Logo der activeMind AG

Zweckbindung bei der Datenverarbeitung

Inhalt

Erhebung und Verarbeitung personenbezogener Daten dürfen nicht unsystematisch erfolgen, sondern ausschließlich zweckgebunden. Die EU-Datenschutz-Grundverordnung (DSGVO) führt die Pflicht zur Zweckbindung der Datenverarbeitung als einen der Grundsätze in Art. 5 DSGVO auf. Wer personenbezogene Daten verarbeiten will, muss bei Festlegung und Ausgestaltung des Zwecks einige wichtige Kriterien beachten.

Praktische Bedeutung der Zweckbindung

Nach Art. 5 Abs. 1 lit. b) DSGVO dürfen personenbezogene Daten nur „für festgelegte eindeutige und legitime Zwecke erhoben werden“. Relevant wird dies insbesondere im Rahmen der Informationspflichten gem. Art. 13 Abs. 1 lit. c) DSGVO sowie Art. 14 Abs. 1 lit. c) DSGVO, im Rahmen derer die Zwecke, für die personenbezogene Daten verarbeitet werden, mitzuteilen sind. Im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 S. 2 lit. b) DSGVO sind die konkreten Zwecke ebenfalls zu definieren.

Die Bestimmung des Zwecks der Verarbeitung dient demzufolge gleich in zweifacher Hinsicht als Prüfmaßstab für den Verantwortlichen:

  1. gegenüber den von der Datenverarbeitung Betroffenen (im Rahmen der Informationspflichten) und
  2. gegenüber der Aufsichtsbehörde (im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten).

Anhand des Zwecks können Sie etwa feststellen, ob Sie den Grundsatz der Datenminimierung berücksichtigen: Werden wirklich nur diejenigen Daten erhoben, die notwendig sind, um den Zweck zu erreichen? Ebenfalls können Sie kontrollieren, ob das Erreichen eines festgelegten Zwecks durch eine Rechtsgrundlage gedeckt und somit rechtmäßig ist. Weiterhin dürfen gem. dem Grundsatz der Speicherbegrenzung personenbezogene Daten nur so lange aufbewahrt werden, wie es für das Erreichen des Zwecks erforderlich ist – außer es gibt eine gesetzliche Aufbewahrungsfrist, welche eine längere Speicherfrist erlaubt bzw. gebietet.

Festlegung des Zwecks

Jeder Verantwortliche muss sich vor (!) Erhebung personenbezogener Daten überlegen, wofür er welche Daten braucht und welches Ziel er mit diesen verfolgt. Denn die Datenverarbeitung darf nur für die bei der Erhebung festgelegten Zwecke erfolgen. Eine Sammlung von Daten für potenziell noch festzulegende Zwecke sind als Vorratsdatenspeicherung nicht erlaubt.

Eindeutigkeit des Zwecks

Unter Berücksichtigung des Grundsatzes der Transparenz muss der Zweck eindeutig bestimmt werden. Für einen vernünftigen Außenstehenden muss der Umfang der Datenverarbeitung klar und vor allem explizit (wie dies dem „explicit“ im englischen Original der DSGVO entspricht) aus dem genannten Zweck hervorgehen. Allgemeine Zweckbestimmungen, die einen zu großen Interpretationsspielraum zulassen, sollten vermieden werden.

Soll die Verarbeitung etwa zu „Marketingzwecken“ erfolgen, ist nicht zwingend klar, ob es sich um personalisiertes Marketing handelt oder ob zum Erreichen dieses Ziels ein Datenaustausch zwischen mehreren Konzern-Unternehmen notwendig ist. Dies wäre dann als „konzernweites, personalisiertes Marketing“ eindeutiger und transparenter beschrieben.

Legitimität des Zwecks

Die Verarbeitung personenbezogener Daten darf weiterhin nur für legitime Zwecke erfolgen. Mit „legitim“ ist zum einen die Frage der Rechtmäßigkeit gemeint; jedoch auch, dass die Datenverarbeitung insgesamt im Einklang mit der Rechtsordnung stehen muss. Mit anderen Worten: Die Verarbeitung darf nicht zu einem von der Rechtsordnung missbilligten oder verbotenen Zweck erfolgen. Im Hinblick hierauf sind auch Gesetze und Rechtsprinzipien außerhalb des Datenschutzes zu berücksichtigen.

Beispielsweise wird Diskriminierung von der Rechtsordnung grundsätzlich missbilligt. Eine Datenverarbeitung, die einen diskriminierenden Zweck verfolgt, wäre nicht legitim. Im Rahmen des Beschäftigtenverhältnisses wären sämtliche Gesetze und Grundsätze des Arbeitsrechts zu berücksichtigen. Dort, wo eine Bewertung von Mitarbeitern unverhältnismäßig oder nicht erforderlich wäre, wäre sie ebenfalls nicht legitim.

Zweckänderung

Die Verarbeitung personenbezogener Daten darf durchaus für mehrere Zwecke erfolgen, sofern diese vor der Verarbeitung bereits festgelegt und gegenüber den Betroffenen kommuniziert wurden. Von einer Zweckänderung ist die Rede, wenn nach der Erhebung bzw. Verarbeitung personenbezogener Daten nachträglich weitere Zwecke verfolgt werden sollen, die zu Beginn noch nicht festgelegt waren.

Eine Zweckänderung setzt zunächst voraus, dass die ursprüngliche Datenerhebung bzw. -verarbeitung zweckgebunden erfolgte. Voraussetzung ist ebenfalls eine Vereinbarkeit des ursprünglichen und des neuen Zwecks. Erwägungsgrund 50 DSGVO sieht hierfür vor, dass die Zwecke auf einen Zusammenhang zu prüfen sind und ob diese Änderung aus Sicht eines vernünftigen Betroffenen auch erwartet werden konnte.

Im Falle einer Zweckänderung ist der Verantwortliche verpflichtet, den Betroffenen über die Umstände der Zweckänderung nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Wie bei allen in Art. 5 DSGVO aufgestellten Grundsätzen, gehören Verstöße gegen die Zweckbindung bei der Datenverarbeitung zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden können. Art. 83 Abs. 5 lit. a DSGVO sieht vor, dass Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen dürfen (und sollen).

Es lohnt sich also auch finanziell, dem Zweck der Verarbeitung personenbezogener Daten ausreichend Aufmerksamkeit zu widmen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.