teil des Forschungsgefüges durchgängig wissenschaftlichen Ansprüchen303 genügen. Das heißt, zu fragen ist, ob die Forschung insgesamt transparent ist, unabhängig und selbstständig betrieben wird sowie auf einen Erkenntnisgewinn im Allgemeininteresse frei von sachfremden Erwägungen abzielt.304

e) Zwischenergebnis

Die Erhebung personenbezogener Daten durch den Datentreuhänder kann durch die Einwilligung nach Art. 6 Abs. 1, S. 1 lit. a) und bei sensiblen Daten durch Art. 9 Abs. 2 Lit. a) DSGVO gerechtfertigt sein, wenn die engen Voraussetzungen der Einwilligung eingehalten werden. Bei der Erhebung von personenbezogenen Daten beim Dateninhaber muss ein besonderes Augenmerk auf die Einwilligung von betroffenen Personen liegen, denn diese sind im Gegensatz zu betroffenen Personen, die Datentreugeber sein können, Unbeteiligte. Unbeteiligte betroffene Personen müssen, damit die Einwilligung in die Erhebung durch den Datentreuhänder wirksam ist, um den Umstand der Erhebung, die Art der personenbezogenen Daten und die Existenz des Datentreuhänders wissen. Bei der Einwilligung in sensible Daten muss die betroffene Person sogar wissen, wer der konkrete Datentreuhänder ist, da aufgrund der Bestimmtheit der Einwilligung die allgemeine Benennung von Datentreuhändern im Verarbeitungskontext nicht ausreicht.

Eine Rechtfertigung der Erhebung personenbezogener Daten durch die Datentreuhänder ist auch nach der Interessenabwägungsklausel nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO möglich, wenn die Faktoren im Einzelfall für die Zulässigkeit der Erhebung sprechen. Ist die betroffene Person Datentreugeber, so ist das Näheverhältnis zum Datentreuhänder ein Umstand, der für die Zulässigkeit spricht, da die Verarbeitung der sie betreffenden Daten durch das Vertragsverhältnis mit ihm erwartbar ist. Geht es hingegen um die Rechtfertigung personenbezogener Daten, die der Datentreuhänder beim Dateninhaber erhebt, ist die Rechtfertigung nur unter engen Voraussetzungen zulässig, denn die Datenverarbeitung durch den Datentreuhänder ist faktisch weit von der betroffenen Person entfernt, sodass hierdurch auch ihre Kontrollmöglichkeiten über die Verarbeitung stark eingeschränkt ist. Im Grundsatz lässt sich sagen, dass die Erhebung dann zulässig ist, wenn sie zur Erfüllung von Forschungszwecken und statistischen Zwecken als privilegierte Zwecke erfolgt. Die Erhebung personenbezogener Daten durch den Datentreuhänder beim Dateninhaber zu sonstigen Zwecken ist im Grundsatz nur dann zulässig, wenn die Speicherdauer der Daten sehr kurz ist und die Daten anschließend anonymisiert werden. Das lässt sich in der Tendenz ähnlich beurteilen, wenn die Daten beim Datentreuhänder unter sehr hohen technischen und organisatorischen Schutzstandards pseudonymisiert werden.

Die Rechtfertigung der Erhebung sensibler Daten zu historischen und Forschungszwecken und zu statistischen Zwecken ist nach § 27 Abs. 1 BDSG zulässig, wenn die Interessen des Datentreuhänders im Einzelfall erheblich gegenüber den Interessen, die der Verarbeitung entgegenstehen, überwiegen.

3) Rechtmäßigkeit des Auslesens und Abfragens durch Datentreuhänder

Der Datentreuhänder kann die Daten je nach technischer Gestaltung seines Systems bei den Datentreugebern auch auslesen oder abfragen, indem er auf die bei den Datentreugebern vorgehaltenen Daten zugreift.305 Auch dies sind Datenverarbeitungen, die gerechtfertigt sein müssen und für deren Rechtfertigung hier maßgeblich die Einwilligung und Interessenabwägungsklausel in Frage kommen:

a) Einwilligung

Bei der Einwilligung der betroffenen Person ist zu beachten, dass das Auslesen und Abfragen von personenbezogenen Daten eine Verarbeitungsart ist, über die die betroffene Person – unabhängig davon, ob sie Datentreugeber oder unbeteiligte Person ist – informiert sein muss. Außerdem muss sie auch über den Umfang des Auslesens und Abfragens der Daten wissen, damit sie in informierter Weise einwilligen kann. Problematisch dürfte beim Auslesen der Daten, der Umstand sein, dass sich in einem Datenbestand auch sensible Daten befinden können. Beispielsweise kann eine Information über den Gesundheitszustand der Person aus der wiederholten Bestellung eines bestimmten Arzneimittels bei einer Online-Apotheke hervorgehen. Oft werden die betroffene Person und der Datentreuhänder dies im Voraus nicht wissen. Sind sensible Daten in dem Datenbestand, reicht die Einwilligung nach Art. 6 Abs. 1, S. 1 lit. a) DSGVO, die vor dem Auslesen abgegeben werden muss, nicht aus. Solange nicht ausgeschlossen werden kann, dass sensible Daten in dem Datenbestand enthalten sind, muss die Einwilligung den Anforderungen der Einwilligung an die Verarbeitung sensibler nach Art. 9 Abs. 2 lit. a) DSGVO genügen.

b) Rechtfertigung durch Interessenabwägung

Bei der Interessenabwägung ist zu berücksichtigen, dass bei Auslesen und Abfragen des Datenbestandes bei der betroffenen Person, das sog. IT-Grundrecht, das sich aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG ergibt und den Schutz der Integrität und Vertraulichkeit informationstechnischer Systeme umfasst,306 zu berücksichtigen ist. Jedes Eindringen in das technische System stellt grundsätzlich einen Eingriff dar.307 Daher muss der Umfang des Auslesens und Abfragens der Daten für die betroffene Person, die als Datentreugeber dem Datentreuhänder gegenübersteht, erkennbar und damit so transparent wie möglich sein. Gleiches kann für das Auslesen und Abfragen personenbezogener Daten beim Dateninhaber gelten, denn auch juristische Personen können dem Grunde nach über Art. 19 Abs. 3 GG i.V.m. Art. 2 Abs. 1 GG Träger des Persönlichkeitsrechts sein, aus dem das IT-Grundrecht als Fallgruppe hervorgeht,308 wobei eine differenzierte Beurteilung stets erforderlich ist.309

c) Zwischenergebnis

Im Ergebnis ist festzuhalten, dass auch für die Rechtfertigung des Auslesens und Abfragens personenbezogener Daten die Einwilligung der betroffenen Person in Frage kommt, wobei im Zweifel die strengeren Anforderungen der Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO zugrunde zu legen sind. Geht um das Auslesen bzw. Abfragen von personenbezogenen Daten, die der Dateninhaber zur Verfügung stellt, so kann unter den dargestellten Anforderungen die Einwilligung der an der Datentreuhand unbeteiligten betroffenen Personen eingeholt oder die Interessenabwägungsklausel als Rechtsgrundlage dienen. Auch hier muss bei der Interessenabwägung stets auf die Ausprägung der Faktoren im Einzelfall geachtet werden, da der Faktor einer der fehlenden Transparenz der Datenverarbeitung für unbeteiligte betroffene Personen schwer ins Gewicht fallen kann.

4) Rechtmäßigkeit der Speicherung durch Datentreuhänder

Im Falle einer zentralen Datentreuhandlösung, bei der die Daten beim Datentreuhänder vorgehalten werden, muss auch die Speicherung der personenbezogenen Daten gerechtfertigt sein.

a) Einwilligung

Die Speicherung ist eine Verarbeitung, über die die betroffene Person informiert sein muss, damit sie wirksam einwilligen kann. Vor allem muss die betroffene Person wissen, wie lange die Daten gespeichert310 werden. Handelt es sich bei der Datentreuhand beispielsweise um eine Zugangs-Treuhand, die die Daten zum „Verkauf“ anbietet,311 müsste die betroffene Person wissen, ob die Daten nach einmaliger Vermittlung an Datennehmer gelöscht werden oder immer wieder an Interessenten „verkauft“ werden, bis die betroffene Person, die Daten vom Marktplatz nimmt.

Die Dauer der Speicherung ist vor allem bei sensiblen Daten möglichst präzise mitzuteilen, damit die betroffene Person wirksam einwilligen kann, Art. 9 Abs. 2 lit. a) DSGVO. Etwas anderes gilt für Forschungszwecke, da hier die Dauer der Speicherung naturgemäß davon abhängt, ob die Ziele des Forschungsvorhabens erreicht werden, deren Eintritt wiederum im Voraus nicht absehbar ist.

b) Interessenabwägung

Die Speicherung personenbezogener Daten ist eine eingriffsintensive Verarbeitungsart. Das ist ein Faktor, der im Grundsatz gegen die Zulässigkeit der Speicherung durch den Datentreuhänder spricht, wie sich bereits aus dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO ergibt. Darüber hinaus steigt mit steigender Speicherdauer die Intensität des Eingriffs in das Recht auf den Schutz personenbezogener Daten aus Art. 8 Abs. 1 GRCh.312 Auch dieser Umstand spricht gegen die Zulässigkeit der Verarbeitung in Form der Speicherung durch den Datentreuhänder. Ist die betroffene Person Datentreugeber, kann die Speicherung an Eingriffsintensität verlieren, da die betroffene Person mit der Speicherung u.U. rechnen kann,313 sodass dieser Umstand für die Zulässigkeit der Speicherung in diesem Verhältnis spricht. Problematisch dürfte die Speicherung jedoch sein, wenn es um personenbezogene Daten betroffener Personen geht, die unbeteiligt sind314 und deren Daten von einem Dateninhaber in die Datentreuhand gegeben werden. In diesem Verhältnis dürften Speicherungen, die über eine technisch notwendige, kurze Zwischenspeicherung hinausgehen, unzulässig sein m Übrigen müssten Umstände vorliegen, die deutlich zugunsten der Zulässigkeit der Verarbeitung sprechen, wie z.B. technische Schutzmaßnehmen, die einen sehr hohen Standard wahren. In diesem Verhältnis dürfte dagegen eine darüberhinausgehende Speicherung zu den privilegierten Zwecken der Forschung und Statistik sowie archivarischen Zwecken zulässig sein.315

c) Zwischenergebnis

Auch für die Rechtfertigung der Speicherung kommen die Einwilligung und die Interessenabwägungsklausel nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO in Frage. Bei der Einwilligung ist zu beachten, dass die betroffene Person, sei sie Datentreugeber oder Unbeteiligte, über die Speicherung in Kenntnis gesetzt sein muss und darüber hinaus muss sie wissen, wie lange die Daten bei dem Datentreuhänder gespeichert bleiben. Geht es um die Speicherung sensibler Daten muss die betroffene Person über die Speicherdauer so präzise wie möglich informiert sein.

Bei der Interessenabwägungsklausel nach Art. 6 Abs. 1, S.1 lit. f) DSGVO ist zu differenzieren. Die Speicherung der personenbezogenen Daten der betroffenen Person, die Datentreugeber ist, ist je nach Umständen des Einzelfalls für sie grundsätzlich erwartbar, weil sie Vertragspartner des Datentreuhänders ist, sodass dieser Umstand zugunsten der Zulässigkeit deutlich ins Gewicht fällt. Bei Daten, die der Dateninhaber in die Treuhand zur Speicherung gibt, gilt dies nicht, denn oft werden betroffene Personen unbeteiligt sein und von einer etwaigen Speicherung durch den Datentreuhänder nicht wissen. Da die Speicherung eine eingriffsintensive Verarbeitungsart ist, ist sie im Verhältnis zum Dateninhaber, der personenbezogene Daten in die Datentreuhand gibt, im Grundsatz unzulässig, wenn sie über eine technisch notwendige Speicherung hinausgeht oder keine sonstigen Umstände vorliegen, die deutlich zugunsten der Speicherung ins Gewicht fallen. Dies gilt aber nicht im Grundsatz für die Speicherung personenbezogener Daten für Forschungszwecke.

5) Rechtmäßigkeit modifizierender Verarbeitungen

Die Datentreuhand kann im Funktions-Layer der Mehrwert-Treuhand unterschiedliche Verarbeitungen durchführen. Dazu gehören vor allem die Analyse bzw. Auswertung, die Anonymisierung und Pseudonymisierung.

a) Analyse und Auswertung als Verwendung

Für die Rechtmäßigkeit der Analyse und Auswertung von personenbezogenen Daten kommen in der Regel die Einwilligung nach Art. 6 Abs. 1, S. 1 lit. a) DSGVO und die Interessenabwägung nach Art. 6 Abs. 1, S. 1. lit. f) DSGVO in Frage.316 Das setzt voraus, dass die betroffene Person über die Analyse und den Zweck der Analyse informiert ist und auf dieser Grundlage eine wirksame Einwilligung abgibt. Da die Zwecke vielfältig sein können, wird hier auf die obigen Ausführungen verwiesen.317 Ist das Einholen der Einwilligung aus praktischen Gründen nicht möglich, kommt auch die Interessenabwägungsklausel nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO in Frage. Allerdings dürfte eine Analyse von personenbezogenen Daten eine Verarbeitung sein, mit der eine unbeteiligte betroffene Person, die also selbst kein Datentreugeber ist, mit der sie nicht rechnen muss, Art. 6 Abs. 4 DSGVO. 318 Diese ist aufgrund der Heimlichkeit und damit fehlenden Transparenz, mit der der Verlust der Kontrolle der betroffenen Person einhergeht, im Grundsatz unzulässig.319 Bei der Verarbeitung zu Forschungszwecken kann hier jedoch wiederum im Einzelfall die privilegierende Stellung der Forschung berücksichtigt werden. Hier ist jedoch zu beachten, dass die Analyse von personenbezogenen Daten je nach Analyseziel eine diskriminierende Wirkung zukommen kann, die zu vermeiden ist.320

Eine besondere Art der Auswertung ist das sog. Profiling, das einen auswertenden Datenverarbeitungsprozess beschreibt, der eine Persönlichkeitsbewertung zum Ziel hat, z.B. Aspekte bezüglich der Arbeitsleistung, der wirtschaftlichen Lagen oder Gesundheit einer Person zu analysieren oder vorherzusagen, vgl. Art. 4 Nr. 4 DSGVO.321 Auch hier muss besonders bei der Bewertung darauf geachtet werden, eine diskriminierende Wirkung der Verarbeitung auszuschließen.322

Geht es um die Analyse von sensiblen Daten kommt hier die Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO in Frage. Wie oben dargestellt muss aber auch die Analyse und ihr Zweck konkret benannt sein. Problematisch dürfte vor allem die Analyse und Auswertung von sensiblen Daten dahingehend sein, die diskriminierende Wirkung auszuschließen. Denn sensible Daten sind vor allem deshalb so schutzbedürftig, weil die im Gesetz genannten Merkmale besonders anfällig für eine Diskriminierung sind.323 Dieser Schutz darf durch eine Auswertung dieser Daten nicht ausgehöhlt werden, sodass jede Analyse- und Auswertungszweck stets vor diesem Hintergrund durch den Datentreuhänder gewählt werden muss. Denn ist der Zweck der Auswertung bereits diskriminierend, z.B., weil er gegen das Allgemeine Gleichbehandlungsgesetz verstößt (AGG), kann auch die Einwilligung grundsätzlich unwirksam sein.324

Das der Analyse und Auswertung vorangehende Ordnen von Daten nach bestimmten Kriterien dürfte entsprechend auf die genannten Rechtsgrundlagen zu stützten sein. Hier ist zu beachten, dass keine Kriterien für das Ordnen der Daten gewählt werden, die eine diskriminierende Wirkung haben.

b) Anonymisierung

Die Anonymisierung ist nach den oben dargestellten Ausführungen als Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO einzustufen.325 Es ist umstritten, ob der Verarbeitungsschritt der Anonymisierung einer Rechtfertigung bedarf.326 In vielen Fällen lässt sich eine Rechtsgrundlage für die Anonymisierung aber ohnehin finden, auf die auch die Verarbeitung in der Datentreuhand gestützt werden könnte.327 Bestehen Löschungspflichten, so kann Art. 6 Abs. 1, S. 1 lit. c) DSGVO i.V.m. Art. 17 Abs. 1 DSGVO herangezogen werden.328 Das kommt etwa dann in Betracht, wenn der Dateninhaber über Datenbestände verfügt, die er löschen muss, jedoch vor deren Löschung den Informationswert ohne Personenbezug erhalten will und diese deswegen in eine Anonymisierungs-Treuhand gibt. Auch in Fällen, in denen Zweifel an der Rechtmäßigkeit der Erhebung oder weiteren Speicherung der Daten bestehen, kann die Anonymisierung zur Erfüllung der Pflicht zur Rechtmäßigkeit und zur Datenminimierung oder der Speicherbegrenzung aus Art. 5 Abs. 1 DSGVO i.V.m. Art. 6 Abs. 1, S. 1 lit. c) DSGVO gerechtfertigt sein.329 Im Übrigen lässt sich die Anonymisierung unter Heranziehung der ursprünglichen Rechtsgrundlage i.V.m. Art. 6 Abs. 4 DSGVO als Weiterverarbeitung der ursprünglichen Erhebung und Heranziehung des ursprünglichen Zwecks und der Vereinbarkeit des neuen Zweckes rechtfertigen.330

Daneben kann die Anonymisierung auch durch die Einwilligung, wenn sie daneben als Verarbeitungsart der betroffenen Person bekannt ist, und aufgrund der Interessenabwägungsklausel nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO gerechtfertigt sein. Bei der Interessenabwägung spricht vor allem die geringe Eingriffsintensität331 der Verarbeitung in Form der Anonymisierung ganz besonders für die Zulässigkeit der Verarbeitung. Denn in den meisten Fällen wird das Interesse der betroffenen Person dahingehend bestehen, die Daten zu löschen oder zu anonymisieren als ausnahmsweise doch ein Interesse am Erhalt des Personenbezugs zu haben.332 Auch dieser Faktor spricht in gewichtigem Maße für die Zulässigkeit der Anonymisierung durch den Datentreuhänder. Das zeigt auch, dass der Gesetzgeber im Grundsatz davon ausgeht, dass Daten zu löschen sind, sofern sie für den Zweck der Verarbeitung nicht erforderlich sind, Art. 5 Abs. 1 lit. e) DSGVO. Insoweit ist davon auszugehen, dass die Anonymisierung durch die Anonymisierungs-Treuhand grundsätzlich rechtmäßig ist.

Geht es um die Anonymisierung von sensiblen Daten kann die Anonymisierung nicht auf die benannten Rechtsgrundlagen gestützt werden. In Art. 9 Abs. 2 DSGVO fehlen Art 6 Abs. 1, S. 1 lit. c) und lit. f) DSGVO entsprechende Rechtsgrundlagen. Allerdings ist hier zu berücksichtigen, dass die – jedenfalls absolute - Anonymisierung neben der Löschung von personenbezogenen Daten die stärkste Schutzmaßnahme ist.333 Die Gefahr der unberechtigten Anonymisierung von sensiblen Daten, an deren Personenbezug ein Interesse seitens der betroffenen Person besteht, ist de facto vernachlässigbar, denn der Verantwortliche muss ohnehin stets prüfen und abwägen, welche konkreten Schutzmaßnahmen erforderlich sind. Bei dieser Abwägung muss er auch stets die Interessen der betroffenen Person berücksichtigen,334 also auch das Interesse am Erhalt des Personenbezugs, vgl. Art. 24, 32 DSGVO.

c) Pseudonymisierung

Die Rechtmäßigkeit der Pseudonymisierung kann sich je nach Umständen der Verarbeitung durch die Einwilligung nach Art. 6 Abs. 1, S. 1 lit. a) DSGVO und nach der Interessenabwägungsklausel nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO zulässig sein.

Bei der Einwilligung muss die Pseudonymisierung und der Zweck der betroffenen Person bekannt sein, damit sie in informierter Weise einwilligen kann.335 Ist die betroffene Person Datentreugeber dürfte auch hier die Interessenabwägung zugunsten der Zulässigkeit der Pseudonymisierung ausfallen, insbesondere dann, wenn der Datentreuhänder gegenüber Datennehmern vertragliche und technische Vorkehrungen trifft, die ausschließen, dass Datennehmer Zugang zu den identifizierenden Merkmalen erhalten.336 Solche Vorkehrungen verringern die Risiken für die betroffene Person und lenken die Abwägung deutlich zugunsten der Pseudonymisierung.

Bei einer rechtlichen Verpflichtung zur Pseudonymisierung aus Art. 24 DSGVO i.V.m. Art. 6 Abs. 1, S. 1 lit. c) DSGVO ist hingegen zu differenzieren: Die rechtliche Verpflichtung dürfte primär bei dem Dateninhaber liegen, wenn dieser etwa über große Datenbestände verfügt, die er auch ohne identifizierende Merkmale und nur mit einem Pseudonym verarbeiten kann. In einem solchen Fall besteht die Pflicht zur Pseudonymisierung nach Art. 24 DSGVO i.V.m. Art. 6 Abs. 1, S. 1 lit. c) DSGVO, wenn keine sonstigen Umstände dagegen sprechen. Dann kann er die Übermittlung der Daten zum Zwecke der Erfüllung der Pseudonymisierung als Schutzmaßnahme dem Datentreuhänder in rechtmäßiger Weise überlassen. Die stärkste Form der Pseudonymisierung ist die externe Pseudonymisierung, also die Überlassung der identifizierenden Merkmale an eine Stelle, die kein Interesse an der Datenverarbeitung hat und dabei kein Auftragsverarbeiter noch sonst eine Stelle ist, die beim Verantwortlichen angegliedert ist.337 Dann ist der Pseudonymisierungs-Treuhänder selbst Verantwortlicher, aber nicht Verpflichteter i.S.d. Art. 6 Abs. 1 S. 1 lit. c) DSGVO, sodass diese Rechtsgrundlage nicht greift. Allerdings dürfte hier Art. 6 Abs. 1, S. 1 lit. f) DSGVO greifen, denn die Faktoren im Rahmen der Abwägung dürften maßgeblich für die Zulässigkeit der Verarbeitung sprechen. Davon geht wohl auch ErwGr. 29 DSGVO aus, der vielmehr klarstellt, dass eine Pseudonymisierung (auch) bei „demselben Verantwortlichen“ unter bestimmten Voraussetzungen möglich ist.338

Geht es um die Pseudonymisierung von sensiblen Daten bei dem Datentreuhänder, ist eine Einwilligung nach Art 9 Abs. 2 lit. a) DSGVO erforderlich. Die betroffene Person muss auch hier über die Pseudonymisierung als auch über den Zweck und den konkreten Datentreuhänder in Kenntnis gesetzt sein, damit die Einwilligung wirksam ist.

6) Rechtmäßigkeit verwaltender Datenverarbeitungen

Verwaltende Datenverarbeitungen durch einen Datentreuhänder können v.a. in dem Auslesen und Ordnen von personenbezogenen Daten liegen.339 Solche Verarbeitungsschiritte und vor allem, die damit verfolgten Zwecke müssen der betroffenen Person bekannt sein, damit sie wirksam darin einwilligen kann.340 Die Einwilligung betroffener Personen, die dem Dateninhaber gegenüber erklärt werden, müssen sich auch auf die Verarbeitungen, wie z.B. das Ordnen der Daten durch den Datentreuhänder beziehen, z.B. bei der Selbstbeschränkungstreuhand. Hinsichtlich der Verarbeitung sensibler Daten gilt das oben Ausgeführte.341

Im Rahmen der Interessenabwägungsklausel nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO sind auch hier die Umstände des Einzelfalls entscheidend für die Rechtmäßigkeit der im Zusammenhang der Verwaltungs-treuhand stattfinden Verarbeitungen. Sollen Daten, die sich auf betroffene Personen, die unbeteiligt sind, in die Datentreuhand gegeben werden, spielt die fehlende Erwartbarkeit einer solchen Verarbeitung eine zentrale Rolle. Wie bereits dargestellt müssen betroffene Personen mit einer Verarbeitung durch Dritte, wie hier dem Datentreuhänder, nicht rechnen.342 Anders kann es hingegen sein, wenn die Verwaltungs-Treuhand zur Erfüllung datenschutzrechtlicher Pflichten des Dateninhabers eingesetzt wird, z.B., weil ein Rechtemanagement gegenüber den betroffenen Personen effektiver gestaltet werden kann. Solche Umstände können dann zugunsten der Zulässigkeit der Verarbeitung durch eine Verwaltungs-Treuhand sprechen.

7) Verarbeitungsschritte zwischen Datennehmer und Datentreuhänder

Im Verhältnis zwischen Datentreuhänder und Datennehmer bestehen zwei mögliche Verarbeitungsschritte, die zu rechtfertigen sind. Das ist zum einen die Übermittlung oder Bereitstellung von Rohdaten, so bei der Zugangs- und Verwaltungstreuhand, sowie zum anderen die Übermittlung oder Bereitstellung von Verarbeitungsergebnissen, so bei der Mehrwert-Treuhand.

a) Rechtmäßigkeit der Übermittlung oder Bereitstellung von Rohdaten

Bei der Verwaltungs- und Zugangs-Treuhand übermittelt der Datentreuhänder Rohdaten der betroffenen Person, die entweder selbst Datentreugeber oder unbeteiligt ist, an den Datennehmer oder stellt diese Daten zumindest bereit, indem er sie dem Datennehmer gegenüber offenlegt.

(1) Einwilligung

Bei der Einwilligung ist zur Erfüllung der Informiertheit der betroffenen Person erforderlich, dass die betroffene Person über die Übermittlung oder Bereitstellung der Rohdaten in Kenntnis gesetzt ist.343 Problematisch bei der Wirksamkeit der Einwilligung dürfte der Umstand sein, dass die Datennehmer in einer Vielzahl von Stellen bestehen können, die der betroffenen Person im Voraus nicht konkret mitgeteilt werden können, z.B. Unternehmen XYZ wird als Datennehmer Empfänger der Daten sein. Hier dürfte unter Heranziehung von Art. 13 Abs. 1 lit. e) Alt. 2 DSGVO ausreichen, die Kategorie der Empfänger mitzuteilen,344 z.B. Hersteller von KFZ. Wer die konkreten Empfänger sind, kann die betroffene Person im Rahmen eines Auskunftsanspruchs nach Art. 15 Abs. 1 DSGVO erfahren, sofern er dies wissen möchte.

Problematischer ist dieser Umstand jedoch bei der Übermittlung oder Bereitstellung von sensiblen Daten als Rohdaten an Datennehmer. Hier dürfte aufgrund der rechtlich hohen Anforderungen an die Einwilligung in die Verarbeitung sensibler Daten nicht ausreichen die Kategorie der Empfänger mitzuteilen.345 Die Einwilligung muss deutlich bestimmter sein und die Anforderungen an die Informiertheit sind nach Art. 9 Abs. 2 lit. a) DSGVO höher,346 sodass bei der Einwilligung in die Übermittlung von sensiblen Daten durch Verwaltungs- und Zugangs-Treuhand die konkreten Datennehmer der betroffenen Person im Voraus bekannt müssen. Ob dieses enge Verständnis auch für die Einwilligung in die Verarbeitung sensibler Daten im Bereich der Forschung gilt, ist rechtlich nicht geklärt. Denn ErwGr. 33 DSGVO bezieht sich in seinem Wortlaut auf den Zweck der Forschung, der oftmals im Voraus nicht eindeutig benannt werden kann, nicht aber auf die weiteren Umstände der Verarbeitung.347 Ob dieses erweiterte Verständnis auch für Informiertheit über die Empfänger der sensiblen Daten gilt, ist angesichts des hohen Schutzniveaus sensibler Daten zu bezweifeln.

(2) Interessenabwägung

Die Übermittlung von Rohdaten von betroffenen Personen, die an der Verarbeitung nicht beteiligt sind, weil sie keine Datentreugeber sind, ist bei der Abwägung nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO besonders kritisch zu prüfen. Der Umstand, dass die Datennehmer in einer Vielzahl von Stellen bestehen können, die der betroffenen Person nicht bekannt sind, z.B. Unternehmen XYZ wird Empfänger der Daten sein, ist ein Faktor, der besonders gegen Zulässigkeit der Verarbeitung spricht. Die Datenverarbeitung verliert hier zunehmend an Transparenz, weil der Kontrollbereich der betroffenen Person zunehmend schwindet. Hier dürfte unter Heranziehung von Art. 14 Abs. 1 lit. e) Alt. 2 DSGVO zwar ausreichen, die Kategorie der Empfänger öffentlich zu machen, z.B. Hersteller von KFZ erhalten Daten. Das dürfte jedoch in Anbetracht der grundsätzlich fehlenden Kenntnis von betroffenen Personen über die Übermittlung ihrer Daten nicht ausreichen, um die Abwägung zugunsten der Übermittlung oder Bereitstellung der sie betreffenden Daten zu lenken, da hier in der Heimlichkeit des Eingriffs eine besondere Intensität liegt.348 Insoweit dürfte eine Übermittlung oder Bereitstellung von Daten nach der Interessenabwägungsklausel nur dann zulässig sein, wenn die betroffene Person Datentreugeber ist und aufgrund des Treuhandvertrages mit der Übermittlung oder Bereitstellung der sie betreffenden Rohdaten rechnen kann. Unzulässig dürfte jedoch die Übermittlung oder Bereitstellung von Daten sein, die ein Dateninhaber zur Verfügung stellt, die sich auf betroffene Personen beziehen, die unbeteiligt sind und daher keine Kenntnis von der Übermittlung oder Bereitstellung der sie betreffenden Daten haben.

b) Rechtmäßigkeit der Übermittlung von Verarbeitungsergebnissen

Im Folgenden gilt es die Rechtfertigung der Übermittlung oder Bereitstellung von Verarbeitungsergebnissen zu prüfen. Hierbei geht es um die Daten, die infolge der Analyse, der Anonymisierung oder Pseudonymisierung durch die Mehrwert-Treuhand entstanden sind. Ob und inwieweit die darauffolgende Datenverarbeitung durch den Datennehmer rechtmäßig ist, betrifft die Pflicht des Datennehmer zur Rechtfertigung der Datenverarbeitung und – sofern sie nicht gemeinsam verantwortlich sind – nicht die Pflicht zur Rechtfertigung der Verarbeitung durch den Datentreuhänder.

Anonymisierte Daten verlieren ihren Personenbezug, sofern sie die notwendigen Standards der Anonymisierung einhalten, sodass die DSGVO und das BDSG keine Anwendung finden.349 Ihre Übermittlung oder Bereitstellung kann – jedenfalls aus datenschutzrechtlicher Sicht – ohne Weiteres an Datennehmer erfolgen.350

(1) Einwilligung

Damit die betroffene Person – unabhängig davon, ob sie Datentreugeber ist oder sonstige betroffene Person – in informierter Weise einwilligen kann, muss sie über die Pseudonymisierung oder Auswertung der Daten in Kenntnis gesetzt sein. Wie bereits dargestellt dürfte unter Heranziehung von Art. 13 Abs. 1 lit. e) Alt. 2 DSGVO ausreichen, die Kategorie der Empfänger, hier der Datennehmer, mitzuteilen, z.B. Hersteller von KFZ.351

(2) Interessenabwägung

Problematisch ist im Rahmen der Interessenabwägungsklausel nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO, dass die Übermittlung oder Bereitstellung von Analysedaten durch die Mehrwert-Treuhand eine Verarbeitung ist, die sich zunehmend aus dem Kontrollbereich der betroffenen Person entfernt. Gerade Personen, die unbeteiligt sind, deren Daten ein Dateninhaber in die Datentreuhand gibt, müssen nicht vernünftiger Weise damit rechnen, dass sie betreffende Daten analysiert und anschließend an Datennehmer übermittelt oder solchen bereitgestellt werden. Hier hat die Heimlichkeit der Verarbeitung eine besondere Eingriffsintensität.352 Bei pseudonymisierten Daten ließe sich die Zulässigkeit durchaus diskutieren, da der Personenbezug bei externer Pseudonymisierung faktisch gegenüber dem Datennehmer nicht mehr bestehen kann.353 Kann der Datennehmer die Pseudonyme nur unter unverhältnismäßigem Aufwand zuordnen, dann ist das ein Faktor, der deutlich zugunsten der Zulässigkeit der Übermittlung pseudonymisierter Daten ins Gewicht fällt.354 Bestehen dabei besondere Schutzvorkehrungen faktischer und rechtlicher Art seitens des Datentreuhänders, sind das Umstände, die die Abwägung zugunsten der Zulässigkeit der Übermittlung oder Bereitstellung von pseudonymisierten Daten sprechen.

Hat die betroffene Person mit dem Datentreuhänder einen Vertrag geschlossen, macht der Vertrag die Übermittlung oder Bereitstellung für sie erwartbar, sodass dies für die Rechtmäßigkeit nach Art. 6 Abs. 1, S. 1 lit. f) DSGVO spricht.

c) Zwischenergebnis

Bei der Rechtfertigung der Verarbeitungen zwischen Datentreuhänder und Datennehmer spielen die Einwilligung und die Interessenabwägungsklausel nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO eine zentrale Rolle. Sowohl für die Rechtfertigung der Übermittlung oder Bereitstellung von Rohdaten durch den Datentreuhänder gegenüber dem Datennehmer als auch für die Übermittlung von Verarbeitungsergebnissen bei der Mehrwert-treuhand kommt die Einwilligung zur Rechtfertigung in Frage. Zu beachten sind hier vor allem die Anforderungen an die Informiertheit der betroffenen Person, insbesondere die in Kenntnissetzung darüber, dass Datennehmer als Empfänger der Daten existieren. Bei der Einwilligung in die Verarbeitung sensibler Daten zwischen Datentreuhänder und Datennehmer dürfte angesichts der hohen Anforderungen nicht ausreichen, die Kategorie der Empfänger der Datennehmer, z.B. „Versicherungen sind Datennehmer“, zu benennen, sondern sie müssen der betroffenen Person konkret angegeben werden.

Die Interessenabwägungsklausel kann Verarbeitungsschritte zwischen Datentreuhänder und Datennehmer in vielen Fällen nicht legitimieren, insbesondere wenn der Dateninhaber Daten (unbeteiligter) betroffener Personen in die Datentreuhand gibt. Denn mit der Übermittlung oder sonstigen Bereitstellung der Daten zunächst an Datentreuhänder sowie dann an Datennehmer nimmt die die Transparenz der Datenverarbeitung stark ab. Das ist ein Faktor, der zulasten der Rechtfertigung der Verarbeitung ins Gewicht fällt. Werden die Daten dagegen derart pseudonymisiert, dass der Datennehmer unter faktischen und vertragsrechtlichen Schutzvorkehrungen keine Möglichkeit hat, die Pseudonyme Personen zuzuordnen, können die Verarbeitungen zwischen Datentreuhänder und Datennehmer je nach Umständen des Einzelfalls gerechtfertigt sein.

8) Zwischenergebnis

Bei der Rechtmäßigkeit der Datenverarbeitung im Kontext der Datentreuhand muss der Verantwortliche zwei wichtige Aspekte erfassen: Zum einen muss feststehen, welche konkreten Verarbeitungsschritte im Grundlagen- und Funktions-Layer stattfinden und zum anderen, in welchem Verhältnis diese stattfinden.

Die Rechtfertigung der Verarbeitungsschritte im Grundlagen-Layer betreffen das Verhältnis zwischen Datentreugeber und Datentreuhänder. Ist der Datentreugeber die betroffene Person, lassen sich unter Einhaltung der Anforderungen an die Einwilligung in die Verarbeitung personenbezogener Daten aus Art. 6 Abs. 1, S. 1 lit. a) DSGVO und sensibler Daten aus Art. 9 Abs. 2 lit. a) DSGVO sowohl die Erhebung als auch das Auslesen bzw. Abfragen rechtfertigen. Solange ein wirksamer Datentreuhandvertrag zur betroffenen Person besteht, ist auch eine Rechtfertigung über Art. 6 Abs. 1, S. 1 lit. f) DSGVO möglich, sofern keine sensiblen Daten betroffen sind und die sonstigen Umstände nicht zulasten der Rechtfertigung der Verarbeitung sprechen. Bei der Rechtfertigung der Verarbeitungsschritte im Grundlagen-Layer im Verhältnis zum Dateninhaber ist zu differenzieren: Der Dateninhaber muss seinerseits die Übermittlung der personenbezogenen in rechtmäßiger Weise durchführen. Dies kann durch die Einwilligung der betroffenen Personen oder durch die Interessenabwägungsklausel erfolgen, wobei bei letzterer die ggf. mangelnde Transparenz für die betroffene Person ein gewichtiger Faktor ist, der zulasten der Rechtfertigung sprechen kann. Bei bereits im Datenbestand vorhandenen personenbezogenen Daten, die in die Datentreuhand gegeben werden sollen, kann die Einwilligung aus praktischen Gründen schon nicht als Grundlage dienen, da von allen betroffenen Personen eine Einwilligung eingeholt werden müsste. Hier kann je nach dem, wie die Ausprägung der Faktoren ist, die Abwägung zugunsten oder zulasten der Verarbeitung ausfallen.

Bei sensiblen Daten, die zu Forschungszwecken in eine Datentreuhand übermittelt werden, kann § 27 Abs. 1 BDSG als Rechtfertigungsgrundlage dienen, sofern die hohen Voraussetzungen der Norm im Einzelfall vorliegen. Diese Ausführungen geltend entsprechend für die Erhebung oder das Auslesen und Abfragen von personenbezogenen Daten durch den Datentreuhänder im Grundlagen-Layer.

Die Verarbeitungsschritte, die im Funktions-Layer stattfinden, namentlich die Speicherung, die Auswertung oder die Analyse, die Anonymisierung, die Pseudonymisierung oder sonstige verwaltende Datenverarbeitungen, können im Verhältnis zur betroffenen Person als Datentreugeber unter Einhaltung der Anforderungen an die Einwilligung nach Art. 6 Abs. 1, S. 1 lit. a) DSGVO oder nach Art. 9 Abs. 2 lit. b) DSGVO gerechtfertigt sein. Je Ausprägung der Faktoren im Rahmen der Interessenabwägungsklausel kann auch Art. 6 Abs. 1, S. 1 lit. f) DSGVO hier die Rechtfertigungsgrundlage bilden. Bei den Verarbeitungsschritten im Funktions-Layer im Verhältnis zum Dateninhaber als Datentreugeber kommt die Einwilligung als Rechtfertigungsgrund nur dann in Frage, wenn die betroffene Person Kenntnis von den Verarbeitungen durch den Datentreuhänder sowie den weiteren gesetzlich vorgeschriebenen wesentlichen Umständen der Verarbeitung hat. Bei der Rechtfertigung durch die Interessenabwägungsklausel ist die Verarbeitung durch den Datentreuhänder stark von der Ausprägung der Faktoren abhängig, da hier eine etwaige fehlende Transparenz der Verarbeitung stark zulasten der Rechtmäßigkeit der Verarbeitung ins Gewicht fällt. Je nach Verarbeitungszwecke, z.B. bei der Selbstbeschränkungstreuhand, und starken technischen Schutzmaßnahmen können die Faktoren zugunsten der Zulässigkeit der Verarbeitung sprechen.

Bei den Verarbeitungsschritten im Verhältnis zum Datennehmer kommt grundsätzlich die Einwilligung zur Rechtfertigung der Übermittlung oder Bereitstellung von Rohdaten, so bei der Verwaltungs- und Zugangs-Treuhand, oder Verarbeitungsergebnissen, so bei der Mehrwert-Treuhand, in Frage. Bei der Einwilligung die Übermittlung oder Bereitstellung sensibler Daten gegenüber dem Datennehmer muss die betroffene Person angesichts der hohen Anforderungen an die Einwilligung nicht nur die Kategorie der Datennehmer wissen, sondern auch die konkreten Datennehmer.

Die Verarbeitungen zwischen Datentreuhänder und Datennehmer kann allenfalls unter Einhaltung sehr hoher technischer Schutzstandards, insbesondere einer (externen) Pseudonymisierung, und deutlich ausgeprägter Faktoren zugunsten der Rechtmäßigkeit der Datenverarbeitung durch die Interessenabwägungsklausel nach Art. 6 Abs. 1, S: 1 lit. f) DSGVO gerechtfertigt werden. Denn mit dem Datennehmer tritt ein weiterer Akteur hinzu, der zur Intransparenz der Datenverarbeitung vor allem gegenüber unbeteiligten betroffenen Personen beiträgt, sodass diese kaum noch die Möglichkeit hätten, Kontrolle über die sie betreffenden Daten auszuüben.

3. Datenschutzrechtliche Pflichten des Datentreuhänders

Die DSGVO sieht zentrale Pflichten des Verantwortlichen vor, die er einhalten muss, um nicht aufsichtsbehördlich sanktioniert oder zivilrechtlich belangt zu werden. Die Pflichten des verantwortlichen Datentreuhänders, der durch das Datentreuhand-System personenbezogene Daten verarbeitet, sind nach der DSGVO unterteilt: Es bestehen allgemeine Grundsätze für die Datenverarbeitung (Art. 5 Abs. 1 und Abs. 2 DSGVO), die in den Art. 12 bis Art. 22 DSGVO und in den Art. 24 ff. DSGVO durch konkrete Pflichten präzisiert werden.355 Im Folgenden werden unter Berücksichtigung der Besonderheiten der Datentreuhand Pflichten dargestellt, die zu beachten sind. Zunächst werden die Pflichten dargestellt, die mit den Rechten der betroffenen Person aus den Art. 12 bis Art. 22 DSGVO korrespondieren (unter D. III. 1.). Anschließend werden die Pflichten aus Art. 24 ff. DSGVO dargestellt, die sich auf die Verarbeitung als solche beziehen (D. III. 2.). Notwendig zu berücksichtigen ist jedoch, dass die Pflichten nach der DSGVO immer konkret und nur unter Heranziehung des konkreten Verarbeitungszusammenhanges bestimmt werden müssen. Die folgenden Ausführungen sind daher ein Leitfaden für die im Grundsatz bestehenden Pflichten von Datentreuhändern, die die Kriterien der Verantwortlichkeit356 erfüllen.

a. Pflichten des Datentreuhänders in Bezug auf die Rechte der betroffenen Person aus Art. 12 bis Art. 22 DSGVO

Die unter in Art. 5 Abs. 1 und Abs. 2 DSGVO aufgeführten allgemeinen Grundsätze werden vor allem in den Art. 12 bis Art. 22 DSGVO und in den Art. 24 ff. DSGVO näher konkretisiert. Sie sind bei faktischer Umsetzung der Datentreuhand zu berücksichtigen und organisatorisch und technisch zu integrieren. Die in Art. 12 bis Art. 22 DSGVO aufgeführten Pflichten beziehen sich im Kern auf die Rechte der betroffenen Person. Sie sind eine zentrale Säule des Pflichtenkatalogs.

Art. 12 DSGVO macht allgemeine Vorgaben an die Transparenz der durch den Verantwortlichen zur Verfügung zu stellenden Informationen, an die Kommunikation sowie Modalitäten für die Ausübung der Rechte der betroffenen Person.357 Insoweit ist Art. 12 eine allgemeine und die Leitlinien im Umgang mit der betroffenen Person einführende Rechtsvorschrift, die im Rahmen der einzelnen Vorschriften aus Art. 13 ff. DSGVO heranzuziehen ist. Aus Art. 12 DSGVO und den Rechten der betroffenen Person aus Art. 15 bis Art. 22 DSGVO ergibt sich die Pflicht zur Bearbeitung von Anträgen und zur Umsetzung von Betroffenenrechten. Hierfür muss der Datentreuhänder ein Konzept358 für die Bearbeitung von Ersuchen betroffener Personen in Bezug auf folgende Rechte erstellen:

Mit diesen Rechten korrespondieren entsprechende Pflichten des Datentreuhänders im Einzelfall:

1) Informationspflichten

Die Informationspflichten des Verantwortlichen ergeben sich aus Art. 13 und Art. 14 DSGVO. Dabei regelt die Art. 13 Abs. 1 DSGVO die Informationspflichten für den Fall, dass der Verantwortliche personenbezogene Daten bei der betroffenen Person erhebt. Im vorliegenden Kontext gilt die Vorschrift also dann, wenn die betroffene Person Datentreugeber ist. Die Informationen aus Art. 14 DSGVO regeln die Informationspflichten für den Fall, dass die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden. Das gilt vorliegend dann, wenn der Dateninhaber Datentreugeber ist und personenbezogene Daten in die Datentreuhand gibt, z.B. solche von KFZ-Fahrern eines vernetzten KFZ.

Die Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln oder im Fall von Art 14 Abs. 5 lit. b) DSGVO, wenn die Erfüllung der Informationspflicht unmöglich359 ist, jedenfalls in sonstiger Weise bereitzustellen,360 Art. 12 Abs. 1 DSGVO. Wie diese Informationen über die Datenverarbeitung zu übermitteln sind, ist gesetzlich nicht vorgegeben, d.h. es kann schriftlich, mündlich oder elektronisch übermittelt werden, vgl. Art. 12 Abs. 1 S. 2, 3 DSGVO. Dabei ist jedoch eine Form zu wählen, die die Nachweisbarkeit der Pflichterfüllung im Falle einer aufsichtsbehördlichen Prüfung ermöglicht.

Zu diesen Informationen gehören u.a. Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, Art. 13 Abs. 1 und Art. 14 Abs. 1 DSGVO. Wenn die Verarbeitung auf Artikel 6 Abs. 1, S. 1 lit. f) beruht, sind auch die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zu nennen. Auch die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten sind zu nennen. Nach Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO sind je nach Verarbeitungszusammenhang weitere Informationen zur Verfügung zu stellen.361

2) Auskunftspflicht

Nach Art. 15 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Damit korrespondiert die Pflicht des Verantwortlichen, eine Kopie der personenbezogenen, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen, Art. 15 Abs. 3 DSGVO.362 Die Kopie muss eine originalgetreue Reproduktion der Daten sein, die zudem unentgeltlich zur Verfügung gestellt werden muss.363 Die Ausübung der Rechte sind der betroffenen Person zu erleichtern; diesbezügliche Maßnahmen haben grundsätzlich unentgeltlich zu erfolgen (Art. 12 Abs. 2, Abs. 5 DSGVO).364

Anträge hinsichtlich der Rechte aus Art. 15 DSGVO bis Art. 22 DSGVO sind grundsätzlich innerhalb eines Monats nach Eingang des Antrags zu bearbeiten und die betroffene Person ist innerhalb dieser Frist über die ergriffenen Maßnahmen zu informieren, Art. 12 Abs. 3, Abs. 4 DSGVO.365

3) Berichtigungspflicht

Nach Art. 16 S. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender, unrichtiger personenbezogener Daten zu verlangen, z.B. in Personal- oder Patientenakten.366 Damit korrespondiert die Pflicht des Verantwortlichen, unrichtige Daten zu berichtigen,367 wobei diese Pflicht auch ohne eine Anfrage der betroffenen Person aus dem Grundsatz der Datenrichtigkeit DSGVO folgt.368 Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person auch das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, Art. 16 S. 2 DSGVO. Auch hiermit korrespondiert die Pflicht zur Vervollständigung der Daten, dessen Rechtmäßigkeit als Verarbeitung sich aus Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 16 S. 2 DSGVO ergeben dürfte.

4) Löschungspflicht

In Art. 17 DSGVO ­ auch „Recht auf Vergessenwerden“ genannt369 – geht das Recht der betroffenen Person hervor, Daten in den fünf genannten Fällen des Art. 17 Abs. 1 lit. a) bis lit. e) DSGVO löschen zu lassen, z.B., weil die Daten, für die sie erhoben wurden, nicht mehr notwendig sind oder die betroffene Person widerruft ihre Einwilligung oder die Verarbeitung ist unrechtmäßig. Die damit korrespondierende Pflicht des Verantwortlichen ist die Löschungspflicht, wobei der Verantwortliche ohnehin einer Löschungspflicht unterliegt, wenn die Daten für die Verarbeitungszwecke nicht mehr erforderlich sind nach Art. 5 Abs. 1 lit. e) DSGVO („Grundsatz der Speicherbegrenzung“) oder aber eine unrechtmäßige Datenverarbeitung vorliegt, die dann mit Art. 5 Abs. 1 lit. a) DSGVO ohnehin nicht zu vereinbaren ist („Grundsatz der Rechtmäßigkeit“).

Es bestehen aber auch Ausnahmen von Löschungspflicht nach Art. 17 Abs. 3 DSGVO, z.B. wenn die Datenverarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information oder zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Im Rahmen der Ausnahmen muss jedoch stets eine Abwägung im Einzelfall vorgenommen werden.370

5) Pflicht zur Einschränkung der Verarbeitung

Unter den in Art. 18 Abs. 1 DSGVO genannten Voraussetzungen kann die betroffene Person die Einschränkung der Verarbeitung fordern, so z.B., wenn die betroffene Person die Unrichtigkeit der sie betreffenden Daten substantiiert darlegt.371 Unter „Einschränkung der Verarbeitung“ wird die Markierung gespeicherter Daten unter zwecks Begrenzung ihrer künftigen Verarbeitung verstanden.372 Eine solche Markierung kann etwa dadurch erfolgen, dass die Daten für eine vorrübergehende Zeit auf ein anderes Verarbeitungssystem übertragen werden, um die künftige Verarbeitung zu verhindern.373 Hat die betroffene Person die Einschränkung mit Erfolg geltend machen können, so ist der Verantwortliche verpflichtet, die in Art. 18 Abs. 2 DSGVO vorgegebenen Voraussetzungen einzuhalten. Hiernach ist dann eine Verarbeitung, abgesehen von ihrer Speicherung, nur mit Einwilligung der betroffenen Person, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder aus Gründen eines wichtigen öffentlichen Interesses zulässig. Der Datentreuhänder hat also bereits im Voraus Überlegungen anzustellen, wie er in seinem Konzept zur Erfüllung der Rechte der Betroffenen eine Einschränkung der Verarbeitung ins einem Verarbeitungssystem umsetzen kann. In § 27 Abs. 2 BDSG ist eine Ausnahme zum Recht auf Einschränkung der Verarbeitung geregelt, die nach dem Sinn und Zweck darauf gerichtet ist, den Forschungszweck durch die Einschränkung der Verarbeitung nicht ernsthaft zu beeinträchtigen.

6) Mitteilungspflichten gegenüber Empfängern

Der Verantwortliche hat nach Art. 19 S. 1 DSGVO die Pflicht, Empfängern, denen personenbezogene Daten offengelegt wurden, die Löschung oder Berichtigung von personenbezogenen Daten mitzuteilen (sog. Nachberichtspflicht).374 Dies nur dann nicht, wenn die Mitteilung an den Empfänger mit einem unverhältnismäßigen Aufwand verbunden ist oder sich als unmöglich erweist.375 Auch wenn die Pflicht gegenüber den Empfängern besteht, handelt es sich bei dieser Vorschrift um eine Schutzvorschrift zugunsten der betroffenen Person.376 Er muss auch die betroffene Person über diese Empfänger unterrichten, wenn die betroffene Person dies verlangt, Art. 19 S. 2 DSGVO. Mit Blick auf die Datentreuhand dürfte zwar im Vertrag zum Datennutzer, der als Empfänger einzustufen ist, eine solche Mitteilungspflicht regelmäßig vereinbart sein. Das Bestehen einer solchen Regelung im Vertrag ersetzt aber nicht die hier geregelte Pflicht des verantwortlichen zur Mitteilung. Eine Unmöglichkeit oder unverhältnismäßiger Aufwand zur Erfüllung dieser Mitteilungspflicht377 im Konstrukt der Datentreuhand dürfte meist nicht vorliegen. Denn die Empfänger der Daten dürften entweder schon in einem selbstgeführten Verzeichnis der Vertragspartner, in dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 lit. d) DSGVO oder aber als wesentliche Information über die Umstände der Verarbeitung anderweitig protokolliert sein, Art. 5 Abs. 2 DSGVO.

7) Pflicht zur Erfüllung der Datenübertragbarkeit

In Art. 20 Abs. 1 DSGVO ist das Recht der betroffenen Person auf Datenübertragbarkeit geregelt. Die Norm verfolgt sowohl Verbraucherschutzziele als auch rein wettbewerbsrechtliches Konzept.378 Dieses Recht hat die betroffene Person dann, wenn die Datenverarbeitung auf Grundlage der Einwilligung oder zur Erfüllung eines Vertrags nach Art. 6 Abs. 1 lit. b) DSGVO erfolgt und die Datenverarbeitung mithilfe automatisierter Verfahren stattfindet. Macht die betroffene Person dieses Recht geltend, muss der Verantwortliche der betroffenen Person die Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitstellen, Art. 20 Abs. 1 DSGVO. Soweit dies technisch machbar ist, hat die betroffene Person auch das Recht, dass der Verantwortliche die Daten auch direkt einem anderen Verantwortlichen übermittelt, Art. 20 Abs. 2 DSGVO. Dieses Recht wird unter den in Art. 20 Abs. 3 und Abs. 4 geregelten Voraussetzungen eingeschränkt.379

Mit Blick auf die Konstruktion der Datentreuhand dürfte diese Vorschrift v.a. für Datentreuhänder, die ihren Dienst Personen als Datentreugeber anbieten, von großer Bedeutung sein. Die Datenverarbeitung im Verhältnis der betroffenen Person zum Datentreuhänder beruht meist auf der Einwilligung.380 Datentreuhänder müssen hier im Voraus technische Vorkehrungen im Hinblick auf die Maschinenlesbarkeit der Daten treffen, damit die durch die Vorschrift gewollte Interoperabilität der Daten381 geschaffen wird. Die in Art. 3 des DA-E geregelten Pflichten einerseits und die Rechte des Nutzers aus Art. 4 DA-E treten neben die Pflichten aus Art. 20 DSGVO, da sie grundsätzlich unterschiedliche Schutzrichtungen haben, Art. 1 Abs. 3 DA-E.382

8) Pflicht zur Umsetzung eines Widerspruchs der betroffenen Person

Nach Art. 21 Abs. 1 DSGVO hat betroffene Person das Recht, der Verarbeitung zu widersprechen. Dieses Recht hat sie dann, wenn die Verarbeitung auf der Interessenabwägungsklausel nach Art 6 Abs. 1, S. 1 lit. f) DSGVO und Art. 6 Abs. 1, S. 1 lit. e) DSGVO beruht. Ab Geltendmachung des Widerspruchsrechts ist der Verantwortliche verpflichtet die Datenverarbeitung zu unterlassen, Art. 21 Abs. 3 DSGVO. Hiervon gibt es zwei Ausnahmen, nämlich die Erforderlichkeit der Verarbeitung zur Ausübung, Verteidigung oder Geltendmachung von Rechtsansprüchen383 oder zwingende schutzwürdige Gründe für die Verarbeitung, die der Verantwortliche nachweisen muss,384 Art. 21 Abs. 1 HS. 2 DSGVO. Nach Maßgabe des Art 21 Abs. 6 DSGVO wird das Widerspruchsrecht jedoch zu Forschungszwecken unter strengere Voraussetzungen gestellt. Diese Vorschrift hat im Konstrukt der Datentreuhand eine wesentliche Bedeutung, denn viele der Verarbeitungsschritte können im Einzelfall über die Interessenabwägungsklausel legitimierbar sein.385

9) Pflichten bei automatisierter Entscheidung im Einzelfall

Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.386 Die Vorschrift erfasst sämtliche Arten der automatisierten Entscheidung und nennt das Profiling nur als Beispiel.387 Die Norm will ausschließen, dass Entscheidungen gegenüber Menschen „ohne jegliches menschliches Eingreifen“ getroffen werden.388 Dieses Recht besteht dann nicht, wenn die automatisierte Entscheidung im Einzelfall für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem verantwortlichen erforderlich ist, Art. 22 Abs. 2 lit. a) DSGVO. Das gilt auch dann nicht, wenn die betroffene Person ausdrücklich in die automatisierte Entscheidung eingewilligt hat, Art. 22 Abs. 2 lit. c) DSGVO. Unter Art. 22 Abs. 2 lit. b) DSGVO sind aber mitgliedstaatliche Ausnahmen zulässig, die im deutschen Recht in § 31 BDSG und § 37 BDSG enthalten sind.389 In Art. 22 DSGVO werden Bedingungen dafür aufgestellt, wann das Ergebnis des Verarbeitungsprozesses genutzt werden darf, jedoch nicht, ob die Verarbeitung bis zum Ergebnis nach diesen Regeln rechtmäßig ist.390 Diese Frage folgt den allgemeinen Rechtmäßigkeitsgrundsätzen nach Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO.391

Im Rahmen der Datentreuhand dürfte diese Vorschrift bei der Mehrwert-Treuhand Bedeutung erlangen. Soweit durch die Mehrwert-Treuhand Analysen durchgeführt werden, die eine Entscheidung gegenüber der betroffenen Person mit beeinträchtigender Wirkung darstellen kann, ist dies näher zu betrachten. Hier kann der Datentreuhänder einer Mehrwert-Treuhand ggf. das Auswertungsergebnis dem Datennehmer übermitteln, der die ausgewerteten Daten bei seiner Entscheidung ohne menschliches Eingreifen gegenüber der betroffenen Person wiederum zugrunde legt. Dann muss grundsätzlich der Datennehmer für die Rechtskonformität dieser Entscheidung im Einzelfall sorgen, nicht aber der Datentreuhänder, der hier nur eine diese durch ihn getroffene Entscheidung vorbereitende Auswertung vornimmt.

b. Pflichten des Datentreuhänders in Bezug auf die Datenverarbeitung

Der für die Datenverarbeitung Verantwortliche muss diejenigen technischen und organisatorischen Maßnahmen treffen, die erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten, Art. 24 ff. DSGVO, § 22 Abs. 2 BDSG. Die Vorschrift des Art. 24 DSGVO ist dabei als Generalnorm der Verantwortungszuweisung zu verstehen392 und verpflichtet den Verantwortlichen zur Einhaltung und zum Nachweis angemessener technischer und organisatorischer Maßnahmen zur Gewährleistung der Rechtmäßigkeit der gesamten Verarbeitungsschritte nach der Verordnung.393 Darunter fallen eine Reihe von Maßnahmen, die nur kontextbezogen bestimmt werden können. Für die konkreten Pflichten, die der Datentreuhänder im jeweiligen Verarbeitungskontext einzuhalten hat, sollte ein Konzept erstellt werden, indem die konkreten Datenschutzrechtspflichten und die damit einhergehenden Maßnahmen implementiert.394 Die DSGVO legt in den Art. 25 ff. DSGVO näher konkretisierte Pflichten fest, auf die im Folgenden näher eingegangen wird:

1) Datenschutz durch Technikgestaltung

In Art. 25 Abs. 1 DSGVO ist der Grundsatz des Privacy-by-Design verankert. Die verwendete Technik und ihre Gestaltung soll unter Berücksichtigung der genannten Faktoren so gewählt sein, dass sie die Anforderungen der DSGVO umsetzen und die Rechte der betroffenen Personen schützen. In Art. 25 Abs. 2 DSGVO ist ein Unterfall des Grundsatzes geregelt, nämlich der Grundsatz der datenschutzfreundlichen Voreinstellung (sog. „Privacy-by-Default“). Welche Techniken in diesem Sinne einzusetzen sind, sind von der Ausprägung der folgenden Faktoren abhängig und müssen durch den Verantwortlichen anhand einer Abwägung bestimmt werden.395 Diese Abwägung muss sowohl zum Zeitpunkt der Festlegung der Mittel als auch zum Zeitpunkt der Verarbeitung stattfinden.396 Diese Faktoren sind:397

Der Grundsatz gilt sowohl für die genutzte Hardware als auch für die Software. Für die Umsetzung des Grundlagen-Layers bedeutet dies im Allgemeinen, dass der gewählte Datenraum der Speicherung unter Berücksichtigung der genannten Faktoren möglichst auf dem neuesten technischen Stand sein muss, um etwa vor Verlust und Beschädigung der Daten zu schützen. Ist die betroffene Person Datentreugeber so muss beachtet werden, dass bei einem Zugriff auf die bei ihr vorgehaltenen Daten im Zweifel eher beschränkt als zu weit ist, denn die betroffene Person kann im Nachhinein immer noch einen erweiterten Zugriff gewähren.398 Handelt es sich bei der Datentreuhand um ein PIMS, kann der Privacy by Design-Grundsatz besondere Bedeutung erlangen, denn ein PIMS kann aus Sicht eines Verantwortlichen, der ihn zur Erfüllung von Betroffenenrechten einsetzt, durchaus als eine Schutzmaßnahme i.S.d. Privacy-By-Design-Grundsatzes verstanden werden.399 Anderseits kann der Datentreuhänder, der selbst das PIMS gegenüber betroffenen Personen anbietet, zugleich an die Vorgaben des Art. 25 Abs. 1 DSGVO gebunden sein, indem er das System als solche mit datenschutzfreundlichen Voreinstellungen i.S.d. Art. 25 Abs. 2 DSGVO versehen muss.

2) Gemeinsame Verantwortlichkeiten

Des Weiteren hat der Datentreuhänder die Pflicht, zu überprüfen, ob er gemeinsam mit dem Dateninhaber oder Dritten für die Datenverarbeitung verantwortlich ist, Art. 26 Abs. 1 DSGVO.400 Liegt nach den oben dargestellten Voraussetzungen eine gemeinsame Verantwortlichkeit mit dem Dateninhaber oder mit dem Datennehmer oder gar mit beiden vor, dann muss eine Vereinbarung im Sinne des Art. 26 Abs. 1 S. 2 DSGVO vorliegen. Sie legen anhand einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß der Verordnung erfüllt.401 Zum Inhalt der Vereinbarung gehört insbesondere, wer von ihnen für die Wahrnehmung der Rechte der betroffenen Person zuständig ist, und wer welchen Informationspflichten nach den Art. 13 und Art. 14 nachkommt. Nach Art. 26 Abs. 2 DSGVO muss die Vereinbarung auch die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber der betroffenen Person gebührend widerspiegeln. Insoweit ist grundsätzlich die spezifische Erfassung der tatsächlichen logischen Infrastruktur, also der Anwendungsprogramme, ihrer Schnittstellen und der ihnen zu Grunde liegenden physikalischen Infrastrukturen erforderlich.402 Der wesentliche Inhalt dieser Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

Mit Blick auf die Datentreuhand setzt der Inhalt der Vereinbarung jedenfalls voraus, wer konkret für welche Verarbeitungsschritte verantwortlich ist.403 Dies gilt sowohl für die Verarbeitungsschritte im Grundlagen-Layer als auch für solche im Funktions-Layer404 und zwar im Verhältnis sowohl zum Dateninhaber als auch zum Datennehmer. Auch wenn Art. 26 Abs. 1 DSGVO hier keine Formvorgaben macht, wird die Vereinbarung typischerweise in Textform vorliegen, damit die Nachweisbarkeit gegeben ist.405

3) Benennung eines Vertreters von sich nicht in der Union niedergelassenen Verantwortlichen

Ist der Datentreuhänder nicht in der Union niedergelassen, so hat er einen Vertreter zu benennen, der sich in der Union befindet, Art. 27 DSGVO. In einem solchen Fall sind insbesondere die Vorgaben über die Übermittlung von Daten in ein Drittland bzw. die Datenverarbeitung in einem Drittland zu prüfen, Art. 44 ff. DSGVO.406 Diese Pflicht soll sicherstellen, dass betroffene Personen ihre in der Verordnung gewährleisteten Rechte geltend machen kann, wenn die Datenverarbeitung außerhalb der Union erfolgt.407

4) Auftragsverarbeitung

Art. 28 DSGVO regelt die Voraussetzungen für die Zulässigkeit der Auftragsverarbeitung. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, Art. 28 Abs. 1 DSGVO. Besteht eine Auftragsverarbeitung, so ist im Privatrechtsverhältnis ein schriftlicher Vertrag408 erforderlich, der als Grundlage dient, Art. 28 Abs. 3 DSGVO. Eine Unterauftragsverarbeitung ist nur dann zulässig, wenn eine gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen hierzu vorliegt, Art. 28 Abs. 2 DSGVO.

Die Vorschrift flankiert die Datentreuhand unter zwei Gesichtspunkten: Zum einen kann der Datentreuhänder unter den oben dargestellten Voraussetzungen Auftragsverarbeiter sein.409 Zum anderen kann der Datentreuhänder als Verantwortlicher oder Auftragsverarbeiter selbst (Unter-)Auftragsverarbeiter einsetzen. In beiden Fällen muss ein Vertrag vereinbart werden, der den gesetzlichen Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Diese Vorschrift gibt inhaltliche Mindestvoraussetzungen410 für den Vertrag zwischen Auftragsverarbeiter und Verantwortlichem bzw. Unterauftragsverarbeiter vor, z.B. die Gewährleistung, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben, sofern keine gesetzliche Verschwiegenheitspflicht besteht. Ein solcher Vertrag kann also mit dem Dateninhaber oder mit dem Datennehmer vereinbart werden.

Der Datentreuhänder muss auch überprüfen, ob Stellen bei der Datenverarbeitung mitwirken, die nach seiner Weisung agieren und dabei keine eigene Entscheidungsmacht über Mittel und Zweck der Datenverarbeitung haben. Insbesondere gilt das vor allem für Cloud-Dienste, die er als IaaS-Dienst für den sicheren Raum der Datenspeicherung im Grundlagen-Layer verwenden möchte. Solche Dienste sind in der Regel als Auftragsverarbeiter einzustufen.411 Mit solchen Auftragsverarbeitern hat der Datentreuhänder einen schriftlichen Auftragsverarbeitungsvertrag zu schließen, der den gesetzlichen Vorgaben des Art. 28 Abs. 3 DSGVO entsprechen muss.

5) Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 Abs. 1 S. 1 DSGVO führt jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis muss alle in Art. 30 Abs. 1 S. 2 DSGVO genannten Vorgaben enthalten, z.B. Namen und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Beschreibung der Kategorien von betroffenen Personen und Kategorien der personenbezogenen Daten. In Art. 30 Abs. 2 DSGVO sind die Voraussetzungen an das Verzeichnis geregelt, das der Auftragsverarbeiter führen muss. Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis schriftlich zu führen. Die Norm dient insgesamt der Transparenz der Verarbeitung und ist eine Konkretisierung der Nachweispflicht des Verantwortlichen aus Art. 5 Abs. 2 DSGVO.412

Der Datentreuhänder hat als Verantwortlicher oder Auftragsverarbeiter hiernach ein Verzeichnis über alle Datenverarbeitungen zu führen, Art. 30 Abs. 1, Abs. 2 DSGVO. In Bezug auf die Datenverarbeitung im Grundlagen-Layer müssen die Erhebung und Speicherung bzw. das Auslesen und Abfragen personenbezogener Daten im Verzeichnis enthalten sein.413 Gleiches gilt u.a. für die Benennung der Zwecke und die Art der verarbeiteten Daten. Mit Blick auf die Verarbeitungen im Funktions-Layer müssen auch hier die Verarbeitungsschritte und die damit verfolgten Zwecke enthalten sein.

6) Zusammenarbeit mit der Aufsichtsbehörde

Auf Anfrage hat der Datentreuhänder mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten, Art. 31 DSGVO. Das nach Art. 30 DSGVO zu führende Verzeichnis dient auch der Kontrolle durch die Aufsichtsbehörde.414

7) Sicherheit der Datenverarbeitung

Art. 32 Abs.1, Abs. 3 DSGVO regelt die Pflichten des Verantwortlichen hinsichtlich der Sicherheit der Datenverarbeitung. Die Norm erfasst entgegen des Wortlauts aber sowohl die Sicherheit vor Angriffen („Security“) als auch die Zuverlässigkeit des Systems („Safety“).415 Art. 32 DSGVO ist die zentrale Vorschrift, wenn es um verpflichtende technische und organisatorische Maßnahmen bei der Datenverarbeitung geht. Art. 32 Abs. 1 DSGVO zählt dabei Maßnahmen auf, die nicht abschließend sind,416 z.B. die Pseudonymisierung, Verschlüsselung oder die Wiederherstellbarkeit von Daten bei einem technischen oder physischen Zwischenfall. Die konkreten Maßnahmen sind im Einzelfall und unter Abwägung folgender Faktoren zu bestimmen und müssen geeignet sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:417

Hierbei kann als Orientierungshilfe die ISO/IEC 27000-Familie (Standards im Kontext von Information Security Management Systems, ISMS) sowie „Der IT-Grundschutz des BSI“418 dienen.

Die Sicherheit des gesamten Datentreuhand-Systems ist ein zentraler Faktor, der über das Gelingen und den Erfolg der Datentreuhand entscheiden kann.419 Sicherheitsmaßnahmen in Bezug auf den Grundlagen-Layer können etwa folgende Maßnahmen sein:

Im Hinblick auf technische und faktische Zugriffs- und Zutrittsbeschränkungen zu personenbezogenen Daten kommen z.B. Passwortverwaltungen, sicherer Aufbewahrungsort der technischen Systeme, Umsetzung eines „Need-to-Know-Prinzips, Dokumentation von Zugriffsberechtigungen, Überwachung von Systemschnittstellen, die von außen über das Internet erreichbar sind, oder ggf. die Implementierung einer Protokollierung zur Rückverfolgbarkeit420 in Betracht.

Darüber hinaus kommt eine Weitergabe- und Übermittlungskontrolle der Daten in Betracht, v.a. weil die Datentreuhand auf der anderen Seite mit Datennehmer arbeitet. Eine solche Kontrolle kann z.B. durch Überprüfung der Sicherheit des gewählten Transportweges, Vertragliche Verpflichtungen mit Mitarbeitenden, Aufzählung und Kontrolle der Stellen, die Einblick in die Daten erhalten, insb. technische Dienste Dritter und die Sicherheitsüberprüfung der technischen Dienste der Dritten erfolgen.421

Insbesondere wenn im Grundlagen-Layer eine Speicherung vorgesehen ist, ist es notwendig, den Schutz der Daten vor Löschung oder Schädigung zu gewährleisten, z.B. durch Back-Ups in gesetzlich zulässigem Umfang sowie durch faktischen Schutz der Server und ggf. bestehenden Back-Ups vor Brand, Hitze oder Kälte. In diesem Zusammenhang ist es vor allem notwendig, ein effizientes Löschungskonzept vorzuhalten, um die Löschung von gesetzlich nicht mehr zulässig gespeicherten Daten unverzüglich umzusetzen.422

8) Meldepflicht bei Verletzung des Schutzes personenbezogener Daten

Art 33 DSGVO regelt die Meldepflicht des Verantwortlichen bei Verletzung des Schutzes personenbezogener Daten. Sollte es bei dem Betrieb des Datentreuhand-Systems zur Verletzung des Schutzes personenbezogener Daten, sog. Datenpannen, kommen, hat der Verantwortliche grundsätzlich diese unverzüglich und möglichst binnen 72 Stunden nach Kenntnis hiervon bei der zuständigen Aufsichtsbehörde zu melden, Art. 33 DSGVO. Diese Pflicht entfällt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.423 Die Zuständigkeit der Aufsichtsbehörde richtet sich nach Art. 55 Abs. 1 DSGVO i.V.m. § 40 BDSG. Nach § 40 Abs. 1 BDSG richtet sich die Zuständigkeit der Aufsichtsbehörde für die Überwachung nichtöffentlicher Stellen nach Landesrecht. Die Datenschutzgesetze der Länder regeln insoweit selbst die Zuständigkeit für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen, z.B. Art. 55 Abs. 1 DSGVO i.V.m. § 40 Abs. 1 BDSG i.V.m. § 26 S. 2 DSG NRW. Das richtet sich also danach, in welchem Bundesland der Datentreuhänder seine Niederlassung hat. Hat er mehrere Niederlassungen in unterschiedlichen Bundesländern, so ist nach Art. 55 Abs. 1 DSGVO i.V.m. § 40 Abs. 2 BDSG i.V.m. LDSG diejenige Aufsichtsbehörde zuständig, in dessen Gebiet der Datentreuhänder seine Hauptniederlassung hat („One-Stop-Shop-Prinzip“ auf nationaler Ebene.424 Problematisch ist die Bestimmung der Zuständigkeit, wenn eine gemeinsame Verantwortlichkeit besteht. Diesen Fall regelt § 40 Abs. 2 BDSG nicht.425 Hier lassen sich ggf. die auf unionaler Ebene entwickelt Grundsätze übertragen, wonach die gemeinsamen Verantwortlichen eine Hauptniederlassung bestimmen,426 wobei hier aktuell Bestrebungen erkennbar sind, diesen Fall im Rahmen des 1.BDSG-ÄndG gesetzlich zu regeln.427

Die Meldung muss die Mindestangaben enthalten, die Art. 33 Abs. 3 DSGVO vorgibt, z.B. die Art der Verletzung des Schutzes personenbezogener Daten und die wahrscheinlichen Folgen der Verletzung.

9) Benachrichtigungspflicht bei Verletzung des Schutzes personenbezogener Daten

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, ist der Verantwortliche verpflichtet, die voraussichtlich ein hohes Risiko für die Rechte der betroffenen Person zur Folge haben wird, muss der Verantwortliche die betroffene Person hiervon benachrichtigen, Art. 34 Abs. 1 DSGVO. Die Benachrichtigung muss die in Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 lit. b), c) und d) genannten Angaben enthalten. Art. 34 Abs. 3 DSGVO sieht Ausnahmen vor, wann die Benachrichtigung nicht erforderlich ist, z.B. wenn die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre.

10) Datenschutz-Folgenabschätzung und vorherige Konsultation

Nach Art. 35 Abs. 1 DSGVO führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Es handelt sich hierbei um eine strukturierte und dokumentierte Risikoanalyse und -bewertung der Datenverarbeitung („Data Protection Impact Assessment“, DPIA).428 Die Norm konkretisiert die allgemeine Rechenschaftspflicht des Verantwortlichen aus Art. 5 Abs. 2 DGSVO.429 Die Datenschutz-Folgenabschätzung muss den Mindestinhalt haben, den Art. 35 Abs. 7 DSGVO fordert, z.B. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Bewertung der Risiken für die betroffene Person. Art. 35 Abs. 3 DSGVO sieht drei Regelbeispiele vor, wann eine Datenschutz-Folgenabschätzung erforderlich ist, von den zwei im Bereich der Datentreuhand greifen können: Lit. a erfasst „insbesondere“ das Profiling als Unterfall eines automatisierten Verarbeitungsvorgangs, auf dessen Grundlage eine systematische und umfassende Bewertung persönlicher Aspekte einer natürlichen Person vorgenommen wird, die als Grundlage einer bestimmten Entscheidung dient. Die Fallgruppe ist offen formuliert und soll auch künftig entstehende Arten der Verarbeitung zur Erstellung von Persönlichkeitsprofilen erfassen.430 Mit Blick auf die Mehrwert-Treuhand liegt es nahe, dass für ihren Einsatz eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch wenn sie, sofern eine Auswertung von persönlichen Eigenschaften erfolgt, wie bereits dargestellt wohl nur als Grundlage der Entscheidung durch den Datennehmer dient, spricht dies nicht gegen die Erforderlichkeit der Datenschutz-Folgenabschätzung. Denn der Wortlaut gibt nicht vor, wer die Entscheidung trifft, sodass im Zweifel mit Blick auf den Schutz personenbezogener Daten von der Erforderlichkeit auszugehen ist.

Lit. b) sieht eine Datenschutzfolgenabschätzung vor, wenn besondere Kategorien von personenbezogenen Daten umfangreich verarbeitet werden. Hier ist davon auszugehen, dass Datentreuhänder, die im medizinischen Bereich oder in der Forschung mit sensiblen Daten arbeiten, eine Datenschutz-Folgenabschätzung durchführen müssen.431 Nach Art. 35 Abs. 1 DSGVO hat aber auch in sonstigen Fällen der umfangreichen Datenverarbeitung eine Datenschutz-Folgenabschätzung zu erfolgen, z.B. wenn Messdaten von Sensoren, die etwa in Fitnessarmbändern oder Smartphones oder aber auch in KFZ verbaut sind, größerem Umfang gespeichert werden.432 Das dürfte entsprechend für Datentreuhänder gelten, die im Bereich des vernetzten KFZ in großem Umfang Daten verarbeiten.

Ergibt die Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte der betroffenen Personen,433 so muss die Verarbeitung nicht unterlassen werden, sondern der Datentreuhänder hat dann die zuständige Aufsichtsbehörde zu konsultieren, Art. 36 Abs. 1 DSGVO.434

11) Benennung eines Datenschutzbeauftragten

In den in Art. 37 Abs. 1 DSGVO genannten Fällen besteht die Pflicht des Verantwortlichen und des Auftragsverarbeiters, einen Datenschutzbeauftragten zu benennen. Sind sensible Daten zentraler Gegenstand der Datenverarbeitung, besteht dabei die Kerntätigkeit435 des Datentreuhänders in der Verarbeitung dieser Daten, was zur Folge hat, dass die Benennung eines Datenschutzbeauftragten zwingend ist, Art. 37 Abs. 1 lit. b) DSGVO.436

Die Stellung des Datenschutzbeauftragten, der keinen Weisungen hinsichtlich seiner datenschutzrechtlichen Aufgaben unterworfen sein darf, ist näher in Art. 38 DSGVO geregelt. Bei Erforderlichkeit seiner Benennung sind diese Regelungen sowie Art. 37 Abs. 5 bis Abs. 7 DSGVO durch den Datentreuhänder zu beachten. Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO näher geregelt.

12) Pflichten bei Übermittlung von Daten in Drittländer

Die Übermittlung personenbezogener Daten in ein Drittland, also in einen Staat, der nicht Teil der Europäischen Union ist, ist grundsätzlich verboten (Art. 44 ff. DSGVO). Diesen Vorschriften liegt die Annahme zugrunde, dass bei Übermittlung von Daten an Staaten außerhalb EU die Gefahr einer uneingeschränkten Datenverwendung besteht.437 Zugleich besteht im globalen Raum auch die Notwendigkeit des Datenaustauschs in unterschiedlichen Zusammenhängen, z.B. beim Handel.438 Eine solche Übermittlung ist nur dann zulässig, wenn Garantien bestehen, die ein der DSGVO entsprechendes Datenschutzniveau gewährleisten (Art. 45 Abs. 1 und Art. 46 Abs. 1 DSGVO).439 Zentral ist im vorliegenden Zusammenhang vor allem die Frage, ob der Datentreuhänder Daten in die USA übermitteln darf, und zwar sei es auf eigene Server oder auf solche von Auftragsverarbeitern oder an Datennehmer. Seitdem der EuGH das sog. Privacy-Shield-Abkommen für rechtswidrig erklärt hat,440 auf dessen Grundlage vor der Entscheidung personenbezogene Daten in die USA übermittelt worden sind, wurden seitens der Kommission neue Überlegungen angestellt, um die Konformität der Übermittlung zu gewährleisten, z.B. durch neue Standardvertragsklauseln. Nun besteht ein Angemessenheitsbeschluss der Kommission für EU-U.S. Data Privacy Framework.441 Hierbei muss das in den USA ansässige Unternehmen unter dem EU-U.S. Data Privacy Framework zertifiziert sein. Die Prüfung erfolgt vorab in der EU.

c. Haftung und Sanktionen

Bei einem Verstoß gegen die DSGVO kommt sowohl die zivilrechtliche Haftung als auch die aufsichtsrechtliche Sanktionierung des Datentreuhänders in Frage.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Es ist umstritten, wer unter den Begriff „jede Person“ fällt und damit Anspruchsberechtigter ist.442 Der Begriff umfasst aber mindestens die betroffene Person, da die Verordnung im Grundsatz auf den Schutz der Grundrechte und Grundfreiheiten der betroffenen Person ausgerichtet ist. Der Begriff des Schadens umfasst alle materiellen und immateriellen Schäden, wobei aber ein bloßer Verstoß nicht bereits einen immateriellen Schaden herbeiführt.443 Die in den Art. 15 ff. DSGVO genannten Rechte kann die betroffene Person darüber hinaus gerichtlich durchsetzen.444 Die Zuständigkeit des Gerichts richtet sich nach § 44 Abs. 1 BDSG, wonach die betroffene Person entweder bei dem Gericht des Ortes, in dem der Verantwortliche oder Auftragsverarbeiter seine Niederlassung hat oder bei dem Gericht des Ortes die Klage erhebt, in dem sie ihren gewöhnlichen Aufenthaltsort hat.

Die zuständige Aufsichtsbehörde hat nach Art. 58 Abs. 1 und Abs. 2 DSGVO umfassende Befugnisse, Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter einzuleiten. Diese reichen von der Anordnung, Informationen zur Aufklärung durch die Behörde bereitzustellen bis hin zur Zugangsgewährung in die Räume des Verantwortlichen oder des Auftragsverarbeiters. Der Verantwortliche oder Auftragsverarbeiter kann bei einem Verstoß gegen die DSGVO mit einem Bußgeld adressiert werden, Art. 83, 84 DSGVO. Die Höhe kann bis zu 20. Mio. € oder bei einem Unternehmen bis zu 4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres betragen, Art. 84 Abs. 4, 5, 6 DSGVO.

II. TTDSG-Vorgaben an die Datentreuhand

Das TTDSG enthält besondere Pflichten für Anbieter von Telemedien in den §§ 19 ff. TTDSG. Wie bereits in der datenschutzrechtlichen Prüfung aufgezeigt, sind die telemedienbezogenen Regelungen des TTDSG auf die das Anbieten einer Datentreuhand anwendbar, da es sich bei dem Anbieter einer Datentreuhand um einen Telemedienanbieter handelt.445

Als Anbieter von Telemedien müssen Datentreuhänder die technischen und organisatorischen Pflichten nach § 19 TTDSG (unter 1.) beachten. Verarbeitet der Datentreuhänder personenbezogene Daten Minderjähriger könnten die Pflichten aus § 20 TTDSG zu erfüllen sein (unter 2.). Zudem ist der Datentreuhänder unter den Voraussetzungen der § 21 bis § 24 TTDSG verpflichtet, Auskunft über Bestands- und Nutzungsdaten zu erteilen (unter 3.). Anbieter von Telemedien müssen zudem unter den gesetzlich genannten Voraussetzungen die in §§ 25, 26 TTDSG geregelten Pflichten beachten (4.).

1. Technische und organisatorische Vorkehrungen

§ 19 TTDSG schreibt den Anbietern von Telemedien bestimmte technische und organisatorische Vorkehrungen zum Schutz der Nutzer vor. Im Hinblick auf Datentreuhänder stellt sich dabei die Frage, wer als „Nutzer“ i.S.d. TTDSG gelten kann. Laut der Definition des § 2 Nr. 3 TMG ist Nutzer jede natürliche oder juristische Person, die Telemedien nutzt, insbesondere um Informationen zu erlangen oder zugänglich zu machen. Je nachdem, wie das Datentreuhandmodell im Einzelfall ausgestaltet ist, können also sowohl betroffene Personen, die ihre Daten in die Datentreuhand geben, als auch Dateninhaber, die sich des Treuhänders beispielsweise aus Gründen freiwilliger Selbstbeschränkung bedienen, als Nutzer gelten.

Nach § 19 Abs. 1 TTDSG müssen Datentreuhänder als Anbieter von Telemedien i.S.d. § 2 Abs. 1 Nr. 1 TTDSG durch Vorkehrungen sicherstellen, dass die Nutzung ihres Dienstes jederzeit beendet werden kann und gegen die Kenntnisnahme Dritter geschützt ist. Der Begriff der Vorkehrung meint inhaltlich den Begriff der „Maßnahme“ i.S.d. DSGVO.446 Diese sind im Einzelfall zu bestimmen, wobei hier insbesondere die Pflicht zur Beendigung der Nutzung bei dem Angebot der Datentreuhand gegenüber betroffenen Personen als Datentreugeber und Nutzer regelmäßig durch Schließen des entsprechenden Browser-Fensters oder des Browsers insgesamt447 ausreichend ist.

Weiterhin müssen die Treuhänder nach § 19 Abs. 2 TTDSG die Nutzung ihres Dienstes in anonymer oder pseudonymisierter Form ermöglichen, sofern dies technisch möglich und zumutbar ist. Da das Geschäftsmodell der Datentreuhandmodelle jedoch gerade darauf beruht, personenbezogene Daten zu verarbeiten, dürfte man – im Einklang mit der Rechtsprechung des BGH zur Klarnamenflicht in sozialen Netzwerken448 – jedoch davon ausgehen, dass eine anonymisierte bzw. pseudonymisierte Nutzung im Innenverhältnis nicht zumutbar ist.449 Zur Erfüllung der Vorkehrungen, um eine geschützte Inanspruchnahme des Dienstes zu erreichen, sind auf allgemein geläufige und sichere Transportverschlüsselung zu setzen.450

Ferner müssen Datentreuhänder – sofern sie ihre Nutzer zu einem anderen Telemedienanbieter weitervermitteln – diese Weiterleitung kenntlich machen, § 19 Abs. 3 TTDSG; im Regelfall wird die Kenntlichmachung eines Hyperlinks451 oder ein visueller Warnhinweis ausreichen. Schließlich müssen die Treuhänder nach § 19 Abs. 4 TTDSG sicherstellen, dass kein unerlaubter Zugriff auf ihre Dienste möglich ist und die Dienste gegen Störungen gesichert sind. Diese Pflichten dürften sich mit jenen aus Art. 32 DSGVO zu „Security“ und „Safety“ des Dienstes decken.452

2. Verarbeitung personenbezogener Daten Minderjähriger

Zum Schutz der personenbezogenen Daten Minderjähriger setzt § 20 TTDSG Grenzen für deren kommerzielle Verwendung.453 Sind die Daten zur Wahrung des Jugendschutzes erhoben oder anderweitig gewonnen worden, darf der Treuhänder diese nicht für kommerzielle Zwecke verarbeiten. Einmal mehr belässt es der Gesetzgeber jedoch bei der Beschränkung auf kommerzielle Zwecke.454 Altruistische Treuhänder dürften von diesem Verbot somit ausgenommen sein.

3. Auskunft über Bestands- und Nutzungsdaten

a. Auskunft über Bestandsdaten sowie Passwörter und andere Zugangsdaten

Auf Anordnung der zuständigen Stellen dürfen Anbieter von Telemedien im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist, § 21 Abs. 1 TTDSG. Unter Anordnung der zuständigen Stelle ist jedoch nicht zwingend eine richterliche Anordnung zu verstehen.455 Unter Berücksichtigung des Zwecks der Vorschrift ist hier ein weites Verständnis zugrunde zu legen.456 Bestandsdaten sind diejenigen personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung des Vertragsverhältnisses zwischen Anbieter und Nutzer erforderlich ist, § 2 Abs. 2 Nr. 2 TTDSG. Darunter fallen z.B. Name, Anschrift und Geburtsdatum eines Nutzers.

Bestandsdaten dürfen an Private nach den Voraussetzungen des § 21 TTDSG herausgegeben werden, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche am geistigen Eigentum oder wegen Verletzung absolut geschützter Rechte „erforderlich“ ist. Die Erforderlichkeit bestimmt auch den Umfang an Bestandsdaten, der herauszugeben ist457 und bemisst sich danach, welche Daten für eine effektive Durchsetzung des Anspruchs notwendig sind. An öffentliche Stellen dürfen die Daten hingegen nur unter den Voraussetzungen des § 22 TTDSG herausgegeben werden. Für Passwörter und andere Zugangsdaten gelten nach § 23 TTDSG verschärfte Anforderungen. Dabei ist zu beachten, dass sich §§ 22, 23 TTDSG nur an solche Anbieter richten, die ihre Dienste geschäftsmäßig erbringen. Datentreuhänder, die rein altruistisch ohne Gegenleistung handeln, sind daher von diesen Auskunftspflichten nicht betroffen.

b. Auskunft über Nutzungsdaten

Anders als Bestandsdaten umfassen die Nutzungsdaten personalisierte Angaben über das Nutzungsverhalten einer Person nach § 2 Abs. 2 Nr. 3 TTDSG. Sie sind daher inhaltlich deutlich privatsphäresensitiver als Bestandsdaten, da sie einen größeren Informationswert aufweisen und weitere Rückschlüsse auf die Persönlichkeit zulassen. Nutzungsdaten sind daher nicht an Private herauszugeben, sondern ihre Herausgabe darf allein an öffentliche Stellen erfolgen, § 24 Abs. 1, Abs. 3 TTDSG. Die Herausgabe an öffentliche Stellen richtet sich nach § 24 Abs. 3 TTDSG, der noch einmal erhöhte Anforderungen an die Auskunftserteilung stellt.

4. Schutz der Privatsphäre bei Endeinrichtungen

a. Zugriff auf Informationen

Der Begriff der Endeinrichtung erfasst im weiten Sinne alle informationstechnischen Systeme, die über Schnittstellen zur Kommunikation verfügen, z.B. Laptops, Tablets oder Mobiltelefone, Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsysteme.458 Was das Verhältnis zwischen § 25 TTDSG und DSGVO angeht, so tritt die Regelung neben die Regelungen der DSGVO, da die DSGVO nicht den spezifischen Fall des Zugriffs auf Endeinrichtungen regelt.459 Damit verdrängt die Vorschrift aber nicht die sonstigen allgemeinen Regelungen, die hinsichtlich der Rechtfertigung von Datenverarbeitungen im Zusammenhang des Zugriffs auf die Endeinrichtung gelten, Art. 1 Abs. 2 EPrivacy-RL, Art. 95 DSGVO. Mit Blick auf die Datentreuhand ist die Variante des Zugriffs auf Informationen, die in der Endeinrichtung des Endnutzers gespeichert sind, von besonderer Bedeutung. Ist das Datentreuhandmodell im Grundlagen-Layer so gestaltet, dass nicht eine Übermittlung und anschließende Speicherung erfolgt, sondern der Zugriff auf den Datenbestand bzw. des Geräts des Datentreugebers erfolgt, so muss eine klare und umfassende Information hierüber vorliegen, auf dessen Grundlage der Datentreugeber einwilligt. Der Umstand, dass § 25 Abs. 1 DSGVO bis dato das Setzen von Cookies als Hauptanwendungsfall hat, schließt eine Anwendung auf andere Arten des Zugriffs nicht aus, denn die Vorschrift hat einen technologieoffenen Anwendungsbereich.460 Bedeutend dabei ist, dass § 25 Abs. 1 TTDSG auf alle Daten anzuwenden ist, d.h. ein Personenbezug der Daten ist nicht erforderlich.461 Insoweit geht diese Regelung über den Anwendungsbereich der DSGVO hinaus.462 Der Begriff des Endnutzers umfasst nur eine Teilmenge des Begriffs des Nutzers.463 Denkbar ist jedoch, dass nicht nur natürliche Personen, wie hier die betroffene Person als Datentreugeber, ein Endnutzer ist, sondern auch der Dateninhaber als juristische Person. Denn der Begriff des Nutzers i.S.d. TTDSG464 umfasst bereits juristische Personen. Zudem verweist § 25 Abs. 1 S. 2 TTDSG nur auf die Anforderungen der DSGVO zur Einwilligung und hinsichtlich der zur Verfügung zu stellenden Informationen, aber der Anwendungsbereich der Norm, gilt für alle Daten, d.h. auch nicht personenbezogene Daten. Der Zweck ist hier vor allem die Geräteintegrität zu gewährleisten,465 der ebenso ein solches Verständnis bestärken dürfte.

b. Einwilligung

Sofern kein Ausnahmetatbestand aus § 25 Abs. 2 TTDSG greift, ist eine Einwilligung des Endnutzers für den Zugriff auf die Informationen, die in der Endeinrichtung gespeichert sind, erforderlich. Da die Ausnahmen jedoch nur Fälle der Speicherung von Informationen auf Endeinrichtungen regeln, ist der hier zu prüfende Fall des Zugriffs auf Informationen von diesen Ausnahmen nicht erfasst, sodass hier stets eine Einwilligung i.S.d. § 25 Abs. 1 TTDSG erforderlich ist. Hinsichtlich der zur Verfügung zu stellenden Information über den Zugriff und der Einwilligung verweist § 25 Abs. 1 S. 2 auf die DSGVO. Hier ist zu vermerken, dass der Zugriff – sofern die Datentreuhand technisch so gestaltet ist, dass bestehende Daten abgefragt bzw. ausgelesen werden – ohnehin eine zentrale Verarbeitung ist. Sofern also personenbezogene Daten Gegenstand der Datentreuhand sind, müssen die in § 25 Abs. 1 TTDSG vorgegebenen Voraussetzungen ohnehin nach der DSGVO erfüllt sein.466 Entscheidend ist hier also zur Erfüllung der Anforderungen des § 25 Abs. 1 TTDSG die Frage, ob und inwieweit der Datentreuhänder Daten ausliest, die nicht von der DSGVO erfasst sind. Das dürfte v.a. die Fälle erfassen, in den nichtpersonenbezogene Daten aus Endgeräten ausgelesen und abgefragt werden. Dann müssen zusätzlich zu den Informationen nach Art. 13, 14 DSGVO und Art. 6 Abs. 1, S. 1 lit. a) DSGVO bzw. Art. 9 Abs. 2 lit. a) DSGVO, klare Informationen über den Zugriff zur Verfügung gestellt werden sowie eine Einwilligung in Bezug auf das Auslesen und Abfragen der nichtpersonenbezogenen Daten eingeholt werden. Eine Bündelung beider Einwilligungen ist zulässig, sofern die Transparenz gewahrt ist.467

5. Anerkennungsmöglichkeit von Diensten zur Verwaltung von Einwilligungen durch § 26 TTDSG

Dienste zur Verwaltung von nach § 25 Abs. 1 TTDSG erteilten Einwilligungen können von einer unabhängigen Stelle nach Maßgabe der Rechtsverordnung nach § 25 Abs. 2 TTDSG anerkannt werden. Keineswegs kann der hier verwendete Begriff des Dienstes zur Verwaltung von Einwilligungen mit dem Begriff des Anbieters des Vermittlungsdienstes, der Werkzeuge zur Einholung der Einwilligung betroffener Personen nach Art. 12 lit. n) DGA zur Verfügung stellt, gleichgesetzt werden.468 Während der Vermittlungsdienst i.S.d. Art. 12 lit. n) DGA die Einwilligung nach DSGVO im umfassenden Sinne meint,469 erfasst § 26 Abs. 1 TTDSG dagegen einen deutlich engeren Bereich. Die Norm erfasst PIMS nur insoweit, wie sie Einwilligungen nach § 25 Abs. 1 TTDSG verwalten470 und dabei die Voraussetzungen des § 25 Abs. 1 Nr. 1 bis Nr. 3 TTDSG erfüllen. Ein PIMS, das als Unterfall einer Zugangs-Treuhand, unterschiedliche Funktionen haben kann, auch und gerade die Übermittlung von Daten im Auftrag des Betroffenen an Datennehmer ist damit in diesem über die bloße Verwaltungsfunktion von Einwilligungen hinausgehenden Bereich nicht von § 26 TTDSG erfasst.471

Zur Steigerung des Vertrauens in solche einwilligungsverwaltenden Datentreuhänder hat der Gesetzgeber in § 26 TTDSG die Möglichkeit einer staatlichen Anerkennung geschaffen. Dabei ist zu beachten, dass eine staatliche Anerkennung nur auf Grundlage einer (noch zu erlassenden) Rechtsverordnung472 und u.a. nur dann erfolgen kann, wenn der Anbieter des PIMS keine wirtschaftlichen Eigeninteressen verfolgt, vgl. § 26 Abs. 1 Nr. 2 TTDSG. Damit dürfte der Anwendungsbereich noch begrenzter sein, da hier nur datenaltruistische Dienste erfasst sind.473 Der zwingende Regulierungsgehalt des § 26 TTDSG geht indes gegen Null. Auch ohne staatliche Anerkennung können PIMS rechtliche Einwilligungserklärungen für Betroffene übermitteln.

Fußnoten

ECLI:EU:C:2004:497 = EuZW 2004, 660 Tz. 51 – Spanien und Finnland/Parlament und Rat; Art.-29-

Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 44.

  1. Siehe dazu „DGA-Anforderungen an die Datentreuhand“, unter D. 

  2. ErwGr. 27 S. 1 DSGVO. 

  3. ErwGr. 14 S. 2 DSGVO. 

  4. EuGH, Urt. v. 09. 11. 2010 - C-92, 93/09, Tz. 53 - Volker und Markus Schecke GbR u.a./Land Hessen

  5. Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 10. 

  6. Vgl. zum Begriff: Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 10. 

  7. Vgl. zum Kontextkriterium bei der Bestimmung von Sachdaten und personenbezogenen Daten: Schild, in: BeckOK DatenschutzR, 43. Ed. 1.2.2023, DSGVO Art. 4 Rn. 24. 

  8. Vgl. m.w.N.: Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 24. 

  9. Art.-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, angen. 20.06.2007, WP 136, S. 15. 

  10. Art.-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, angen. 20.06.2007, WP 136, S. 15. 

  11. Ziebarth, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 4 Rn. 14. 

  12. Vgl. ErwGr. 51 DSGVO und Art. 4 Nr. 14 DSGVO sowie jedenfalls zum Personenbezug von Daten aus Bildaufnahmen: EuGH, Urt. v. 11.12.2014 – C-212/13 Tz. 22 – Ryneš; BVerwG, Urt. v. 27.03.2019 – 6 C 2.18, Tz. 43; Dammann, in: Simitis, BDSG, 7. Aufl. 2011, § 3 BDSG Rn. 22. 

  13. Vgl.: Klein, es sei auch die Qualität der Aufnahme im Einzelfall zu berücksichtigen, Personenbilder im Spannungsfeld von Datenschutzgrundverordnung und Kunsturhebergesetz, 2017, S. 20 f. 

  14. vgl.: Haustein, in: Hilgendorf/Günther, Robotik und Gesetzgebung, 2013, S. 93, 107; Weichert, SVR 2014, 241, 246; zur Umfelderfassung im autonomen Fahrzeug: Jensen/Gruschka/Lüssem, in: Mayr/Pinzger, Informatik 2016, S. 441, 451; ähnlich: Schwenke, Private Nutzung von Smartglasses im öffentlichen Raum, 2016, S. 105; Gaff, Datenschutz bei Virtual und Augmented Reality, 2022, S. 171 ff. 

  15. Vgl.: Metzger, GRUR 2019, 129, 131; Arning/Rothkegel, in: Taeger/Gabel, DS-GVO, 4. Aufl. 2022, Art. 4 Rn. 24. 

  16. Metzger, GRUR 2019, 129, 131. 

  17. Siehe dazu unter C.I.1.a.1)c). 

  18. Die Konten können etwa mit den Informationen aus einem elektronischen KFZ-Schlüssel verbunden sein. 

  19. Siehe bereits C.I.1.a.1)b)(2). 

  20. Siehe. dazu unter C.I.1.a.1)c) und vgl. auch: Balzer/Nugel, NJW 2016, 193, 195; Metzger, GRUR 2019, 129, 131. 

  21. Siehe dazu unter C.I.1.a.1)c). 

  22. EuGH, Urt. v. 19.10.2016 – C-582/14, Tz. 49 - Breyer/Deutschland

  23. Art.-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, angen. 20.06.2007, WP 136, S. 17. 

  24. Siehe umfassend: EuG Urt. v. 26.04.2023 – T-557/20, BeckRS 2023, 8240 Rn. 83 ff.; Klar/Kühling, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 1 DSGVO, Rn. 26. 

  25. Näher zu den rechtlichen Mitteln: Klar/Kühling, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 1 DSGVO, Rn. 28. 

  26. EuGH, Urt. v. 19.10.2016 – C-582/14, Tz. 46 - Breyer/Deutschland - dort der EuGH ausdrücklich: „Wie der Generalanwalt in Rn. 68 seiner Schlussanträge (Campos Sanchez-Bordona) im Wesentlichen ausgeführt hat, wäre dies nicht der Fall, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, zum Beispiel weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene.“; ebenso sowie näher hierzu: Art.-29-Datenschutzgruppe, WP 136, S. 17; Klar/Kühling, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 1 DSGVO, Rn. 25 ff.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 4 Nr. 1 DSGVO, Rn. 57 ff. 

  27. Von Bodungen, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16 Rn. 13. 

  28. Schröder, ZD 2021, 302, 304. 

  29. Siehe zum Personenbezug von KFZ-Kennzeichen: BVerfG, Beschl. v. 18.12.2018 – 1 BvR 142/15 – KFZ-Kennzeichenkontrollen II; von Bodungen, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16 Rn. 13. 

  30. ErwGr. 26 S. 5, S. 6 DSGVO; siehe zur faktischen Anonymisierung, die nach DSGVO nach wohl h.M. ausreichend ist, näher: Ziebarth, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 4 Rn. 30. 

  31. Vgl. insoweit ErwGr. 26 S. 5 DSGVO; Schwartmann/Jaspers/Lepperhoff/Weiß/Meier, Praxisleitfaden zum Anonymisieren personenbezogener Daten, Stiftung Datenschutz, 2022, S. 27. 

  32. Schwartmann/Jaspers/Lepperhoff/Weiß/Meier, Praxisleitfaden zum Anonymisieren personenbezogener Daten, Stiftung Datenschutz, 2022, S. 26. 

  33. Siehe https://www.hipaajournal.com/de-identification-protected-health-information/, zuletzt abgerufen am: 31.10.2023. 

  34. Ziebarth, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 4 Rn. 30. 

  35. Siehe zu den Angaben in Bezug auf Gesundheitsdaten: ErwGr. 35 S. 2 DSGVO. 

  36. Schild, in: BeckOK DatenschutzR, 43. Ed. 1.2.2023, DSGVO Art. 4 Rn. 34. 

  37. Vgl. der weite Wortlaut des Art. 4 Nr. 2 DSGVO, der den „Vorgang“ oder die „Vorgangsreihe“ sowie diverse Unterfälle nennt. 

  38. Unter der damals geltenden RL 95/46/EG hat Deutschland weite Regelungsspielräume gehabt und im BDSG a.F. noch nach einzelnen Verarbeitungsarten unterschieden. 

  39. Vgl. hierzu Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR- Beil. 2021, 25, 27, 37. 

  40. Vgl. zum Überblick auch: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR- Beil. 2021, 25, 27, 30. 

  41. Ro_ßnagel_, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 4 Nr. 2 Rn. 26. 

  42. Ro_ßnagel_, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 4 Nr. 2 Rn. 26. 

  43. Herbst, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, DSGVO, Art. 4 Nr. 2 DSGVO Rn. 21. 

  44. Reimer, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 4 Rn. 63. 

  45. Reimer, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 4 Rn. 64. 

  46. vgl. Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 37. 

  47. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 4 Nr. 2 Rn. 23. 

  48. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 4 Nr. 2 Rn. 23. 

  49. Vgl. dahingehend ErwGr. 50 DSGVO; BeckOK DatenschutzR/Schild, 45. Ed. 1.8.2023, DS-GVO Art. 4 Rn. 48. 

  50. Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 29. 

  51. Als Verarbeitung einordnend und eine Rechtsgrundlage für erforderlich haltend: Art.-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken, angen. 10.04.2014, WP216, S. 8, abrufbar unter: [https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216en.pdf](https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf), zuletzt abgerufen am: 31.10.2023; BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 5; näher dazu unter: C.I.2.b.5)b); als Verarbeitung einordnend: _Hornung/Wagner, ZD 2020, 223, 224; eingehend dazu: Specht-Riemenschneider, ZEuP 2023, 638, 654; unter Auslegung der DSGVO die Verarbeitung ablehnend: Thüsing/Rombey, ZD 2021, 548, 550 ff. 

  52. Dahingehend zunächst: Hornung/Wagner, ZD 2020, 223, 224. 

  53. Siehe: Art.-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken, angen. 10.04.2014, WP 216, S. 12, abrufbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, zuletzt abgerufen am: 31.10.2023. 

  54. Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 4 Rn. 46. 

  55. So einschränkend bei Daten, bei den der Empfänger kaum Möglichkeiten hat, die Pseudonyme Personen zuzuordnen: EuG Urt. v. 26.04.2023 – T-557/20, BeckRS 2023, 8240 Rn. 83 ff. 

  56. Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 4 Nr. 2 Rn. 30. 

  57. Siehe bereits C.I.1.a.3)b)(1). 

  58. Siehe bereits C.I.1.a.1)d). 

  59. Vgl. nur ErwGr. 29 DSGVO, wonach der Gesetzgeber ohne Weiteres von der Verantwortlichkeit ausgeht; Taeger/Gabel/Arning/Rothkegel, 4. Aufl. 2022, DS-GVO Art. 4 Rn. 55; ErwGr. 26 S. 2 DSGVO. 

  60. Dazu unter C.I.3.a.9). 

  61. EuGH, Urt. v. 11.12.2014 – C-212/13, Rn. 33 ­– Ryneš; Zerdick, in: Ehmann/Selmayr, 2. Aufl. 2018, DSGVO Art. 2 Rn. 10. 

  62. Scholz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, DSGVO nach Art. 6 Rn. 49. 

  63. ErwGr. 18 DSGVO. 

  64. Vgl. ErwGr. 18 DSGVO. 

  65. Vgl. ErwGr. 22 S. 2 DSGVO. 

  66. Klar, in: in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 3 DSGVO Rn. 53. 

  67. Vgl. Wortlaut Art. 3 Abs. 1 letzter HS DSGVO: „[…] unabhängig davon, ob die Verarbeitung in der Union stattfindet. […]“. 

  68. Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 336. 

  69. Ähnlich: Klar, in: in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, DSGVO, Art. 3 DSGVO Rn. 72. 

  70. Vgl. insoweit „Erzeugnisse“: EuGH, Urt. v. 10.12.1968 - 7/68 – Kommission/Italien. 

  71. Dahingehend: Uecker, ZD 2019, 67, 69 f.; Klar, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, DSGVO, Art. 3 DSGVO Rn. 94. 

  72. So: Uecker, ZD 2019, 67, 69 f.; a.A. Zerdick, der vielmehr eine „Überwachung“ fordert, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 3 Rn. 20. 

  73. Uecker, ZD 2019, 67, 70. 

  74. Einzig die nichtautomatisierte Datenverarbeitung von Beschäftigten nach § 26 Abs. 7 BDSG ist insofern weitergehender als Art. 2 Abs. 1 DSGVO, als dass nach § 26 Abs. 7 BDSG die Vorschriften im Beschäftigungskontext auch anzuwenden sind, sofern Daten im Rahmen einer nichtautomatisierten Datenverarbeitung nicht in einem Dateisystem gespeichert sind oder werden sollen. Das fordert Art. 2 Abs. 1 DSGVO hingegen nicht. Dieser Unterschied spielt jedoch im Kontext der datentreuhänderischen Tätigkeiten eine untergeordnete Rolle, da hier regelmäßig eine Speicherung in einem Dateisystem vorliegen wird. 

  75. Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 3 DSGVO, Rn. 12 f.; Klar, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, § 1 BDSG Rn. 20.25. 

  76. Siehe Laue zur räumlichen Anwendbarkeit von datenschutzrechtlichen Regelungen im Zusammenhang mit Öffnungsklauseln, ZD 2016, 463, 466; Klar, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, § 1 BDSG Rn. 20, 25 sowie Art. 3 DSGVO Rn. 109. 

  77. Gola/Heckmann/Gola/Reif, 3. Aufl. 2022, BDSG § 1 Rn. 18. 

  78. Gola/Heckmann/Gola/Reif, 3. Aufl. 2022, BDSG § 1 Rn. 18. 

  79. Siehe zum Begriff der Dienstleistung im Rahmen des Marktortprinzips nach DSGVO unter C.I.1.b.2). 

  80. Siehe C.I.1.b.2)b). 

  81. Vgl. nur klarstellend § 1 Abs. 5 BDSG; eingehend: Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Einl. 265, 267. 

  82. Vgl. bereits zu § 1 Abs. 4 S. 2 BDSG oder siehe zur Europarechtswidrigkeit von § 4 Abs. 1 BDSG, der die Videoüberwachung private Verantwortliche rechtfertigen soll: BVerwG, Urt. v. 27.03.2019 – 6 C 2.18, Rn. 47; Roßnagel, DuD 2017, 277, 278; 39. Jahresbericht Datenschutz der Landesbeauftragten für Datenschutz, Berichtsjahr 2016, S. 22. 

  83. Baumgartner, in: Gierschmann/Baumgartner, 1. Aufl. 2023, TTDSG § 2 Rn. 16. 

  84. BeckOK InfoMedienR/Martini, 40. Ed. 1.8.2022, TMG § 2 Rn. 6. 

  85. BeckOK InfoMedienR/Martini, 40. Ed. 1.8.2022, TMG § 2 Rn. 6. 

  86. Nach § 3 Nr. 61 TKG sind Telekommunikationsdienste „[…] in der Regel gegen Entgelt über Telekommunikationsnetze erbrachte Dienste, die – mit der Ausnahme von Diensten, die Inhalte über Telekommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen: a) Internetzugangsdienste, b) interpersonelle Telekommunikationsdienste und c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden; […] 

  87. Nach § 3 Nr. 65 TKG ist ein Telekommunikationsnetz „[…] die Gesamtheit von Übertragungssystemen, ungeachtet dessen, ob sie auf einer permanenten Infrastruktur oder zentralen Verwaltungskapazität basieren, und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitigen Ressourcen, einschließlich der nicht aktiven Netzbestandteile, die die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetzen, festen, leitungs- und paketvermittelten Netzen, einschließlich des Internets, und mobilen Netzen, Stromleitungssystemen, soweit sie zur Signalübertragung genutzt werden, Netzen für Hör- und Fernsehfunk sowie Kabelfernsehnetzen, unabhängig von der Art der übertragenen Information; […]“. 

  88. Assion, in: Assion, TTDSG, 2022, § 2 Rn. 16. 

  89. So in der Gesetzesbegründung zum Elektronischen-Geschäftsverkehr-Vereinheitlichungsgesetz, BT-Drs. 16/3078, 13. 

  90. Zur Einordnung des Datentreuhandangebots als Dienstleistung, die auch hier zugrunde zu legen sein dürfte vgl. unter A. 

  91. BT-Drs. 16/3078, 13. 

  92. BT-Drs. 16/3078, 13. 

  93. So: Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, 2019, Art. 95 Rn 2. 

  94. So wohl: Kühling/Raab, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 95 Rn. 5. 

  95. EDSA, Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, insbesondere in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden, angenommen am 12.03.2019, Rn. 36 ff. 

  96. Vgl. auch: EDSA, Stellungnahme 5/2019 zum Zusammenspiel zwischen der e-Datenschutz-Richtlinie und der DSGVO, insbesondere in Bezug auf die Zuständigkeiten, Aufgaben und Befugnisse von Datenschutzbehörden, angenommen am 12.03. 2019, Rn. 36 ff., 44 ff. 

  97. Siehe C.I.3 ff. 

  98. A.A.: Roßnagel, dies sei (nur) das Prinzip des Vorbehalts des Gesetzes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 5 Rn. 35. 

  99. Siehe zu den Verarbeitungsschritten C.I.1.a.3). 

  100. Vgl.: EuGH, Urt. v. 05.06.2018 – C-210/16, Tz. 28 ff. - Facebook-Fanpage; Art.-29-Datenschutzgruppe, WP 169, S. 16; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, Art. 4 Nr. 7 Rn. 20; Klabunde, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 4 Rn. 36. 

  101. EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, angen. am 07.07.2021, Rn. 33; Frenzel, in: Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 5 Rn. 23. 

  102. EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., angen. am 07.07.2021, Rn. 33 ff.; Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, S. 16. 

  103. Art.-29-Datenschutzgruppe, WP 169, S. 30 ff.; Monreal, ZD 2014, 611, 612; Hartung, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 8 DSGVO, Rn. 7. 

  104. Art. 29-Datenschutzgruppe, WP 169, S. 22; Hartung, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 8 DSGVO, Rn. 7. 

  105. Kühling/Buchner/Hartung, 3. Aufl. 2020, DS-GVO Art. 26 Rn. 13. 

  106. Vgl. EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., angen. am 07.07.2021, S. 23 f. Rn. 55. 

  107. EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., 7.2021, S. 23 f. Rn. 59 f.; EuGH, Urt. v. EuGH, Urt. 29.07.2019 – C-40/17, Rn. 80 – FashionID; Specht-Riemenschneider/Schneider, MMR 2019, 503, 504 f. 

  108. Specht-Riemenschneider/Schneider, GRUR Int. 2020, 159, 160. 

  109. EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., 7.2021, S. 24 Rn. 65. 

  110. EuGH, Urt. v. 05.06.2018 – C-210/16, Tz. 28 ff. - Facebook-Fanpage; EuGH, Urt. v. 29.07.2019 – C-40/17, Rn. 74 ff. ­– FashionID; Art.-29-Datenschutzgruppe, WP 169, S. 22 ff.; Schneider, Gemeinsame Verantwortlichkeit, 2021, S. 64 ff. 

  111. Specht-Riemenschneider/Schneider, MMR 2019, 503, 504 f. 

  112. Art.-29-Datenschutzgruppe, WP 169, S. 23 f.; Hartung, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 26 DSGVO, Rn. 16. 

  113. EuGH, Urt. v. 05.06.2018 – C-210/16, Tz. 37 f. - Facebook-Fanpage

  114. EuGH, Urt. v. 10.07.2018 – C-25/17 – Zeugen Jehovas

  115. EuGH, Urt. v. 29.07.2019 – C-40/17 ­– FashionID

  116. Vgl. hierzu auch: Schneider, Gemeinsame Verantwortlichkeit, S. 67 ff.; Specht-Riemenschneider/Schneider, GRUR Int. 2020, 159, 160. 

  117. EuGH, Urt. v. 29.07.2019 – C-40/17, Rn. 74 ­– FashionID; Schneider, Gemeinsame Verantwortlichkeit, S. 67 ff. 

  118. EuGH, Urt. v. 29.07.2019 – C-40/17, Rn. 74 – FashionID; unter Verweis auf: GA Bobek, Schlussanträge v. 19.12.2018 – C-40/17, Rn. 101. 

  119. EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0 angen. am 07.07.2021, Rn. 58. 

  120. EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0 angen. am 07.07.2021, Rn. 20; vgl. dahingehend: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 45. 

  121. Dahingehend zur Verantwortlichkeit auch: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 46. 

  122. Dazu sogleich unter C.I.2.b. 

  123. Eine Auftragsverarbeitung per se ausschließend, da eine Weisungsgebundenheit eines Datentreuhänders nicht in Frage käme: Kühling, ZfDR, 1, 16. 

  124. Kühling, ZfDR, 1, 16. 

  125. Siehe zur Haushaltsausnahme unter C.I.1.a.3)e). 

  126. Vgl. so etwa zu Daten aus dem vernetzten KFZ: Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, 2019, Art. 2 Rn. 31. 

  127. Dazu sogleich unter C.I.2.a.2)c). 

  128. Vgl. zu Verträgen und Absprachen als Indizien: EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., angen. Am 07.07.2021, Rn. 28. 

  129. Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 45. 

  130. Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 46. 

  131. So Kühling nach einer sog. Lagertheorie, ZfDR, 1, 16. 

  132. Vgl. Wortlaut Art. 4 Nr. 8 DSGVO; EDSA, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0 angen. am 07.07.2021, Rn. 79. 

  133. Zur Frage der Botenschaft: Kühling/Sauerborn, ZD 2022, 531, 532. 

  134. Im Einzelnen ist umstritten, ob es sich um ein Verbotsprinzip oder Verbot mit Erlaubnisvorbehalt handelt oder (nur) ein Vorbehalt des Gesetzes damit geregelt wird, handelt, vgl.: Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 5 Rn. 35. 

  135. Siehe C.I.1.a.1). 

  136. Zur besonderen Schutzbedürftigkeit sensibler Daten: EuGH, Urt. v. 24.09.2019 – C-136/17 Tz. 44; vgl. ErwGr. 51 S. 1 DSGVO. 

  137. Hierzu aber ErwGr. 51 S. 2 DSGVO: „[…] wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt.“ 

  138. ErwGr. 35 DSGVO. 

  139. Vgl. Wortlaut „Daten über die Erbringung von Gesundheitsdienstleistungen“ sowie ErwGr. 35 S. 2 DSGVO. 

  140. Vgl.: Weichert, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, DSGVO, Art. 4 Nr. 15 Rn. 3. 

  141. Auf die Auswertungsabsicht abstellend: Schulz, in: Gola, DSGVO, 2. Aufl. 2018, Art. 9 Rn. 13; tendenziell mit besonderem Augenmerk auf die Auswertungsabsicht: Matejek/Mäusezahl, ZD 2019, 551, 552 f.; zwar unter Berücksichtigung des Verwendungszusammenhangs, aber die Auswertungsabsicht besonders hervorhebend: Gola/Klug/Körffer, in: Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, § 3 Rn. 56a; nach Dammann/Simitis wohl nur als ein Kriterium von vielen, EG-Datenschutzrichtlinie, 1997, Art. 8 Rn. 3, 7. 

  142. So: EuGH, Urt. v. 06.11.2003 – C-101/01, Tz. 50 – Lindqvist; ebenso: BAG, Beschl. v. 09.04.2019 – 1 ABR 51/17, Tz. 37. 

  143. Einen verobjektivierten Verarbeitungszusammenhang zugrunde legend: Kühling/Seidel, in: Kingreen/Kühling, Gesundheitsdatenschutzrecht, 2015, S. 46; Schneider/Schindler, ZD 2018, 463, 468; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, Art. 9 Rn. 11 f.; Schiff, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 9 Rn. 3; Weichert, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 9 Rn. 20, 22. 

  144. ErwGr. 42 S. 5 DSGVO; EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, , Version 1., angen. am 04.05.2020, Rn. 13. 

  145. Vgl. ErwGr. 43 S. 2, 1. Hs. DSGVO. 

  146. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angen. am 04.05.2020, Rn. 13; Buchner/Kühling, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 4 Nr. 11 Rn. 6; ErwGr. 43 S. 2, 2. Hs. DSGVO. 

  147. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angen. am 04.05.2020, Rn. 13. 

  148. Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 38. 

  149. Vgl. auch: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 38. 

  150. Vgl. „Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.“, § 26 Abs. 2 S. 2 i.V.m. 26 Abs. 8 S. 2 BDSG; EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angen. am 04.05.2020, Rn. 21. 

  151. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angen. am 04.05.2020, Rn. 57. 

  152. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1 angenommen am 04.05.2020, Rn. 60. 

  153. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1 angenommen am 04.05.2020, Rn. 77. 

  154. Vgl.: EuGH, Urt. v. 8.12.2022 – C-180/21, Tz. 54 ff. 

  155. Vgl.: Cepic, ZD-Aktuell 2021, 05241; DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DSGVO, 03.04.2019, S. 1. 

  156. Siehe auch: DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DSGVO, 03.04.2019, S. 1. 

  157. Siehe: Arbeitsgruppe Consent, Mustertext Patienteneinwilligung, Stand 16.04.2020, Version 1.6d. 

  158. Eine Zweckänderung nach Art. 6 Abs. 4 DSGVO Bedarf immer einer Einzelfallabwägung, vgl. dazu: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 38. 

  159. ErwGr. 42 S. 4 DSGVO; EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1., angen. am 04.05.2020, Rn. 64. 

  160. Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S. 106 ff.; dahingehend bereits: Rüttgers, CR 1996, 52, 55; Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, 2001, S. 90 f. 

  161. Als zentrale Herausforderung im gesamten Datentreuhandgefüge: Kühling, ZfDR 2021, 1, 11. 

  162. Ingold, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 7 Rn. 48. 

  163. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, am 04.05.2020, Rn. 75; EuGH, Urt. v. 01.10.2019 – C-673/17, Rn. 62 – Planet49

  164. Vgl. auch: EuGH, Urt. v. 01.10.2019 – C-673/17, Rn. 62 – Planet49; ErwGr. 32 S. 3 DSGVO. 

  165. Klabunde, in: Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 4 Rn. 53. 

  166. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1 angenommen am 04.05.2020, Rn. 77. 

  167. Siehe zur objektiven Unentbehrlichkeit der Verarbeitung: Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Teil 3 Rn. 44; dahingehend auch: Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747; EDPD, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 08.10.2019, Rn. 23; a.A. und den Inhalt des Vertrages zugrunde legend etwa: Engeler, ZD 2018, 55, 57 f.; Schulz, in: Gola, DSGVO BDSG, 3. Aufl. 2022, Art. 6 Rn. 39 DSGVO. 

  168. Siehe: Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Teil 3 Rn. 44; dahingehend auch: Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747; EDPD, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 08.10.2019, Rn. 23. 

  169. So etwa: Engeler, ZD 2018, 55, 57 f.; Schulz, in: Gola, DSGVO BDSG, 3. Aufl. 2022, Art. 6 Rn. 39 DSGVO. 

  170. Vgl. dahingehend: EDPD, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, 08.10.2019, Rn. 23 ff. 

  171. In dem Sinne auch: Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 6 Rn. 39, 40. 

  172. Vgl. Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 38. 

  173. Vgl. zur autonomen Auslegung: EuGH, Urt. v. 09.11.2000 – C-357/98, 76705 Tz. 26 – Yiadom; EuGH, Urt. v. 14.05.1985 – Rs. 139/84, Tz. 16 – van Dijk’s Boekhuis

  174. Wohl dahingehend: EuGH, Urt. v. 17.06.2021 – C-597/19, GRUR 2021, 1067 Rn. 109 – Microm/Telenet; Beispiele: Taeger, in: Taeger/Gabel, 4. Aufl. 2022, DS-GVO Art. 6 Rn. 128. 

  175. Siehe: ErwGr. 47 S. 2 und S. 7 DSGVO; Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 30 f. 

  176. EuGH, Urt. v. 17.06.2021 – C-597/19, GRUR 2021, 1067 Rn. 109 – Microm/Telenet

  177. Vgl.: EuGH, Urt. v. 24.11.2011− C-468, 469/10, Tz. 40 – ASNEF u. FECEMD

  178. Siehe auch: Taeger, in: Taeger/Gabel, 4. Aufl. 2022, DS-GVO Art. 6 Rn. 129. 

  179. Als elementaren Rechtsgrundsatz zu verstehen: EuGH Beschl. v. 13.11.2000, C-317/00, Tz. 57 – Invest; zur Überschneidung der beiden Grundrechte, vgl.: EuGH, Urt. v. 09.09.2004 – C-184/02 und C-223/02, 

  180. Vgl. Hoffmann zum Recht auf Datenverarbeitung als vom Schutzbereich der unternehmerischen Freiheit erfasst, in ZD 2023, 18, 19. 

  181. Siehe Wortlaut Art. 4 Nr. 10 DSGVO. 

  182. EuGH, Beschl. v. 13.11.2000, C-317/00, Tz. 57 – Invest; EuGH, Urt. v. 09.09.2004 – C-184/02 und C-223/02, EuZW 2004, 660 Tz. 51 – Spanien und Finnland/Parlament und Rat; Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 44. 

  183. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, 2001, S. 98; Herfurth, ZD 2018, 514, 515. 

  184. Vgl. zum Begriff der Erforderlichkeit im europäischen Rechtssinne: EuGH, Urt. v. 11.07.1989 – 265/87, Tz. 51 – Schräder; vgl. auch: Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, DSGVO, Art. 6 Rn. 100; Herfurth, ZD 2018, 514, 515. 

  185. Vgl. nur: Sydow/Kring, ZD 2014, 271, 272; Europäisches Parlament, Änderungsantrag 99, Entwurf v. 16.01.2013, 2012/0011(COD), Europäischer Wirtschafts- und Sozialausschuss, Stellungnahme 2012/C 229/17; Roßnagel/Nebel/Richter, ZD 2015, 455, 457; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, 

  186. Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 6 Rn. 61. 

  187. Vgl.: EGMR, Urt. v. 26.03.1987 – 9248/81, Tz. 48 – Leander/Schweden; EGMR, Urt. v. 04.05.2000 – 28341/95, Tz. 43, 46 – Rotaru/Rumänien; EGMR, Entsch. v. 29.06.2006 – 54934/00, Tz. 77 – Weber u. Saravia/Deutschland. 

  188. BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83 u. a. = NJW 1984, 419, 422 – Volkszählung; BVerfG, Beschl. v. 14.12.2000 – 2 BvR 1741/99 = NStZ 2001, 328, 329 – Genetischer Fingerabdruck; BVerfG, Urt. v. 27.02.2008 – 1 BvR 370/07 und 1 BvR 595/07 = ZUM 2008, 301, 312 – Online-Durchsuchungen

  189. Jede personenbezogene Datenverarbeitung ist zunächst ein Eingriff, vgl. Art. 2 Abs. 1 DSGVO. 

  190. Als Bestandteil des Grundsatzes der Verarbeitung nach Treu und Glauben: EuGH, Urt. v. 

  191. EuGH, Urt. v. 01.10.2015 – C-201/14 = ZD 2015, 577 Tz. 32 f. – Bara u. a. 

  192. Vgl. Vorschlag Steege zu Hinweisschildern bei autonomen Fahrzeugen, MMR 2019, 509, 512; vgl. zutreffend in vergleichbarer Weise bei Smartglasses: Schwenke, Private Nutzung von Smartglasses im öffentlichen Raum, 2016, S. 227. 

  193. Siehe zum Schutz: EGMR, Urt. v. 24.06.2004 – 59320/00 = GRUR 2004, 1051 Tz. 50 – von Hannover/Deutschland I; EGMR, Urt. v. 07.02.2012 – 40660/08 u. 60641/08 = ZUM 2012, 551 Tz. 95 f. – von Hannover/Deutschland II

  194. Gaff, Datenschutz bei Virtual und Augmented Reality, 2022, S. 234. 

  195. Welches Alter hierfür vorliegen muss, geht aus der DSGVO nicht hervor. Nach Art. 8 Abs. 1 S. 1 DS-GVO ist „bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, dessen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO dann rechtmäßig, wenn es das sechszehnte Lebensjahr vollendet hat“. Allerdings gilt diese Altersgrenze nur für den dort speziell geregelten Fall, sodass hieraus nicht der Schluss gezogen werden kann, dass betroffene Personen zwischen dem 16. und 18. Lebensjahr keine Kinder sind. Insoweit ist darauf abzustellen, dass es sich bei der betroffenen Person um Kind handelt, wenn es das 18. Lebensjahr nicht vollendet hat, vgl.: Roßnagel, ZD 2020, 88, 89. 

  196. Vgl. ErwGr. 38 S. 1 DSGVO; Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 52; Robrahn/Bremert, ZD 2018, 291, 292 f.; Roßnagel, ZD 2020, 88, 89; Art.-29-Datenschutzgruppe, Arbeitspapier 1/2008 zum Schutz der personenbezogenen Daten von Kindern, WP 147, S. 2. 

  197. Richtigerweise muss ein Überwiegen vorliegen, da eine Umkehr Beweis- und Darlegungslast in Ansehung des Art 5 Abs. 2 DSGVO keinen Sinn ergäbe, vgl. auch: Wolff , in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 662; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 6 Rn. 149. 

  198. Herfurth, ZD 2018, 514; siehe auch: DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019; dahingehend auch: Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 47. 

  199. Der Ansatz ist nicht ausdrücklich geregelt, jedoch ist der Begriff des Risikos maßgeblich für die konkreten Pflichten des Verantwortlichen, der in den Art. 24 ff. DSGVO enthalten ist. Umfassend zum risikobasierten Ansatz der DSGVO: Schröder, ZD 2019, 503. 

  200. Vgl. DSK, Kurzpapier Nr. 18, Risiko für die Rechte und Freiheiten natürlicher Personen, v. 26.04.2018. Siehe insoweit die vergleichsweise hohen Anforderungen der Erlaubnistatbestände nach Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 DSGVO, die i.E. auf das höhere Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person zurückzuführen sind, das dann besteht, wenn sensible Daten verarbeitet werden. 

  201. Vgl. bereits: EuGH, Urt. v. 04.02.1988 – Rs. 157/86, Tz. 11 – Murphy; EuGH, Urt. v. 24.11.2011− C-468, 469/10, EuZW 2012, 37 Tz. 43 – ASNEF u. FECEMD

  202. Siehe C.I.2.b.1)b)(3)(a). 

  203. Siehe bereits C.I.2.b.1)b)(3)(c). 

  204. Herfurth, ZD 2018, 514, 515. 

  205. Vgl. dahingehend: EuGH, Urt. v. 13.05.2014 – C-131/12 = GRUR 2014, 895 Tz. 80 f. – Google Spain; siehe auch: Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 46 f. 

  206. Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 31; Herfurth, ZD 2018, 514, 519; Buchner/Petri, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 6, Rn. 153. 

  207. Vgl. Art. 85 DSGVO und Art. 89 DSGVO, Art. 5 Abs.1 lit. b) DSGVO. 

  208. Das Interesses eines Unternehmens kann sich mit einem Interesse der Allgemeinheit decken: Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 45. 

  209. So ist eine Speicherung oder systematische Überwachung, vgl. Art. 35 Abs. 3 lit. a) und lit. c) DSGVO, als eingriffsintensive Maßnahme einzuordnen als eine nur einmalige Erhebung von personenbezogenen Daten. Auch Art. 24 DSGVO und ErwGr. 75 DSGVO adressieren die „Art der Verarbeitung“. 

  210. Vgl. ErwGr. 75 DS-GVO; dahingehend auch: Herfurth, ZD 2018, 514, 519. 

  211. Vgl. Art. 24 Abs. 1, Art. 35 Abs. 1 DS-GVO sowie ErwGr. 91 DS-GVO. 

  212. Das geht aus dem Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. c) DSGVO und vor allem dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DS-GVO hervor. 

  213. Art. 13 und Art. 14 DSGVO sowie ErwGr. 47 S. 1 und S. 5 DSGVO. 

  214. EuGH, Urt. v. 24.11.2011− C-468, 469/10, EuZW 2012, 37 Tz. 44 f. – ASNEF u. FECEMD; Art. 9 Abs. 2 lit. e) DSGO enthält einen Legitimationstatbestand für die Verarbeitung sensibler Daten, die die „betroffene Person offensichtlich öffentlich gemacht hat“. Das kann als Grundsatz mit in die Abwägung zur Rechtfertigung nicht-sensibler personenbezogener Daten herangezogen werden; siehe zur Quelle der Daten: Knyrim, in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 14 Rn. 38, 39. 

  215. Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 53, 65; Herfurth, ZD 2018, 514, 520. 

  216. ErwGr. 75 DS-GVO; vgl. auch leitend für den Grundgedanken des Machtverhältnisses Art. 7 Abs. 4 DSGVO; Art.-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, WP 217, S. 51. 

  217. EuGH, Urt. v. 16.07.2020 – C-311/18, NJW 2020, 2613, Tz. 180 – Schrems II; Herfurth, ZD 2018, 514, 518 f.; ErwGr. 91 DSGVO; siehe nunmehr EU-Kommission mit dem Entwurf eines neuen Angemessenheitsbeschlusses: EU-U.S. Data Privacy Framework (DPF), v. 13.12.2022; z.T. kritisch EDSA, Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework, angen. am 28.02.2023. 

  218. Eingehend: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO, Art. 6 Rn. 49. 

  219. Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO, Art. 6 Rn. 49. 

  220. Das öffentliche Interesse geht zwar nicht unmittelbar aus dem Wortlaut hervor, allerdings ergibt sich das aus Art. 6 Abs. 2, Abs. 3 DSGVO_,_ näher_: Kühling/Martini et al._, Die Datenschutz-Grundverordnung und das nationale Recht, 2016, S. 31. 

  221. Näher: Reimer, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 6 Rn. 58 ff. 

  222. Reimer, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 6 Rn. 62. 

  223. Reimer, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 6 Rn. 60; so wohl auch: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO, Art. 6 Rn. 78 f. 

  224. Reimer, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 6 Rn. 60. 

  225. Art. 9 Abs. 2 lit. b) DSGVO: „[…] die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, […]“, Art. 9 Abs. 2 lit. c): „[…] die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, […]“, Art. 9 Abs. 2 lit. d): „[…] die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, […]“, Art. 9 Abs. 2 lit. e): „[…] die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, […]“; Art. 9 Abs. 2 lit. f) DSGVO: „die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich, […]“. 

  226. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Rn. 93; Kampert, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 9 Rn. 13. 

  227. EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Rn. 93, 94. 

  228. Vgl.: Wortlaut „einen oder mehrere festgelegte Zwecke“; Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 7 Rn. 65. 

  229. Kampert, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO Art. 9 Rn. 13. 

  230. Vgl.: Art.-29-Datenschutzgruppe, Opinion 03/2013 on purpose limitation, WP 203, S. 16 

  231. Siehe auch: DSK, Beschluss zur Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DSGVO, 03.04.2019, S. 1; vgl. auch ErwGr. 33 S. 2, 3 DSGVO sowie Art. 5 Abs. 1 lit. b) DSGVO. 

  232. Siehe: Arbeitsgruppe Consent, Mustertext Patienteneinwilligung, Stand 16.04.2020, Version 1.6d.; vgl. auch: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO, Art. 9 Rn. 59. 

  233. EDPS, Preliminary Opinion on data protection and scientific research, 06.01.2020, S. 14; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO, Art. 9 Rn. 59. 

  234. EDPS, Preliminary Opinion on data protection and scientific research, 06.01.2020, S. 14. 

  235. Vgl. auch zu den gesteigerten Anforderungen der Informiertheit: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, DS-GVO, Art. 9 Rn. 59. 

  236. Vgl. zur Öffnungsklausel, auf die die Norm beruht: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, BDSG, § 22 Rn. 28. 

  237. Kampert, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO § 22 Rn. 25. 

  238. Wie unter C.I.1.c.1)c) dargestellt müssen die Normen des BDSG vor ihrer Anwendung dahingehend überprüft werden, ob sie im Hinblick auf den räumlichen Anwendungsbereich nach § 1 Abs. 4 S. 2 BDSG europarechtskonform zur Anwendung kommen. Das ist hier der Fall, denn Art. 9 Abs. 2 lit. h) DSGVO enthält keine eigenen Vorgaben zum räumlichen Anwendungsbereich. 

  239. Kampert, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO § 22 Rn. 27. 

  240. Kampert, in: Sydow/Marsch, DSGVO/BDSG, 3. Aufl. 2022, DS GVO § 22 Rn. 27. 

  241. Weichert, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, DSGVO, Art. 9 Rn. 98. 

  242. BT-Drs. 18/11325, S. 95; siehe auch: Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.5.2023, BDSG, § 22 Rn. 28. 

  243. Eingehend: Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, 44. Ed. 1.11.2022, § 27 Rn. 9, 9g. 

  244. Wie bereits unter C.I.1.c.1)c) dargestellt müssen die Normen des BDSG vor ihrer Anwendung dahingehend überprüft werden, ob sie im Hinblick auf den räumlichen Anwendungsbereich nach § 1 Abs. 4 S. 2 BDSG europarechtskonform zur Anwendung kommen. Das ist hier der Fall, denn Art. 9 Abs. 2 lit. j) DSGVO enthält keine eigenen Vorgaben zum räumlichen Anwendungsbereich. 

  245. Relevant ist hier die wissenschaftliche Forschung, siehe zum Begriff: Krohm, in: Gola/Heckmann, BDSG, 13. Aufl. 2019, § 27 Rn. 13. 

  246. ErwGr. 159 S. 2 DSGVO. 

  247. ErwGr. 159 S. 3 DSGVO; näher: Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzecht, 44. Ed. 1.11.2022, § 27 Rn. 15a. 

  248. Vgl. BVerfG, wonach wissenschaftliche Forschung Wissenschaftliche Forschung „(…) jede wissenschaftliche Tätigkeit, d.h. auf alles, was nach Inhalt und Form als ernsthafter planmäßiger Versuch zur Ermittlung von Wahrheit anzusehen ist (…)“ und „(…) jede geistige Tätigkeit mit dem Ziel, in methodischer, systematischer und nachprüfbarer Weise neue Erkenntnisse zu gewinnen (…)“ umfasse: BVerfG, Urt. v. 29.5.1973 – 1 BvR 424/71, 325/72, BVerfGE 35, 79, 113; Raum, in: Ehmann/Selmayr_,_ DSGVO, 2. Aufl. 2018, Art. 89 Rn. 25; vgl. auch: Ro?nagel, ZD 2019, 157, 158 f., ähnlich: Johannes/Richter, ZD 2017, 300. 

  249. Dahingehend: Weichert, ZD 2020, 18, 19 f.; Roßnagel, ZD 2019, 157, 158 f.; Geminn, DuD 2018, 640, 643. 

  250. Krohm, in: Gola/Heckmann, BDSG, 13. Aufl. 2019, § 27 Rn. 14. 

  251. Siehe dahingehend: Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 44. Ed. 1.11.2022, § 27 Rn. 19. 

  252. Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzecht, 44. Ed. 1.11.2022, § 27 Rn. 30; Krohm, in: Gola/Heckmann, BDSG, 13. Aufl. 2019, § 27 Rn. 22. 

  253. Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzecht, 44. Ed. 1.11.2022, § 27 Rn. 30. Gola/Heckmann/Krohm, BDSG, 13. Aufl. 2019, § 27 Rn. 22. 

  254. Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzecht, 44. Ed. 1.11.2022, § 27 Rn. 31. 

  255. Koch, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzecht, 44. Ed. 1.11.2022, § 27 Rn. 33. 

  256. Siehe auch: Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, § 27 BDSG Rn. 12. 

  257. Siehe: Art. 5 Abs. 2 lit. b) DSGVO, ErwGr. 159 DSGVO, Art. 89 DSGVO, Art. 9 Abs. 2 lit. j) DSGVO. 

  258. Differenzierend: Golla, in: in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 23 Rn. 32; a.A. dahingehend: Buchner/Tinnefeld, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, § 27 BDSG Rn. 12. 

  259. Siehe nur ErwGr. 51, Art. 9 Abs. 1 DSGVO (sog. absolutes Verarbeitungsverbot). 

  260. Siehe auch: Albrecht, CR 2016, 88, 94, 96. Die Erstellung eines Verarbeitungsverzeichnisses trotz grundsätzlicher Privilegierung von kleinen und mittleren Unternehmen nach Art. 30 Abs. 5 DS-GVO, die Datenschutzfolgen-Abschätzung nach Art. 35 Abs. 3 lit. b) DS-GVO oder die Benennung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. c) DS-GVO sind einige Beispiele für den erhöhten Schutz sensibler Daten. 

  261. Dahingehend wohl auch: Weichert, in: Kühling/Buchner, DSGVO BDSG, 3. Aufl. 2020, Art. 9 Rn. 3. 

  262. siehe C.I.2.b.1)b)(1)(a). 

  263. Siehe zu verschiedenen Verarbeitungsvorgängen ErwGr. 43 S. 2, 1. Hs. DSGVO. 

  264. Vgl. dazu: Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Teil 3 Rn. 44; dahingehend auch: Krohm/Müller-Peltzer, ZD 2017, 551, 553; Golland, MMR 2018, 130, 134 f.; Specht, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 9 Rn. 85. 

  265. Die rechtliche Zulässigkeit der Stellvertretung bejahend: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR-Beil. 2021, 25, 41; Kühling, ZfDR 2021, 1, 8; Sydow/Marsch DS-GVO/BDSG/Ingold, 3. Aufl. 2022, DS GVO Art. 7 Rn. 19; ablehnend: Ernst, ZD 2017, 110, 111; Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 7 Rn. 9. 

  266. Siehe oben zu den praktischen Problemen, die Einwilligung einzuholen unter C.I.2.b.1)b)(1) ff. 

  267. Vgl. zu wesentlichen Informationen: Vgl.: EuGH, Urt. v. 01.10.2019 – C-673/17 = ZD 2019, 556 Tz. 77 f. – Planet49; Art.-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, WP 259 rev. 01, S. 15 Art. 13 Abs. 1 lit. e) DSGVO. 

  268. Siehe C.I.2.b.1)b)(1)(b). 

  269. Siehe zum sog. Broad Consent C.I.2.b.1)b)(1)(b). 

  270. Siehe C.I.2.b.1)b)(1)(c). 

  271. Siehe bereits C.I.2.b.1)b)(1)(c). 

  272. Vgl. nur Art. 12 Abs. 7 DSGVO, wonach die Informationen auch durch Bildsymbole zur Verfügung gestellt werden können; Specht-Riemenschneider/Bienemann, Informationsvermittlung durch standardisierte Bildsymbole, in: Specht-Riemenschneider/Werry/Werry, Datenrecht in der Digitalisierung, 2020, § 3.3 Rn. 3, 8; Eckardt, CR 2012, 195, 198. 

  273. Dahingehend der Vorschlag bei einer Ad-hoc-Übermittlung als Just-in-time-Einwilligung: Art.-29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260, S. 25; aber auch spielerisch erklärte Einwilligungen unter Nutzung der Gamifizierungseffekte sind möglich, umfassend dazu: Hermstrüwer, Informationelle Selbstgefährdung, 2016, 125 ff.; Scheurer, Spielerisch selbstbestimmt, 2019, S. 286 f.; Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 12 Rn. 20. 

  274. Siehe bereits C.I.2.b.1)b)(1)(d). 

  275. Siehe bereits C.I.2.b.1)b)(1)(c). 

  276. Siehe unter C.I.2.b.1)c)(1). 

  277. Siehe unter C.I.2.b.1)c)(1). 

  278. Siehe unter C.I.2.b.1)c). 

  279. Siehe: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR- Beil. 2021, 25, 26 f. 

  280. Siehe unter C.I.2.b.1)b)(2). 

  281. Siehe zu möglichen hierunter gefassten Datenverarbeitungen: EDPB, Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen, angen. am 08.10.2019, Rn. 26 f. 

  282. Siehe zum Begriff des „Dritten“ bereits C.I.2.b.1)b)(3)(a). 

  283. Siehe C.I.2.b.1)b)(3) ff. 

  284. So im Rahmen der Erforderlichkeit: Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 6 Rn. 61. 

  285. Siehe bereits C.I.1.a.1)c). 

  286. Siehe bereits C.I.2.b.1)b)(3)(c). 

  287. Siehe bereits C.I.2.b.1)b)(3)(c). 

  288. Siehe C.I.2.b.1)b)(3)(d). 

  289. Siehe ErwGr. 47 S. 1, 5 DSGVO; Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 6 Abs. 1 Rn. 111. 

  290. Siehe insoweit: EuGH, Urt. v. 11.12.2019 – C-708/18, ECLI:EU:C:2019:1064 = ZD 2020, 148 Tz. 58 – bloc M5A-ScaraA, vgl.: Mantz/Marosi, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 3 Rn. 64; vgl. auch: Taeger/Gabel/Taeger, 4. Aufl. 2022, DS-GVO Art. 6 Rn. 145. 

  291. Siehe entsprechendes Beispiel: Taeger/Gabel/Taeger, 4. Aufl. 2022, DS-GVO Art. 6 Rn. 145; vgl. auch: BeckOK DatenschutzR/Albers/Veit, 45. Ed. 1.8.2023, DS-GVO Art. 6 Rn. 72. 

  292. Vgl. zu den vernünftigen Erwartungen der betroffenen Person: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 6 Abs. 1 Rn. 108. 

  293. Zur Eingriffsintensität: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 6 Abs. 1 Rn. 106, 108. 

  294. Vgl. Datenstrategie der Bundesregierung, „Wir wollen Datentreuhänder im Datenökosystem etablieren, indem wir, u. a. über Gesetzgebungsprozesse auf EU-Ebene (Data Governance Act), konkrete Anforderungen und Qualitätskriterien definieren, die insbesondere die Neutralität und wirtschaftliche Unabhängigkeit von Datentreuhändern und deren Eignung gewährleisten.“, S. 34, v. 27.01.2021; Blankertz, Stiftung Neue Verantwortung, Designing Data Trusts, Februar 2020, S. 13 ff.; siehe auch Kühling, wonach Datentreuhänder als zusätzliche Marktakteure die Macht von „Internetgiganten“ relativieren können, ZfDR 2021, 1, 4; vgl. auch: Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR- Beil. 2021, 25; 

  295. Datenstrategie der Bundesregierung, v. 27.01.2021, S. 36. 

  296. siehe bereits C.I.2.b.1)b)(3)(d). 

  297. Vgl. ErwGr. 29 DSGVO, der im Wortlaut einen ermöglichenden Ansatz enthält, der im Grundsatz zulässt, dass Pseudonymisierungsmaßnahmen unter besonderen Voraussetzungen beim verantwortlichen möglich ist. 

  298. Roßnagel, ZD 2018, 243, 245. 

  299. Vgl.: Roßnagel, ZD 2018, 243, 244. 

  300. Vgl. zur Problematik: von Bodungen, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 16 Datenschutz im Automotive-Sektor Rn. 35; bereits problematisch ist überhaupt schon die Verarbeitung durch den KFZ-Hersteller oder andere Dateninhaber, vgl.: Schröder, ZD 2021, 302, 305. 

  301. Von Bodungen, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 16 Datenschutz im Automotive-Sektor Rn. 35 ff.; Schröder, ZD 2021, 302, 305. 

  302. Siehe bereits C.I.2.b.1)b)(3)(d). 

  303. Kühling/Buchner/Buchner/Tinnefeld, 3. Aufl. 2020, BDSG § 27 Rn. 11. 

  304. Kühling/Buchner/Buchner/Tinnefeld, 3. Aufl. 2020, BDSG § 27 Rn. 11. 

  305. Siehe bereits C.I.1.a.3)b)(3). 

  306. BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07, 1 BvR 595/07 = NJW 2008, 822, 827 Rn. 201 – Online-Durchsuchung. 

  307. BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07, 1 BvR 595/07 = NJW 2008, 822, 827 Rn. 204 – Online-Durchsuchung. 

  308. BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07, 1 BvR 595/07 = NJW 2008, 822, 827 Rn. 201 – Online-Durchsuchung. 

  309. BVerfG, Beschl. v. 13.06.2007 - 1 BvR 1550/03 u.a. = NJW 2007, 2464, 2471 Tz. 152. 

  310. Wesentlich sind alle Informationen, die Grundlage der Entscheidungsfindung d er betroffenen Person sind, vgl.: BeckOK DatenschutzR/Albers/Veit, 45. Ed. 1.8.2023, DS-GVO Art. 6 Rn. 36. 

  311. So Ebner zur Novellierung der Informationspflichten, die sich im Wesentlichen mit den notwendigen Informationen zur Erteilung einer wirksamen Einwilligung decken, ZfDR 2023, 299, 305. 

  312. Vgl. dahingehend Wolff, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK DatenschutzR, Syst. A. Prinzipien des Datenschutzrechts Rn. 51. 

  313. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 6 Abs. 1 Rn. 108. 

  314. Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 6 Abs. 1 Rn. 111. 

  315. Siehe dazu bereits unter C.I.2.b.1)c)(3). 

  316. Z.T. gibt es Stimmen, die für die Rechtfertigung von Analysen eine weite Anwendung des Art. 6 Abs. 1 S. 1 lit. b) DSGVO sind, dahingehend: Hoffmann/Schmidt, GRUR 2021, 679, 682 f. 

  317. Siehe C.I.2.b.1)b)(1)(c). 

  318. Vgl. zur Intensität eines heimlichen Eingriffs: BVerfG, Urt. v. 16.02.2023 – 1 BvR 1547/19, 1 BvR 2634/20, NJW 2023, 1196 Rn. 105 – automatisierte Datenanalyse; insoweit zu Big Data-Analysen, der ein vergleichbarer Fall sein dürfte.: Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 6 Rn. 152 

  319. BVerfG, Urt. v. 16.02.2023 – 1 BvR 1547/19, 1 BvR 2634/20, NJW 2023, 1196 Rn. 105 ff. – automatisierte Datenanalyse. 

  320. Gola/Heckmann/Schulz, 3. Aufl. 2022, DS-GVO Art. 6 Rn. 140. 

  321. Vgl. dazu: EuGH, Rs. C-634/21 (anhängig), Schlussanträge, LTZ 2023, 232 Rn. 33. Davon zu unterscheiden ist die automatisierte Entscheidung im Einzelfall, für die gesetzlich in Art. 22 DSGVO besondere Voraussetzungen geregelt sind. Hier werden Bedingungen dafür aufgestellt, wann das Ergebnis des Verarbeitungsprozesses genutzt werden darf, jedoch nicht, ob die Verarbeitung bis zum Ergebnis nach diesen Regeln rechtmäßig ist. Diese Frage folgt den allgemeinen Rechtmäßigkeitsgrundsätzen nach Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO, vgl.: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 22 Rn. 4, 11. 

  322. Siehe dahingehend: Vgl. dazu: EuGH, Rs. C-634/21 (anhängig), Schlussanträge, LTZ 2023, 232 Rn. 38. 

  323. ErwGr. 51 DSGVO; Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 2. 

  324. Art. 22 Abs. Abs. 4 DSGVO lässt ein Beruhen der Entscheidung auf sensible Daten zu, wenn die Einwilligung vorliegt, er aber nicht aber einen Zweck, der diskriminierend ist. 

  325. Siehe C.I.1.a.2)a). 

  326. Eine Rechtsgrundlage für erforderlich haltend: BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 5; Art.-29-Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken, angen. 10.04.2014, WP216, S. 8, abrufbar unter: [https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216en.pdf](https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf), zuletzt abgerufen am: 31.10.2023; näher dazu unter: C.I.1.a.1)d); eine Rechtsgrundlage i.E. für erforderlich haltend, jedoch kritisch: _Hornung/Wagner, ZD 2020, 223, 225 ff.; eingehend dazu: Specht-Riemenschneider, ZEuP 2023, 638, 654; unter Auslegung der DSGVO die Verarbeitung und die Anwendung des Verbotsprinzips ablehnend: Thüsing/Rombey, ZD 2021, 548, 550 ff. 

  327. Vgl. zur Anwendbarkeit aller Rechtsgrundlagen im Rahmen der DSRL: Art.-29-Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken, angen. 10.04.2014, WP216, S. 8, abrufbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, zuletzt abgerufen am: 31.10.2023. 

  328. BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 8. 

  329. So auch im Rahmen der DSRL: Art.-29-Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken, angen. 10.04.2014, WP216, S. 8, abrufbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, zuletzt abgerufen am: 31.10.2023. 

  330. Siehe näher: BfDI, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 6. 

  331. Dahingehend, wobei auch stets ein Restrisiko verbleibe, so: Art.-29-Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken, angen. am 10.04.2014, WP216, S. 5, 7, abrufbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, zuletzt abgerufen am: 31.10.2023. 

  332. So im Grundsatz auch der Gesetzgeber, der dies mit dem Grundsatz der Datenminimierung und Speicherbegrenzung in Art. 5 Abs. 1 DSGVO zum Ausdruck bringt. 

  333. Sydow/Marsch DS-GVO/BDSG/Ziebarth, 3. Aufl. 2022, DS GVO Art. 4 Rn. 29. 

  334. Siehe zum risikobasierten Ansatz der über die zu treffenden Maßnahmen entscheidet: Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 24 Rn. 23. 

  335. Siehe C.I.2.b.1)b)(1)(c). 

  336. So zu einer starken Pseudonymisierung mit einem hohen Schutzstandard: Roßnagel, ZD 2018, 243, 245; siehe zur Re-Identifikation und der Eingriffsintensität: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 306; vgl. zur Verringerung des Risikos der Verknüpfbarkeit: Art.-29-Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken, angen. 10.04.2014, WP216, S. 24, abrufbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, zuletzt abgerufen am: 31.10.2023. 

  337. Vgl. zur Sphäre des Verantwortlichen bei der Pseudonymisierung: Roßnagel, ZD 2018, 243, 245; siehe zu den unterschiedlichen Faktoren, die die Wirksamkeit der Pseudonymisierung bestimmen: Art.-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, angen. 20.06.2007, S. 21. 

  338. Dahingehend auch: Roßnagel, ZD 2018, 243, 245. 

  339. Siehe auch bereits C.I.1.a.3)b)(3). 

  340. Siehe C.I.2.b.1)b)(1)(c). 

  341. Siehe C.I.2.b.1)c). 

  342. Siehe auch bereits C.I.2.b.1)b)(3). 

  343. Siehe bereits C.I.2.b.1)b)(1)(c). 

  344. Dahingehend auch: EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, , Version 1., angen. am 04.05.2020, Rn. 65. 

  345. Vgl. zum höheren Maß an Genauigkeit und Bestimmtheit: Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 47. 

  346. Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 9 Rn. 47. 

  347. Vgl. EDSA, nach dem auch hinsichtlich des Zwecks eine stärkere Prüfung der Bestimmtheit des Zwecks der Verarbeitung für die Forschung erforderlich sei, EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1., angen. am 04.05.2020, Rn. 156. 

  348. Vgl. zur Intensität heimlicher Eingriffe: EGMR, Urt. v. 17.10.2019 – 1874/13, 8567/13, NZA 2019, Tz. 89 f. – López Ribalda u. a./Spanien; BVerfG, Urt. v. 16.02.2023 – 1 BvR 1547/19, 1 BvR 2634/20, NJW 2023, 1196 Rn. 105 – automatisierte Datenanalyse

  349. Siehe C.I.1.a.1)d). 

  350. Siehe C.I.1.a.1)d). 

  351. Siehe C.I.2.b.1)b)(1)(c). 

  352. Vgl.: BVerfG, Urt. v. 16.02.2023 – 1 BvR 1547/19, 1 BvR 2634/20, NJW 2023, 1196 Rn. 105 – automatisierte Datenanalyse

  353. EuG Urt. v. 26.04.2023 – T-557/20, BeckRS 2023, 8240 Rn. 83 ff.; siehe bereits C.I.2.b.5)c). 

  354. Vgl. EuG, wonach bei Übermittlung pseudonymisierter Daten, die Daten aus Sicht des Empfängers keinen Personenbezug haben, Urt. v. 26.04.2023 – T-557/20, BeckRS 2023, 8240 Rn. 83 ff. 

  355. Siehe bereits C.I.2.b. zum Rechtmäßigkeitsgrundsatz. 

  356. Siehe C.I.2.a. 

  357. Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 12 Rn. 1. 

  358. Vgl. mit vielen einzelfallbezogenen Beispielen zur Umsetzung: Art.-29-Datenschutzgruppe, rev. Leitlinien für Transparenz gemäß der Verordnung 2016/679, zuletzt angen. 11.04.2018, WP260, Rn. 7 ff. 

  359. Zum Streit, ob die Unmöglichkeit subjektiv oder objektiv zu bestimmen ist: BeckOK DatenschutzR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 14 Rn. 98. 

  360. Dahingehend auch: Simitis/Hornung/Spiecker/Dix Art. 14 Rn. 21; Kühling/Buchner/Bäcker Art. 14 Rn. 59; a.A: BeckOK DatenschutzR/Schmidt-Wudy, 45. Ed. 1.8.2023, DS-GVO Art. 14 Rn. 100. 

  361. Angesichts dieser zahlreichen Informationen gibt es Zweifel an der Effektivität der Informationsübermittlung, dazu: Gola/Heckmann/Franck, 3. Aufl. 2022, DS-GVO Art. 13 Rn. 1. 

  362. EuGH, Urt. v. 04.05.2023 – C-487/21, EuZW 2023, 575 Tz. 28 ff. 

  363. EuGH, Urt. v. 04.05.2023 – C-487/21, EuZW 2023, 575 Tz. 28 ff.; BVerwG Urt. v. 30.11.2022 – 6 C 10.21, NVwZ 2023, 346 Tz. 26 ff.; Vgl. auch Art. 12 Abs. 2, Abs. 5 DSGVO, wonach die Ausübung der Rechte sind der betroffenen Person zu erleichtern ist und diesbezügliche Maßnahmen grundsätzlich unentgeltlich zu erfolgen haben. 

  364. BVerwG Urt. v. 30.11.2022 – 6 C 10.21, NVwZ 2023, 346 Tz. 26 ff. 

  365. Siehe zu Grenzen, Form und Frist: DSK, Kurzpapier Nr. 6, Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO, v. 17.12.2018, S. 2. 

  366. Als wesentlicher Bestandteil des „Selbstdatenschutzes“: Gola/Heckmann/Reif, 3. Aufl. 2022, DS-GVO Art. 16 Rn. 2; vgl. zum Umfang des Anspruchs: BeckOK DatenschutzR/Worms, 45. Ed. 1.8.2023, DS-GVO Art. 16 Rn. 50. 

  367. Gola/Heckmann/Reif, 3. Aufl. 2022, DS-GVO Art. 16 Rn. 2. 

  368. Gola/Heckmann/Reif, 3. Aufl. 2022, DS-GVO Art. 16 Rn. 4. 

  369. Zum Umfang des Anspruchs: EuGH, Urt. v. 27.10.2022 – C 129/21, GRUR-RS 2022, 28855 Tz. 66 – Proximus NV; EuGH, Urt. v. 24.09.2019 - C-507/17, NJW 2019, 3499 Tz. 43 ff.; EuGH (Große Kammer), Urt. v. 13.5.2014 – C-131/12, NJW 2014, 2257 Tz. 92 ff. – Recht auf Vergessenwerden I. 

  370. Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 17 Rn. 44. 

  371. Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 18 Rn. 1. 

  372. Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 18 Rn. 3; vgl. auch ErwGr. 67 DSGVO zur Methode der Einschränkung. 

  373. ErwGr. 67 S. 1 und S. 2 DSGVO. 

  374. DSK, Kurzpapier Nr. 11, Recht auf Löschung/“Recht auf Vergessenwerden“, v. 17.12.2018, S. 2. 

  375. DSK, Kurzpapier Nr. 11, Recht auf Löschung/“Recht auf Vergessenwerden“, v. 17.12.2018, S. 2; Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 19 Rn. 1. 

  376. Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 19 Rn. 2. 

  377. Sydow/Marsch DS-GVO/BDSG/Peuker, 3. Aufl. 2022, DS GVO Art. 19 Rn. 11; Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 19 Rn. 13. 

  378. Näher: Sydow/Marsch DS-GVO/BDSG/Sydow/Wilhelm-Robertson, 3. Aufl. 2022, DS GVO Art. 20 Rn. 1. 

  379. Näher: Sydow/Marsch DS-GVO/BDSG/Sydow/Wilhelm-Robertson, 3. Aufl. 2022, DS GVO Art. 20 Rn. 16. 

  380. Siehe C.I.2.b.1)b)(1). 

  381. Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 20 Rn. 25. 

  382. Vgl.: Specht-Riemenschneider, ZEuP 2023, 638, 663. 

  383. Sowohl die gerichtliche als auch die außergerichtliche Geltendmachung von Rechtsansprüchen ist erfasst, vgl.: Sydow/Marsch DS-GVO/BDSG/Helfrich, 3. Aufl. 2022, DS GVO Art. 21. 

  384. Näher: Sydow/Marsch DS-GVO/BDSG/Helfrich, 3. Aufl. 2022, DS GVO Art. 21 Rn. 65. 

  385. Siehe C.I.2.b.1)b)(3). 

  386. Vgl.: EuGH, Rs. C-634/21 (anhängig), Schlussanträge, LTZ 2023, 232 Rn. 33; näher: Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 22 Rn. 1 ff. 

  387. Sydow/Marsch DS-GVO/BDSG/Helfrich, 3. Aufl. 2022, DS GVO Art. 22 Rn. 1 

  388. ErwGr. 71 DSGVO. 

  389. Zur Problematik der Europarechtkonformität der Vorschrift des § 37 Abs. 1 lit. a) DSGVO m.w.N.: Gola/Heckmann/Paschke/Scheurer, 3. Aufl. 2022, BDSG § 37 Rn. 6. 

  390. Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 22 Rn. 4, 11. 

  391. Kühling/Buchner/Buchner, 3. Aufl. 2020, DS-GVO Art. 22 Rn. 4, 11. 

  392. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 24 Rn. 1. 

  393. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 24. 

  394. Dabei können v.a. Check-Listen genutzt werden, um den Ist-Zustand zunächst festzustellen, vgl. etwa: Bertermann, in: Koreng/Lachenmann DatenschutzR-FormHdB, Form. C. I. Anm. 1.-58. 

  395. EDPB, Leitlinien 4/2019 zu Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Version 2.0, angen. am 20.10.2020, Rn. 9 ff., 17 ff.; Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 37a. 

  396. EDPB, Leitlinien 4/2019 zu Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Version 2.0, angen. am 20.10.2020, Rn. 33, 37. 

  397. Siehe im Einzelnen: EDPB, Leitlinien 4/2019 zu Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Version 2.0, angen. am 20.10.2020, Rn. 17 ff. 

  398. Vgl. darüber hinaus im Kontext von Federated Learning bei der Datentreuhand: Buchholtz/Brauneck/Schmalhorst, NVwZ 2023, 206, 211. 

  399. Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, MMR- Beil. 2021, 25, 44. 

  400. Siehe bereits oben unter C.I.2.a.1)c). 

  401. EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., 07.07.2021, Rn. Rn. 172 ff; Schneider, Gemeinsame Verantwortlichkeit, 2021, S. 113 ff. 

  402. EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., 07.07.2021, Rn. 177; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 26 Rn. 16. 

  403. DSK, Kurzpapier Nr. 16, Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO, v. 19.03.2018, S. 3. 

  404. Siehe C.I.1.a.3). 

  405. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 26 Rn. 18. 

  406. Siehe dazu unten C.I.3.b.12). 

  407. Hornung, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 27 Rn. 1. 

  408. Art. 28 Abs. 3 S. 1 DSGVO sieht auch „ein anderes Rechtsinstrument“ als mögliche Grundlage der Auftragsverarbeitung an, welches in einem nationalen Gesetz bestehen kann, das etwa zwischen zwei öffentlichen Stellen die Auftragsverarbeitung regelt, siehe: Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 28 Rn. 48; siehe zur Schriftform: Sydow/Marsch DS-GVO/BDSG/Ingold, 3. Aufl. 2022, DS GVO Art. 28 Rn. 44 ff. 

  409. Siehe unter C.I.2.a.1)b). 

  410. Vgl. Wortlaut Art. 28 Abs. 3, S. 2 DSGVO „insbesondere“; EDSA, Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0., 07.07.2021, Rn. 114; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 28 Rn. 57. 

  411. Vgl. Kühling zur Rolle von Dritten, die keine Entscheidungsgewalt im Rahmen der Datentreuhand innehaben, ZfDR 2021, 1, 15. 

  412. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO, Art. 30 Rn. 1. 

  413. Vgl. ErwGr. 82 DSGVO. 

  414. Vgl. ErwGr. 82 S. 1 DSGVO. 

  415. Näher: Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 32 Rn. 9. 

  416. Sydow/Marsch DS-GVO/BDSG/Mantz, 3. Aufl. 2022, DS GVO Art. 32 Rn. 9. 

  417. Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DSGVO Art. 32 Rn. 19 ff. 

  418. Abrufbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/bsi-standards_node.html, zuletzt abgerufen am 31.10.2023. 

  419. Vgl. dazu: Kühling, ZfDR 2021, 1, 12 f. 

  420. Vgl. zum Teil als allgemeine Anforderungen im Fragebogen des LDA zur Rechenschaftspflicht, Prüfkatalog Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und Datengetriebenen Unternehmen (Version 1.0); Bertermann, in: Koreng/Lachenmann DatenschutzR-FormHdB, Form. C. I. Anm. 1.-58. 

  421. Umfassend: Bertermann, in: Koreng/Lachenmann DatenschutzR-FormHdB, Form. C. I. Anm. 1.-58. 

  422. Vgl. Bertermann, in: Koreng/Lachenmann DatenschutzR-FormHdB, Form. C. I. Anm. 1.-58. Rn. 43. 

  423. Näher hierzu: Sydow/Marsch DS-GVO/BDSG/Wilhelm-Robertson, 3. Aufl. 2022, DS GVO Art. 33 Rn. 9. 

  424. Gola/Heckmann/Gola, 3. Aufl. 2022, BDSG § 40 Rn. 8, 9. 

  425. Dies ist auch auf unionaler Ebene nicht geregelt, vgl.: Sydow/Marsch DS-GVO/BDSG/Peuker, 3. Aufl. 2022, DS GVO Art. 56 Rn. 22. 

  426. Artikel-29-Datenschutzgruppe, WP 244 rev. 1.0: „Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters“, zuletzt überarbeitet und angenommen am 5.4.2017, S. 8. 

  427. BvD, Änderung des Bundesdatenschutz-Gesetzes, Stellungnahme v. 04.09.2023, S. 3. 

  428. Leitlinien für eine Risikobewertung: DSK, Kurzpapier Nr. 18, Risiko für die Rechte und Freiheiten natürlicher Personen, v. 26.04.2018. 

  429. Kühling, ZfDR 2021, 1, 14; Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 35 Rn. 2. 

  430. Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 35 Rn. 22. 

  431. Vgl.: Kühling, ZfDR 2021, 1, 14. 

  432. Siehe dahingehend auch: Kühling, ZfDR 2021, 1, 14. 

  433. Siehe zur Risikoidentifikation: Leitlinien für eine Risikobewertung: DSK, Kurzpapier Nr. 18, Risiko für die Rechte und Freiheiten natürlicher Personen, v. 26.04.2018, S. 2. 

  434. Vgl. auch ErwGr. 84 DSGVO. 

  435. Aus ErwGr. 97 DSGVO ergibt sich, dass der Begriff der Kerntätigkeit sich auf die Haupttätigkeiten und nicht etwa auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht.; Gola/Heckmann/Klug, 3. Aufl. 2022, DS-GVO Art. 37 Rn. 8. 

  436. Auch in anderen Fällen kann die Benennung erforderlich sein, die unter Heranziehung Art. 37 Abs. 1 lit. b) DSGVO durchaus möglich wäre. 

  437. Vgl. ErwGr. 101 DSGVO. 

  438. ErwGr. 101 S. 1 DSGVO. 

  439. EuGH, Urt. v. 16.07.2020 – C-311/18, Tz. 94 – Schrems II 

  440. EuGH, Urt. v. 16.07.2020 – C-311/18, Tz. 101 ff.– Schrems II 

  441. KOM, Adequacy decision for the EU-US Data Privacy Framework, v. 10.07.2023. z.T. kritisch: EDPB: Stellungnahme 5/2023 zum Entwurf eines Durchführungsbeschlusses der Europäischen Kommission über die Angemessenheit des Schutzes personenbezogener Daten im Rahmen des Datenschutzrahmens EU-USA, angen. am 28.02.2023, S. 24 ff. 

  442. Umfassend und mit m.w.N.: Kühling/Buchner/Bergt, 3. Aufl. 2020, DS-GVO Art. 82 Rn. 13; unter Ausschluss juristischer Personen: Taeger/Gabel/Moos/Schefzig, 4. Aufl. 2022, DS-GVO Art. 82 Rn. 17. 

  443. EuGH, Urt. v. 04.05.2023 – C-300/21, Tz. 32 ff. - UI/Österreichische Post AG; vgl. auch ErwGr. 75, 85 und 146 DSGVO. 

  444. Vgl. etwa zum Unterlassungsanspruch aus Art. 17 DSGVO: OLG Frankfurt a. M., Urt. v. 30.03.2023 – 16 U 22/22, Tz. 41 ff. (nicht rechtskräftig). 

  445. Siehe bereits unter C.I.1.c.2)a). 

  446. Vgl.: Jandt/Schaar/Schulze, in: Roßnagel, Beck’scher Kommentar zum Recht der Telemediendienste, § 13 TMG Rn. 90. 

  447. Taeger/Gabel/Moos, 4. Aufl. 2022, TTDSG § 19 Rn. 7. 

  448. BGH 23.06.2009 – VI ZR 196/08, NJW 2009, 2888 – Spickmich; BGH 27.1.2022 – III ZR 2/21, NJW 2022, 1314, 1321 – Klarnamenpflicht auf Facebook; s.a. OLG München 8.12.2020, 18 U 2822/19, MMR 2021, 245, 247 – Klarnamenpflicht auf Facebook. 

  449. Zur Zumutbarkeit: Schneider, in: Assion, TTDSG, 2022, § 19 Rn. 13. 

  450. Taeger/Gabel/Moos, 4. Aufl. 2022, TTDSG § 19 Rn. 9. 

  451. Schneider, in: Assion, TTDSG, 2022, § 19 Rn. 17. 

  452. Siehe C.I.3.b.7). 

  453. Unter Einbeziehung des Art. 1 Abs. 2 ePrivacy-RL und Art. 95 DSGVO, die das Verhältnis zwischen DSGVO und ePrivacy-RL regeln, dürfte es sich bei dieser Regelung um eine Regelung handeln, die die Regelungen der DSGVO um eine eigenständige ergänzt und als Pflicht neben die Pflichten der DSGVO tritt. 

  454. Hierzu: Schreiber/Gottwald, MMR 2021, 467, 469. 

  455. Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 21 Rn. 8. 

  456. Vgl.: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 21 Rn. 8. 

  457. Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 21 Rn. 11. 

  458. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), Version 1.1, Dezember 2022, S. 7 f. 

  459. Dahingehend: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25 Rn. 16. 

  460. Siehe ausdrücklich mit weiteren Beispielen: DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), Version 1.1, Dezember 2022, S. 7. 

  461. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), Version 1.1, Dezember 2022, S. 9. 

  462. BGH, Urt. vom 28.05.2020 – I ZR 7/16, Tz. 61 – Planet49; DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), Version 1.1, Dezember 2022, S. 9. 

  463. Vgl.: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25 Rn. 21. 

  464. Siehe C.II.1. 

  465. Näher: Hanloser, ZD 2021, 399. 

  466. Siehe bereits C.I.2.b.1)b)(1). 

  467. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021), Version 1.1, Dezember 2022, S. 36. 

  468. Vgl. Art. 12 lit. n), der einen weiten Anwendungsbereich hat „stellt ein Anbieter von Datenvermittlungsdiensten Werkzeuge zur Einholung der Einwilligung betroffener Personen (…) zur Verfügung (…)“. 

  469. Die Einwilligung i.S.d. Art. 12 lit. n) DGA meint nach Art. 2 Nr. 5 DGA „(…) eine Einwilligung im Sinne des Artikels 4 Nummer 11 der Verordnung (EU) 2016/679“. 

  470. Als „kleine Münze der Einwilligungsverwaltung“ bezeichnend: Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 26 Rn. 2. 

  471. Vgl.: Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 26 Rn. 2. 

  472. Siehe zum RefE der Verordnung über Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz, sog. Einwilligungsverwaltungsverordnung (EinwV) v. 10.06.2023. 

  473. Gierschmann/Baumgartner/Hanloser, 1. Aufl. 2023, TTDSG § 26 Rn. 47.