eine wirksame Einwilligung.44 Nach EG 32 S. 5 DSGVO müssen Einwilligung im elektronischen
Weg, also etwa auf Websites, zudem „in klarer und knapper Form und ohne unnötige
Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen“. Ferner trägt der
Verantwortliche und nicht der Verbraucher gem. Art. 7 Abs. 1 DSGVO die Beweislast dafür, dass
die betroffene Person wirklich in die Datenverarbeitung eingewilligt hat.

Soll eine Einwilligung Teil von AGB sein, ist sie schriftlich nach bisherigen Recht gem. § 4a Abs. 1
S. 4 BDSG besonders hervorzuheben. Die DSGVO normiert nun in Art. 7 Abs. 2 ein sog.
„Trennungs- und Transparenzgebot“.45 Demnach müssen schriftliche46 Einwilligungserklärungen,
die Teil einer anderen Erklärung sind, nicht nur in „verständlicher und leicht zugänglicher Form
in einer klaren und einfachen Sprache“ verfasst und von anderen Erklärungen „klar zu
unterscheiden“          sein,    vorformulierte     Einwilligungserklärungen   dürfen     ferner    keine
missbräuchlichen Klauseln enthalten (EG 42 S. 3 DSGVO, unter Verweis auf die Richtlinie
93/13/EG vom 5.4.1993 über missbräuchlich Klauseln in Verbraucherverträgen). Rechtsfolge
eines Verstoßes gegen das Trennungsgebot ist gem. Art. 7 Abs. 2 S. 2 DSGVO nur die
Unwirksamkeit der Einwilligung – der übrige Teil des Vertrages bleibt davon unberührt.47 Im
Vergleich zu § 306 Abs. 3 BGB ist zu beklagen, dass eine Regelung, die eine Gesamtnichtigkeit
des Vertrags bei einem Verstoß gegen eine derart elementare Regelung vorsieht, nicht in die
DSGVO aufgenommen wurde.48




44
   Spindler, (s.o. Fn. 16), S. 940; differenzierend Krohm (s.o. Fn. 42), S. 372, der noch Möglichkeiten für
eine wirksame Einwilligung durch ein Opt-out sieht; Piltz, (s.o. Fn. 14), S. 563.
45
     Plath, (s.o. Fn. 17), Rn. 5 zu Art. 7 DSGVO.
46
   Wozu, gerade für den Online-Bereich, auch Einwilligungen in Textform i.S.v. § 126a BGB zu zählen sind,
siehe Plath, (s.o. Fn. 17), Rn. 7 zu Art. 7 DSGVO.
47
     Plath, (s.o. Fn. 17), Rn. 9 zu Art. 7 DSGVO.
48
   Der Wortlaut des Art. 7 Abs. 2 S. 2 DSGVO lautet: „Teile der Erklärung sind dann nicht verbindlich, wenn
sie einen Verstoß gegen diese Verordnung darstellen.“ Fraglich ist allerdings, ob ein Vertrag für die
Parteien dann noch Sinn ergibt, wenn die Einwilligung in die Datenverarbeitung nicht mehr Teil der
Erklärung ist. Eine Rechtmäßigkeit der Datenverarbeitung müsste dann nach den sonstigen
Erlaubnistatbeständen der DSGVO geprüft werden, etwa, ob „berechtigte Interessen“ des
Verantwortlichen vorliegen.




                                                                                                        15

Anders als das BDSG49 sieht die DSGVO in Art. 7 Abs. 3 nun ausdrücklich die
verbraucherfreundliche Möglichkeit eines jederzeitigen Widerrufs einer Einwilligung ohne
Notwendigkeit eines Grundes oder einer Begründung durch die betroffene Person vor. Demnach
hat der Betroffene das Recht, die Einwilligung jederzeit mit ex nunc-Wirkung zu widerrufen,
sodass eine weitere Datenverarbeitung, die nur auf dieser Einwilligung basiert, ohne rechtliche
Grundläge wäre. Ein Widerruf der Einwilligung muss so einfach möglich sein, wie die Möglichkeit
besteht, diese zu erteilen, zudem muss der Verantwortliche den Betroffenen über die
Widerruflichkeit der Einwilligung vor deren Abgabe in Kenntnis setzen.

EG 171 DSGVO behandelt schließlich die Fortwirkung von Einwirkungen, die noch auf der DS-
Richtlinie beruhen. Nach einem Beschluss des Düsseldorfer Kreises erfüllen bisher
rechtswirksame Einwilligungen grundsätzlich die Voraussetzungen der DSGVO, allerdings
müssen zusätzlich die Regelungen der Verordnung zur Freiwilligkeit (s.u. C.II.2.), insb. das
Kopplungsverbot, gewahrt werden sowie die Altersgrenze von sechzehn Jahren für eine
wirksame Einwilligung (s.u. C.II.3.). beachtet werden.50

                 2.      Freiwilligkeit und Kopplungsverbot

Hinsichtlich der Freiwilligkeit der Einwilligung schafft die DSGVO insbesondere durch das
Kopplungsverbot für Verbraucher wichtigen Rechtsschutz, um sich gegen Online-Dienste wie
Facebook behaupten zu können. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO nur wirksam,
sofern sie ohne Zwang, mithin freiwillig abgeben wurde (siehe auch EG 42 S. 5 DSGVO, welcher
eine echte Wahlfreiheit des Betroffenen verlangt). Art. 7 Abs. 4 DSGVO regelt hierzu, dass bei
der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem
Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags,



49
  Für das BDSG ist die Möglichkeit eines Widerrufs einer Einwilligung allgemein aufgrund des Schutzes der
informationellen Selbstbestimmung des Betroffenen, neben einer punktuellen Regelung in § 28 Abs. 3a,
anerkannt, vgl. nur Simitis in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 8. Auf. 2014, Nomos
Verlag, Rn. 94 zu § 4a BDSG.
50
  Düsseldorfer Kreis, „Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
vom 13./14. September 2016: Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-
Grundverordnung“, abrufbar unter: <https://www.lda.bayern.de/media/dk_einwilligung.pdf> (zuletzt
abgerufen am 20. Oktober 2016); a.A. Plath (s.o. Fn. 17), Rn. 2 zu Art. 7 DSGVO, der hinsichtlich der
englischen Formulierung „in line with the conditions of this Regulation“ davon ausgeht, dass eine
vollständige Einhaltung der Vorgaben der DSGVO gefordert wird.




                                                                                                      16

einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung
von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich
ist und schafft hiermit ein sog. Kopplungsverbot, unabhängig von der Marktmacht eines
Unternehmens.51 EG 43 S. 2 DSGVO präzisiert dies folgendermaßen:

            „Die    Einwilligung     gilt   nicht    als    freiwillig   erteilt,   wenn   zu   verschiedenen
            Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine
            Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die
            Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der
            Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich
            ist.“

Eine Einwilligung eines Verbrauchers etwa in die Zusendung von Werbematerialien an seine
Postadresse während des Registrierungsprozesses bei einem Online-Shop hätte demnach zur
Folge, dass diese Einwilligung in die Werbung für die Erfüllung des Vertrags (also die Lieferung
der Waren und die Zahlung des Kaufpreises) nicht erforderlich und somit unwirksam wäre.52 Das
Kopplungsverbot der DSGVO steht allerdings in einem Widerspruch zur Rechtsprechung des
EuGH, so hat der Gerichtshof erst kürzlich Kopplungsangebote als grundsätzlich lautere
Geschäftspraktiken qualifiziert53, allerdings urteilte das EuG wiederum 2007 in einer AGB-
rechtlichen Streitigkeit für ein strenges Kopplungsverbot54. Wie sich das datenschutzrechtliche
Kopplungsverbot in die Systematik dieser Entscheidungen einfügen wird, bleibt abzuwarten.

An der Freiwilligkeit mangelt es zudem, wenn zwischen der betroffenen Person und dem
Verantwortlichen „ein klares Ungleichgewicht“ besteht (EG 43 S. 1 DSGVO). Sofern eine Leistung
zu vergleichbaren Konditionen von einem anderen Anbieter bezogen werden kann, kann



51
     Vgl. Plath (s.o. Fn. 17), Rn. 14 zu Art. 7 DSGVO; Spindler, (s.o. Fn. 16), S. 940.
52
  Härting, „Kopplungsverbot – der Einwilligungskiller nach der DSGVO“, CR-online.de Blog v. 11. Oktober
2016,       abrufbar       unter:       <http://www.cr-online.de/blog/2016/10/11/kopplungsverbot-der-
einwilligungskiller-nach-der-dsgvo/> (zuletzt abgerufen am 20. Oktober 2016), demzufolge deswegen die
“berechtigten Interessen” des Art. 6 Abs. 1 S. 1 lit. f) DSGVO „als zweites Standbein einer
datenschutzkonformen Strategie oder gar als Alternative zur einwilligungsbasierten Datenverarbeitung“ in
den Fokus rücken.
53
     EuGH, Case C 310/15, Vincent Deroo-Blanquart v. Sony Europe Limited, EU:C:2016:633, Rn. 52.
54
     EuG, Case T 201/04, Microsoft Corp. v. Kommission der Europäischen Gemeinschaften, EU:T:2007:289.




                                                                                                          17

allerdings wohl noch nicht von einem „klaren“ Ungleichgewicht ausgegangen werden, selbst
wenn es sich hierbei um einen großen Konzern handelt, eine Kopplung der Leistung an die
Einwilligungserklärung kann mithin trotzdem möglich sein.55 Nichtsdestotrotz wird es für
Unternehmen zukünftig oftmals riskant werden, sich auf die Wirksamkeit der Einwilligung zu
verlassen, da ein Ungleichgewicht im Massenverkehr von Unternehmern und Verbrauchern
regelmäßig vorliegen wird, denn individuelle Verhandlungen zwischen Verbrauchern und
Unternehmern sind in der Praxis zumeist nicht durchführbar.56 Ob sich das „Ungleichgewicht“
auf faktische oder wirtschaftliche Faktoren bezieht, ist schließlich noch unklar.57

                      3.        Minderjährigenschutz

Neu in der DSGVO ist, dass Kindern unter sechzehn Jahren nach Art. 8 DSGVO ein besonderer
Schutz zukommen soll, da diese sich ihrer Rechte bei der Verarbeitung personenbezogener
Daten möglicherweise weniger bewusst sind. Demnach hängt die Wirksamkeit in die
Verarbeitung personenbezogener Daten von Kindern, die noch nicht das sechzehnte Lebensjahr
vollendet haben, von der Einwilligung oder Zustimmung ihrer Eltern ab. Sofern eine solche
Einwilligung oder Zustimmung fehlt, sind die Einwilligungserklärungen des Kindes unwirksam.
Jugendliche          über      sechzehn     Jahre     können       in    Angebote       von     Diensten   der
Informationsgesellschaft, d.h. in Dienste aus dem elektronischen Fernabsatz einwilligen.58 EG 38
S. 2 DSGVO macht deutlich, dass dies insbesondere für die Verwendung personenbezogener
Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder
Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung
von Diensten, die Kindern direkt angeboten werden, gelten soll. Erfasst werden demnach nur
solche Dienste, die etwa in ihrer Werbung deutlich Kinder ansprechen.59




55
     So auch Plath (s.o. Fn. 17), Rn. 15 zu Art. 7 DSGVO; a.A. aber Albrecht (s.o. Fn. 21), S. 91.
56
 Härting (s.o. Fn. 15), S. 40, der dies für ein “Damoklesschwert, das einen rechtskonformen Datenverkehr
mit Verbrauchern erheblich erschwert“ hält.
57
     Piltz (s.o. Fn. 14), S. 563.
58
     Plath (s.o. Fn. 17), Rn. 5 zu Art. 8 DSGVO.
59
     Spindler, (s.o. Fn. 16), S. 940.




                                                                                                           18

Gem. Art. 8 Abs. 3 DSGVO bleibt das Vertragsrecht der Mitgliedstaaten allerdings ausdrücklich
unberührt.60 Dies betrifft auch die Normen über das Zustandekommen und die Gültigkeit von
Verträgen in Bezug auf Minderjährige, sodass Art. 8 DSGVO keinen Einfluss auf die
Geschäftsfähigkeit von Minderjährigen hat. Demnach können Minderjährigen zwar in die
Verarbeitung ihrer personenbezogenen Daten durchaus einwilligen, aber keine wirksamen
Verträge ohne Zustimmung der Eltern abschließen.61 Einen Herausgabeanspruch bezüglich der
Daten hätte der Minderjährige dann nur nach bereicherungsrechtlichen Vorschriften.62

Um herauszufinden, ob die Einwilligung tatsächlich durch den Träger der elterlichen
Verantwortung erteilt wurde, müssen die Verantwortlichen gem. Art. 8 Abs. 2 DSGVO „unter
Berücksichtigung der verfügbaren Technik angemessene Anstrengungen unternehmen“, um
Lösungen zur Verifikation im Internet zu schaffen, um sich zu vergewissern, ob die Einwilligung
tatsächlich von den Eltern des Kindes stammt.63 Die DSGVO sieht zudem eine Öffnungsklausel
für die Mitgliedstaaten vor, durch welche die Altersgrenze auf dreizehn Jahre gesenkt werden
darf, dies wird jedoch wieder zu einem uneinheitlichen System des Minderjährigenschutzes
zwischen den Mitgliedstaaten führen.

                       4.       Einwilligung   in   die   Verarbeitung    besonderer        Kategorien
                       personenbezogener Daten

Wie auch in Art. 8 Abs. 1 DS-Richtlinie ist die Verarbeitung besonderer Kategorien
personenbezogener Daten einer natürlichen Person nach Art. 9 Abs. 1 DSGVO grundsätzlich
untersagt. Zu den besonderen Kategorien personenbezogener Daten zählen genetischen Daten,
biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten
oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (jeweils



60
   Der Anwendungsbereich des Abs. 3 beschränkt sich somit auf das allgemeine Vertragsrecht der
Mitgliedsstaaten. In Verbindung mit dem bzgl. der Einwilligung eines Kindes abschließenden Art. 8 Abs. 1
DSGVO wird deutlich, dass Abs. 3 somit gerade nicht Voraussetzungen der Einwilligung regeln soll, siehe
Plath (s.o. Fn. 17), Rn. 15 zu Art. 8 DSGVO.
61
     Spindler, (s.o. Fn. 16), S. 940.
62
  Spindler, „Verträge über digitale Inhalte – Anwendungsbereich und Ansätze - Vorschlag der EU-
Kommission zu einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte“ (2016), Multimedia und
Recht, 147-153, S. 148.
63
     Piltz, (s.o. Fn. 14), S. 564.




                                                                                                      19

definiert in Art. 4 Nr. 13 bis 15 DSGVO). Art. 9 Abs. 2 DSGVO listet abschließend die
Ausnahmetatbestände auf, wann eine Verarbeitung besonderer Kategorien personenbezogener
Daten nicht untersagt ist, etwa durch eine ausdrückliche Einwilligung der betroffenen Person
(welche jedoch durch die Mitgliedstaaten als Erlaubnistatbestand wiederum ausgeschlossen
werden kann, Art. 9 Abs. 2 lit. a)). In § 5 ABDSG-E des BMI wird ferner von der Öffnungsklausel
des Art. 9 Abs. 2 lit. g) DSGVO Gebrauch gemacht. Die Verarbeitung besondere Kategorien
personenbezogener Daten soll demnach auch aus Gründen eines „erheblichen öffentlichen
Interesses“ erlaubt sein, wozu etwa die Verarbeitung geometrischer Daten zu Zwecken der
eindeutigen Identifikation einer Person (§ 5 Abs. 1 Nr. 1 ABDSG-E) zu zählen sei. Eine Neuerung
der DSGVO stellt der Schutz von genetischen und biometrischen Daten dar. Dies kann nach EG
51 DSGVO dazu führen, dass der Abgleich eines Bildes mit einer Gesichtserkennungssoftware in
sozialen       Netzwerken       oder    auch       Identifizierungsverfahren   von   Verbrauchern   durch
Fingerabdruckscanner zukünftig dem besonderen Schutz des Art. 9 DSGVO unterfallen.64

                     5.       Daten als Entgelt für die Nutzung von Internetangeboten

Neben der DSGVO herrscht momentan eine rege Debatte über die Frage, ob Daten als Entgelt
für die Nutzung von Internetangeboten angesehen werden können, da deren Nutzer häufig
keine Vergütung in Geld zahlen, um die Leistung in Anspruch nehmen zu können, wobei sich die
Anbieter solcher Dienste dann regelmäßig das Recht einräumen lassen, diese Daten z.B. zu
Werbezwecken zu gebrauchen.65 Hierbei kann einerseits die Eingabe der Daten erforderlich sein,
um den Dienst überhaupt erbringen zu können. Andererseits wird die Erbringung der Leistung
teilweise davon abhängig gemacht, dass der Verbraucher Daten übermittelt, die für die
Erbringung der eigentlichen Leistung nicht von Relevanz sind, etwa wenn für den Abruf eines
journalistischen Artikels verlangt wird, dass der Verbraucher vorher seine E-Mail-Adresse
eingibt. Ferner lassen sich Unternehmer oftmals weitere Rechte an den Daten als für die



64
     Plath (s.o. Fn. 17), Rn. 8 zu Art. 9 DSGVO.
65
   Faust, „Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?“, Gutachten A zum 71.
Deutschen Juristentag 2016, S. 16; siehe auch Art. 3 Abs. 1 des Vorschlags für eine Richtlinie des
Europäischen Parlaments und des Rates über bestimmte vertragliche Aspekte der Bereitstellung digitaler
Inhalte, COM(2015) 634 final 2015/0287 (COD), abrufbar unter: <http://eur-lex.europa.eu/legal-
content/DE/TXT/PDF/?uri=CELEX:52015PC0634&qid=1453386693189&from=DE> (zuletzt abgerufen am
20. Oktober 2016).




                                                                                                      20

Leistungserbringung eigentlich erforderlich wären einräumen. Hierbei erbringt der Verbraucher
durch die Rechteeinräumung eine Art Gegenleistung für die Dienstleistung.66 Auf dem 71. DJT
wurde beschlossen, dass von einem Entgelt nur auszugehen sei, wenn die Datennutzung
aufgrund des Datenschutzrechts nur mit Einwilligung des Betroffenen zulässig ist, mithin, wenn
personenbezogene Daten vorliegen.67 Allerdings wäre ein Entgelt dann folglich nicht
anzunehmen, wenn keine personenbezogenen Daten übermittelt würden, zudem können viele
Datenverarbeitungen auch ohne Einwilligung in Zukunft nach Art. 6 Abs. 1 lit. f) und Abs. IV
DSGVO gerechtfertigt werden, sodass nur wenige Verträge als entgeltlich einzustufen wären.68
Ein ähnliches Ergebnis findet sich auch in Art. 3 Nr. 4 des Richtlinienvorschlags für digitale
Inhalte, hiernach sind Daten, die aufgrund einer gesetzlicher Ermächtigungen verarbeitet
werden dürfen, nicht als Gegenleistung zu qualifizieren.69 Ist die Einwilligung in die Verarbeitung
oder Nutzung der personenbezogenen Daten etwa aufgrund des datenschutzrechtlichen
Kopplungsverbots (s.o. C.II.2.) unwirksam, etwa wenn die Anbieter die Daten über den
eigentlichen Vertragszweck hinaus erheben und verarbeiten,70 bleibt der Vertrag im Übrigen
aber wirksam, es handelt sich dann um einen unentgeltlichen Vertrag.71

Ob        Daten      ein     Entgelt        darstellen,   kann   auch   für   die   Anwendbarkeit    der
Verbraucherschutzvorschriften nach §§ 312 ff. BGB von Bedeutung sein, da hierfür nach
deutschem Recht eine entgeltliche Leistung vorliegen muss.72 So könnte etwa das




66
     Faust (s.o. Fn. 65), S. 17 f.
67
     Beschlüsse    des    71.   Deutschen    Juristentags  2016,               S.    2,  abrufbar  unter:
<http://www.djt.de/fileadmin/downloads/71/Beschluesse_gesamt.pdf>             (zuletzt abgerufen am 20.
Oktober 2016).
68
  Wendehorst, „Die Digitalisierung und das BGB“ (2016), Neue juristische Wochenschrift, 2609-2613, S.
2612.
69
  Spindler, „Digitale Wirtschaft – analoges Recht: Braucht das BGB ein Update?“, Juristenzeitung (2016),
805-816, S. 807.
70
     Vgl. Spindler (s.o. Fn. 69), S. 807.
71
     Faust (s.o. Fn. 65), S. 19.
72
  Diese Regelung in § 312 Abs. 1 BGB steht allerdings im Widerspruch zur Verbraucherrechte-RL, siehe:
Faust (s.o. Fn. 65), S. 25.




                                                                                                      21

Widerrufsrecht gemäß § 357 BGB dafür sorgen, dass der Unternehmer dem Verbraucher die
sEinwilligung „zurückgewähren“ hat, diese mithin nicht mehr nutzen darf.73

                      6.       Bewertung

Die Regelungen der DSGVO zur Einwilligung enthalten viele verbraucherfreundliche
Neuerungen, seien es die hohen Transparenzanforderungen, das strenge Kopplungsverbot, der
starke Minderjährigenschutz oder auch der erweiterte Schutz für besonders sensible Daten.
Allerdings ist fraglich, ob durch die strengen Anforderungen an die Freiwilligkeit dem
Verbraucherschutz wirklich gedient ist, wenn in der Folge viele Einwilligungen für unwirksam
erklärt werden und sich Unternehmen deshalb verstärkt auf die Nutzung der weniger
transparenten Regelung zur Verarbeitung personenbezogener Daten aufgrund „berechtigter
Interessen“ stützen werden.

                 III. Zweckbindung und Zweckänderungen (Big Data)

Die Nutzung moderner Kommunikationsmittel sowie die immer weiterführende Vernetzung
aller möglichen Konsumgeräte (IoT) sorgt unaufhörlich dafür, dass Unternehmen eine stetig
wachsende Menge an personenbezogenen Daten über Verbraucher erheben, speichern und
durch Big Data-Technologien auswerten können, wodurch ein bedrohlich anmutendes
Überwachungspotential              entsteht,   welches   das   Grundrecht   auf   informationelle
Selbstbestimmung immer weiter konterkariert.74 Allerdings kodifiziert Art. 5 Abs. 1 lit. c) in der
DSGVO das Prinzip der Datenminimierung, demzufolge personenbezogene Daten dem Zweck
angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß
beschränkt sein müssen, lit. e) normiert ferner eine Speicherbegrenzung. Zudem regelt Art. 5
Abs. 1 lit. b) Hs. 1 DSGVO eine Zweckbindung (welche auch schon im BDSG oder TMG geregelt
ist) für die Erhebung personenbezogener Daten, welche für festgelegte, eindeutige und legitime
Zwecke erhoben werden müssen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden




73
     Faust (s.o. Fn. 65), S. 24.
74
  Siehe ausführlich zum Phänomen Big Data: Mayer-Schönberger, „Big Data: Die Revolution, die unser
Leben verändern wird“, 2013, Redline Verlag.




                                                                                               22

Weise weiterverarbeitet werden dürfen.75 Jedoch lockert die DSGVO in Art. 5 Abs. 1 lit. b) Hs. 2
die Zweckbindung für Weiterverarbeitungen für im öffentlichen Interesse liegende
Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische
Zwecke, die gemäß Art. 89 Abs. 1 DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken
gelten sollen. Greift diese Ausnahme nicht, muss die Vereinbarkeit mit dem Zweck der
Datenerhebung im Einzelfall geprüft werden. Eine Weiterverarbeitung der Daten zu einem
anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden,
kann zulässig sein, wenn dieser gem. Art. 6 Abs. 4 DSGVO mit dem ursprünglichen Zweck
„vereinbar“ ist.76 Anhand eines „Kompatibilitätstests“77 sind Faktoren wie die Verbindung
zwischen den Zwecken, der Zusammenhang, in dem die personenbezogenen Daten erhoben
wurden, die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien
personenbezogener Daten gemäß Artikel 9 EU-DSGVO verarbeitet werden, die möglichen Folgen
für den Betroffenen sowie das Vorhandensein von geeigneten Garantien, wozu die DSGVO
Verschlüsselung oder die Pseudonymisierung zählt, zu berücksichtigen. Wie weit der
Zweckbindungsgrundsatz hierdurch aufgeweicht wird, wird u.a. daran zu messen sein, wie weit
die Begriffe „festgelegt“ und „eindeutig“ aus Art. 5 Abs. 1 b EU-DSGVO ausgelegt werden.78 In §
6 ABDSG-E regelt das BMI noch deutlich weitgehendere Möglichkeiten, personenbezogene
Daten für einen anderen und auch mit dem Zweck der Erhebung unvereinbaren Zweck
weiterzuverarbeiten, soweit kein Grund zu der Annahme besteht, dass das schutzwürdige



75
   Zur datenschutzrechtlichen Zweckbindung siehe Richter, „Datenschutz zwecklos? – Das Prinzip der
Zweckbindung im Ratsentwurf der DSGVO“, Datenschutz und Datensicherheit (2015), 735-740; von
Grafenstein, „Das Zweckbindungsprinzip zwischen Innovationsoffenheit und Rechtssicherheit – Zur
mangelnden Differenzierung der Rechtsgüterbetroffenheit in der Datenschutzgrund-VO, Datenschutz und
Datensicherheit (2015), 789-795; Härting, „Zweckbindung und Zweckänderung im Datenschutzrecht“
(2015), Neue juristische Wochenschrift (2015), 3284-3288; Monreal, „Weiterverarbeitung nach einer
Zweckänderung in der DS-GVO – Chancen nicht nur für das europäische Verständnis des
Zweckbindungsgrundsatzes“, Datenschutz und Datensicherheit (2016), 507-512, S. 510 f.
76
   Gierschmann, „Was „bringt" deutschen Unternehmen die DS-GVO? Mehr Pflichten, aber die
Rechtsunsicherheit bleibt, Zeitschrift für Datenschutzrecht (2016), 51-55, S. 54; Werkmeister/Brandt,
„Datenschutzrechtliche Herausforderungen für Big Data“, Computer und Recht (2016), 233-238, S. 237.
77
  Siehe Richter (s.o. Fn. 75), S. 739 f.; Buchner (s.o. Fn. 27), S. 157; Werkmeister/Brandt (s.o. Fn. 76), S.
237.
78
  Richter, (s.o. Fn. 75), S. 739; Buchner, (s.o. Fn. 27), S. 157; Schantz, (s.o. Fn. 18), S. 1843, der in der
„eindeutigen“ Festlegung des Zwecks einen Hinweis für ein enges Verständnis der Auslegung des
ursprünglichen Zwecks erkennt.




                                                                                                          23

Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Hierdurch
besteht die reelle Gefahr, dass der verfassungsrechtlich garantierte Grundsatz der
Zweckbindung noch weiter ausgehöhlt wird.

                IV. Betroffenenrechte und Informationspflichten

Von großer Bedeutung für die Durchsetzbarkeit des Verbraucherdatenschutzrechts sind die
Betroffenenrechte.79 Hierzu zählen u.a. das Auskunftsrecht nach Art. 15 DSGVO, das Recht auf
Berichtigung gem. Art. 16 DSGVO, das Recht auf Löschung („Recht auf Vergessenwerden“, Art.
17 DSGVO) sowie das Widerspruchsrecht gem. Art. 21 DSGVO.80 Zudem normieren Art. 13 und
14 DSGVO strenge Informationspflichten der Verantwortlichen gegenüber den Betroffenen,
welche zum Teil schon vor der Verarbeitung der Daten dem Betroffenen mitzuteilen sind. Dies
ist auch notwendig, denn nach einer Studie der BayLDA erhalten Nutzer von IoT-Technologien in
siebzig Prozent der Fälle entweder gar keine Informationen darüber, wie und wo ihre
personenbezogenen Daten gespeichert werden noch wie die Daten wieder gelöscht werden
können.81 Das Auskunftsrecht aus Art. 15 DSGVO wird im Vergleich zur jetzigen Rechtslage u.a.
um Auskunftspflichten über die geplante Speicherdauer der Daten oder über den Transfer von
Daten in ein Drittland zusammen mit Angaben zu den geeigneten Garantien erweitert. Ferner
hat der Verantwortliche dem Betroffenen gem. Abs. 3 auf Verlangen eine entgeltfreie Kopie
aller verarbeiteten Daten zu überlassen. Zudem verlangt Art. 19 DSGVO, dass der
Verantwortliche allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede
Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der
Verarbeitung mitzuteilen hat (außer, wenn dies unmöglich oder mit einem unverhältnismäßigen
Aufwand verbunden ist). Der Verantwortliche hat außerdem auf Verlangen der betroffenen
Person diese über die Empfänger zu unterrichten. Nach Art. 17 Abs. 2 DSGVO muss ein
Verantwortlicher, der personenbezogenen Daten öffentlich gemacht und zu deren Löschung er


79
     Spindler/Thorun/Wittmann (s.o. Fn. 5), S. 8.
80
  Siehe zu den Betroffenenrechten ausführlich Piltz, „Die Datenschutz-Grundverordnung – Teil 2: Rechte
der Betroffenen und korrespondierende Pflichten des Verantwortlichen“, Kommunikation und Recht
(2016), 629-635.
81
   Bayerisches Landesamt für Datenschutzaufsicht, „Das Internet der Dinge: Internationale Prüfaktion
deckt Mängel im Datenschutz auf“, abrufbar unter: <https://www.lda.bayern.de/media/pm2016_06.pdf>
(zuletzt abgerufen am 20. Oktober 2016).




                                                                                                   24