Was ist die Zweckbindung der DSGVO bei Datenverarbeitungen?

Letztes Update:
14
.
02
.
2023
Lesezeit:
0
Min
Die Erhebung und Verarbeitung von personenbezogenen Daten müssen nach dem Zweckbindunggrundsatz der DSGVO erfolgen. Daten dürfen also nur für eindeutige und legitime Zwecke erhoben und verarbeitet werden. Was bedeutet das konkret?
Was ist die Zweckbindung der DSGVO bei Datenverarbeitungen?
Die wichtigsten Erkenntnisse
  • Zweckbindung: Daten nur für festgelegte, eindeutige und legitime Zwecke erheben und verarbeiten.
  • Neue Zwecke: Erfordert neuen Erlaubnistatbestand und Information der Betroffenen gemäß DSGVO.
  • Datenminimierung: Erhebung nur notwendiger Daten, Speicherbegrenzung auf erforderliche Dauer.
  • Verstöße: Hohe Bußgelder und strafrechtliche Konsequenzen bei Missachtung der Zweckbindung.
  • Einwilligung: Zweckänderung oder Datennutzung erfordert explizite Zustimmung der betroffenen Person.

Möglichst viele personenbezogene Daten für Werbezwecke zu sammeln ist nicht erst seit der DSGVO verboten. Hier wird die Verarbeitung personenbezogener Daten allerdings konkretisiert und u.a. an den sog. Grundsatz der Zweckbindung gekoppelt. Für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten gelten dadurch sehr konkrete Regeln – die bei Missachtung in einem Datenschutzverstoß enden können.

Was bedeutet Zweckbindung?

Art. 5 DSGVO gibt nicht nur die Verarbeitung personenbezogener Daten nach Treu und Glauben und unter der Einhaltung geeigneter technischer und organisatorischer Maßnahmen an, sondern definiert ausdrücklich den der Grundsatz der Zweckbindung (nach Art. 5 Abs. 1 lit. b DSGVO). Dieser besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Das bedeutet, dass sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Der Zweck gibt an, warum bestimmte personenbezogene Daten erhoben und verarbeitet werden.

Bei der Zweckbindung laut der DSGVO sind folgende Dinge zu beachten:

  • Vor der Erhebung und Verarbeitung muss der Zweck festgelegt werden,
  • Der Zweck muss eindeutig sein und ein gesetzlicher Erlaubsnistatbestand (vgl. Art. 6 DSGVO) vorliegen,
  • Bei einer Zweckänderung, wenn die personenbezogenen Daten also anderweitig verarbeitet werden, bedarf es eines neuen Erlaubnistatbestandes gem. Art. 6 DSGVO,
  • Auch für die Weitergabe der personenbezogenen Daten an Dritte bedarf es eines Erlaubnistatbestandes gem. Art. 6 DSGVO.

Sollte sich der ursprüngliche Zweck der Erhebung und Verarbeitung ändern, dann wird vorausgesetzt, dass die eigentliche Datenerhebung zweckgebunden erfolgte. Wenn es zur Zweckänderung kommt ist es Pflicht, die Betroffenen entsprechend nach Art 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Was müssen Unternehmen bei der Datenverarbeitung durch die Zweckbindung beachten?

Für Unternehmen hat dieser Grundsatz zur Folge, dass je nach einem vorher definierten Zweck lediglich bestimmte Daten für eine festgelegte Zeit gespeichert werden dürfen. Danach müssen diese datenschutzkonform gelöscht werden. Außerdem ist für Unternehmen wichtig zu wissen, dass der Grundsatz der Zweckbindung auch mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) zusammenhängt.

Diese besagen, dass personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen und, dass Daten nur so lange gespeichert werden wie es für die Zwecke der Speicherung erforderlich ist. Beispielsweise bei einer Blumenstrauß-Bestellung online dürfen die Daten des Adressierten nur bis zur erfolgreichen Zustellung gespeichert werden und müssen sodann gelöscht werden, weil sie ihren Zweck erfüllt haben.

Beispiele aus der Praxis - Wann ist die Zweckbindung erfüllt und wann nicht?

Beim Beispiel des Personalfragebogens ist es sinnvoll, bei den anzugebenden Daten nach den Anforderungen der DSGVO den jeweiligen Zweck der Datenerhebung zu schildern. So verdeutlichen Sie den Mitarbeiter:innen, wozu welche Daten erhoben werden. Beispielsweise ist es notwendig die Steuer-ID anzugeben, damit das Gehalt oder der Lohn entsprechend versteuert werden kann. Die Angabe der sexuellen Orientierung erfüllt hingegen (in den meisten Fällen) keinen Zweck in einem Personalfragebogen und hat darin nichts zu suchen.

Videoaufnahmen veranschaulichen ebenfalls den Grundsatz der Zweckbindung: Oftmals sollen fest installierte Kameras lediglich der Abwehr von Straftaten dienen, auch ohne, dass das aufgezeichnete Videomaterial gespeichert wird. Hier wäre dann die Speicherung des Videomaterials nicht der Zweckbindung unterlegen sondern nur die Kamera selbst. Soll eine Straftat nachverfolgt werden können, so müssen die Aufnahmen gespeichert werden, damit sie die Zweckbindung erfüllen. Ähnliches gilt für die Videoüberwachung am Arbeitsplatz.

Was passiert bei Verstoß gegen die Zweckbindung?

Verstöße gegen in Art. 5 DSGVO aufgestellte Grundsätze können mit hohen Bußgeldern geahndet werden. Auch strafrechtliche Konsequenzen sind bei Nicht-Einhaltung des genannten Grundsatzes möglich. Eine Zweckentfremdung ist nur dann zulässig, wenn die betroffene Person explizit gefragt wird und einwillligt. Auch für Daten, die z.B. mittels eines Werbe-Gewinnspiels erhoben werden, obwohl kein spezifischer Zweck angesetzt war, muss die betroffene Person einwilligen.

Mit der Zweckbindung, die dem Datenschutz dient, wird verhindert, dass zu viele personenebezogene Daten angesammelt werden. Aus den genannten Gründen ist es wichtig, der Erhebung, Verarbeitung uns Speicherung personenbezogener Daten hinsichtlich des Grundsatzes der Zweckbindung genug Aufmerksamkeit zu widmen – dies ist nicht nur aus finanzieller Sicht ratsam sondern erhöht auch Ihren Wettbewerbsfaktor.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!