Logo der activeMind AG
  • Geschätzte Lesezeit: 5 Minuten

Zweckbindung bei der Datenverarbeitung

Inhalt

Erhebung und Verarbeitung personenbezogener Daten dürfen nicht unsystematisch erfolgen, sondern ausschließlich zweckgebunden. Die EU-Datenschutz-Grundverordnung (DSGVO) führt die Pflicht zur Zweckbindung der Datenverarbeitung als einen der Grundsätze in Art. 5 DSGVO auf. Wer personenbezogene Daten verarbeiten will, muss bei Festlegung und Ausgestaltung des Zwecks einige wichtige Kriterien beachten.

Praktische Bedeutung der Zweckbindung

Nach Art. 5 Abs. 1 lit. b) DSGVO dürfen personenbezogene Daten nur „für festgelegte eindeutige und legitime Zwecke erhoben werden“. Relevant wird dies insbesondere im Rahmen der Informationspflichten gem. Art. 13 Abs. 1 lit. c) DSGVO sowie Art. 14 Abs. 1 lit. c) DSGVO, in denen die Zwecke der Datenverarbeitung mitzuteilen sind. Im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 S. 2 lit. b) DSGVO sind die konkreten Zwecke ebenfalls anzugeben.

Die Bestimmung des Zwecks der Verarbeitung dient demzufolge gleich in zweifacher Hinsicht als Prüfmaßstab für den Verantwortlichen:

  1. gegenüber den von der Datenverarbeitung Betroffenen (im Rahmen der Informationspflichten) und
  2. gegenüber der Aufsichtsbehörde (im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten).

Anhand des Zwecks können Sie etwa feststellen, ob Sie den Grundsatz der Datenminimierung berücksichtigen: Werden wirklich nur diejenigen Daten erhoben, die notwendig sind, um den Zweck zu erreichen? Ebenfalls können Sie kontrollieren, ob das Erreichen eines festgelegten Zwecks durch eine Rechtsgrundlage gedeckt und somit rechtmäßig ist. Weiterhin dürfen gemäß dem Grundsatz der Speicherbegrenzung personenbezogene Daten nur so lange aufbewahrt werden, wie es zur Erreichung des Zwecks erforderlich ist – außer, es besteht eine gesetzliche Aufbewahrungsfrist, die eine längere Speicherfrist erlaubt bzw. vorschreibt.

Festlegung des Zwecks

Jeder Verantwortliche muss sich vor (!) Erhebung personenbezogener Daten überlegen, wofür welche Daten benötigt werden und welches Ziel damit verfolgt wird. Denn die Datenverarbeitung darf nur für die bei der Erhebung festgelegten Zwecke erfolgen. Eine Sammlung von Daten für unbestimmte Zwecke ist als Vorratsdatenspeicherung nicht zulässig.

Eindeutigkeit des Zwecks

Unter Berücksichtigung des Grundsatzes der Transparenz muss der Zweck eindeutig bestimmt werden. Für einen vernünftigen Außenstehenden muss der Umfang der Datenverarbeitung klar und vor allem explizit (wie dies dem „explicit“ im englischen Original der DSGVO entspricht) aus dem genannten Zweck hervorgehen. Allgemeine Zweckbestimmungen, die einen zu großen Interpretationsspielraum zulassen, sollten vermieden werden.

Legitimität des Zwecks

Die Verarbeitung personenbezogener Daten darf weiterhin nur für legitime Zwecke erfolgen. Mit „legitim“ ist nicht nur die Rechtmäßigkeit gemeint, sondern  auch die Vereinbarkeit mit den Prinzipien der Rechtsordnung insgesamt. Die Verarbeitung darf nicht zu einem gesetzlich missbilligten oder verbotenen Zweck erfolgen.

Beispielsweise wird Diskriminierung von der Rechtsordnung grundsätzlich missbilligt. Eine Datenverarbeitung, die einen diskriminierenden Zweck verfolgt, wäre nicht legitim. Im Rahmen des Beschäftigtenverhältnisses wären sämtliche Gesetze und Grundsätze des Arbeitsrechts zu berücksichtigen. Dort, wo eine Bewertung von Mitarbeitern unverhältnismäßig oder nicht erforderlich wäre, wäre sie ebenfalls nicht legitim.

Zweckänderung

Die Verarbeitung personenbezogener Daten darf für mehrere Zwecke erfolgen, wenn diese bei Erhebung der Daten festgelegt und gegenüber den Betroffenen kommuniziert wurden. Von einer Zweckänderung ist die Rede, wenn nach der Erhebung bzw. Verarbeitung personenbezogener Daten nachgelagerte Zwecke verfolgt werden. Die Verarbeitung also zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, erfolgt (Art. 6 Abs. 4 DSGVO).

Eine Zweckänderung setzt unter anderem voraus, dass

  1. die ursprüngliche Datenerhebung bzw. -verarbeitung zweckgebunden erfolgte und
  2. der neue Zweck mit dem ursprünglichen vereinbar ist, also ein innerer Zusammengang besteht.

Erwägungsgrund 50 DSGVO fordert, dass ein Zusammenhang zwischen altem und neuem Zweck bestehen muss und die Betroffenen eine solche Änderung vernünftigerweise erwarten können.

Im Falle einer Zweckänderung ist der Verantwortliche verpflichtet, die Betroffenen über die Umstände der Zweckänderung nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Wie bei allen in Art. 5 DSGVO aufgestellten Grundsätzen, gehören Verstöße gegen die Zweckbindung bei der Datenverarbeitung zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden können. Nach Art. 83 Abs. 5 lit. a DSGVO können Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängt werden.

Fazit 

Die Zweckbindung ist ein zentrales Prinzip der DSGVO und verpflichtet Verantwortliche, personenbezogene Daten nur für klar definierte, legitime und nachvollziehbare Zwecke zu verarbeiten. Änderungen des Verarbeitungszwecks sind nur unter engen Voraussetzungen erlaubt und müssen transparent kommuniziert werden. Die Zweckbindung steht in engem Zusammenhang mit weiteren Datenschutzgrundsätzen wie Datenminimierung, Speicherbegrenzung und Transparenz.

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • DSGVO-Grundsätze

Rechtmäßigkeit der Verarbeitung von Daten

Personenbezogene Daten dürfen nur auf rechtmäßig Weise verarbeitet werden. Es bedarf also einer Rechtsgrundlage.
  • DSGVO-Grundsätze

Integrität und Vertraulichkeit bei der Datenverarbeitung

Der DSGVO-Grundsatz von Integrität und Vertraulichkeit fordert von Verantwortlichen sowohl datenschutzrechtliche als auch technologische Anstrengungen. Wir erklären, wie das geht!
  • DSGVO-Grundsätze

Verarbeitung nach Treu und Glauben

Eine Verarbeitung nach Treu und Glauben muss vor allem fair sein. Was das in der Praxis bedeutet, erklären unsere Experten.
  • DSGVO-Grundsätze

Transparenz der Verarbeitung

Inhalt und Bedeutung des Transparenz-Grundsatzes der DSGVO für Unternehmen – einfach und praxisbezogen erklärt.
  • DSGVO-Grundsätze

Richtigkeit der Datenverarbeitung

Wann und mit welchem Aufwand müssen Sie bei der Verarbeitung von personenbezogenen Daten für die Richtigkeit der Daten und der Verarbeitungsprozesse sorgen?
  • DSGVO-Grundsätze

Rechenschaftspflichten bei der Datenverarbeitung

Viele Unternehmen erlassen seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) munter zahllose interne Regelungen zum Umgang mit personenbezogenen Daten. So will man den neuen datenschutzrechtlichen Anforderungen nachkommen und auf Kontrollen der Aufsichtsbehörden vorbereitet sein. Doch über welche Datenverarbeitungen und deren Schutz müssen Unternehmen überhaupt Rechenschaft ablegen?

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.