Datenverarbeitung nur zu bestimmten Zwecken

Muss das denn sein?

Ein ganz klares Ja.

Eine betroffene Person hat das Recht zu erfahren, wofür ihre Daten verarbeitet werden. Andersherum sind Sie mit der Angabe eines Zwecks an diesen gebunden. Demnach darf eine Verarbeitung von personenbezogenen Daten grundsätzlich nicht für andere Zwecke erfolgen. Art. 5 DSGVO legt dies mit dem Grundsatz der Zweckbindung für die Verarbeitung personenbezogener Daten fest. 

Sie wollen mehr wissen?

Drei Begriffe müssen Sie im Zusammenhang mit dem Thema Zweck der Datenverarbeitung verinnerlichen.

• Zweckfestlegung: Vor der Datenverarbeitung ist deren Zweck festzulegen.
• Zweckbindung: Die fortwährende Datenverarbeitung ist an diesen Zweck gebunden und auf diesen beschränkt.
• Zweckänderung: Eine Änderung des Verabeitungszwecks ist nur unter bestimmten Voraussetzungen möglich.

Zweckfestlegung

Personenbezogene Daten dürfen nur für bestimmte, ausdrücklich festgelegte und legitime Zwecke erhoben und verarbeitet werden. 

Sie können als Verantwortlicher für einen Datenverarbeitungsvorgang auch mehrere Zwecke festlegen. Eine Beschränkung auf nur einen Zweck ist in der DSGVO nicht vorgeschrieben.

Eindeutig bestimmte Zwecke

Dies klingt zunächst einfach. In der Praxis stellt sich jedoch oft die Frage, ob es ausreicht, den Zweck allgemein festzulegen oder ob gefordert ist, den Zweck spezieller und detaillierter zu bestimmen. Diese Frage lässt sich nur anhand der konkreten vorgesehenen Verarbeitung beantworten.

Es gilt: Der Zweck ist umso konkreter zu bestimmen, je stärker die vorgesehene Datenverarbeitung den Betroffenen zu belasten vermag. Sichergestellt werden muss, dass der Betroffene sich ein hinreichend konkretes Bild von der vorgesehenen Datenverarbeitung machen kann, um diese richtig einschätzen und somit kontrollieren zu können. Nur so können die Betroffenen die Datenverarbeitung nachvollziehen und gegebenenfalls einwilligen, ablehnen oder widersprechen.

Legitime Zwecke

Die Datenverarbeitung ist nur auf Grundlage eines legitimen (erlaubten) Zweck gestattet. Die Zweckverfolgung darf selbst nicht gegen geltende Rechtsnormen (also nicht nur gegen das Datenschutzrecht selbst) verstoßen.

Zeitpunkt der Festlegung des Zwecks

Bevor Sie eine Datenerhebung veranlassen, müssen Sie den Zweck der Erhebung und der damit einhergehenden Verarbeitung festlegen. Dies ist erforderlich, um die passende Rechtsgrundlage für die Erhebung und Verarbeitung zu bestimmen und somit eine erlaubte, rechtmäßige Verarbeitung von Beginn an zu gewährleisten. 

Nähere Informationen zur Rechtsgrundlage finden Sie im Basiswissen: Rechtmäßigkeit.

Zweckbindung

Ist der Zweck einmal festgelegt, so ist die fortlaufende Verarbeitung in dessen Grenzen zulässig. Die Daten dürfen nur zu dem festgelegten Zweck verarbeitet werden. Sie sind an diesen gebunden. Beabsichtigen Sie eine Änderung der Datenverarbeitung, die die Grenzen des ursprünglichen Zwecks zu überschreiten droht, ist Vorsicht geboten. Es handelt sich um einen Fall der Zweckänderung.

Zweckänderung

Die Zweckänderung ist gemäß Art. 6 Abs. 4 DSGVO unter bestimmten Voraussetzungen zulässig.

• Es besteht eine gesetzliche Verpflichtung, die vorhandenen Daten für einen anderen Zweck zu verwenden.
• Es liegt eine zusätzliche Einwilligung für den neuen Zweck vor.
• Der neue Zweck der Datenverarbeitung ist mit dem ursprünglichen Zweck vereinbar. Für den Betroffen liegt es dabei nahe, dass der neue Zweck als „logischer nächster Schritt“ in der Datenverarbeitung anzusehen und zu erwarten ist. Hierzu ist eine Prüfung und Bewertung unter Berücksichtigung verschiedener Kriterien, die in Art. 6 Abs. 4 DSGVO aufgeführt sind, erforderlich (sog. Kompatibilitätstest).

Dokumentation der Zweckbindung

Die DSGVO schreibt zwar keine besondere Form vor, wie der Zweck festzulegen ist. Jedoch sollte der Zweck genauso wie eine Zweckänderung im Rahmen der Rechenschaftspflicht niedergelegt werden.

Anlässlich der Zweckfestlegung

• Allgemeine interne Dokumentaiton der Zweckfestlegung.
• Im Verarbeitungsverzeichnis ist der Zweck zusammen mit der Rechtsgrundlage der Datenerhebung und -verarbeitung niederzulegen.
• Über den festgelegten Zweck ist im Rahmen der Datenschutzhinweise zu informieren.
• Im Rahmen einer Einwilligung ist der einwilligende Betroffene konkret und klar verständlich über den Verarbeitungszweck und die Rechtsgrundlage zu informieren.

Anlässlich einer Zweckänderung

• Allgmeine interne Dokumentation der Zweckänderung unter Angabe der Kriterien, die für die Bewertung der Zulässigkeit der Zweckänderung entscheidend waren.
• Der Betroffene ist zu informieren. Dies muss analog der bisherigen Informationen zur betreffenden Verarbeitung in den Datenschutzhinweisen geschehen. Der Betroffene soll in die Lage versetzt werden, die Zweckänderung zu prüfen und dagegen widersprechen zu können.
• Das Verarbeitungsverzeichnis ist ebenfalls zu prüfen und ggf. anzupassen.

Up to date bleiben

Eine regelmäßige Überprüfung – mindestens jährlich – der festgelegten Zwecke ist zu empfehlen. Sollten sich Ihre Geschäftsprozesse ändern oder Sie neue Verarbeitungstätigkeiten (z. B. neue Software, neuer Webdienst) einführen, ist es wichtig, vorab den neuen Zweck festzulegen oder eine Zweckänderung zu prüfen. Beachten Sie auch neue gesetzliche Vorgaben, die ggf. eine Anpassung erfoderlich machen können.

Wie geht‘s weiter?