Magazin
Was ist die Zweckbindung der DSGVO bei Datenverarbeitungen?

Was ist die Zweckbindung der DSGVO bei Datenverarbeitungen?

Letztes Update:
14
.
02
.
2023
Lesezeit:
0
Min
Die Erhebung und Verarbeitung von personenbezogenen Daten müssen nach dem Zweckbindunggrundsatz der DSGVO erfolgen. Daten dürfen also nur für eindeutige und legitime Zwecke erhoben und verarbeitet werden. Was bedeutet das konkret?
Was ist die Zweckbindung der DSGVO bei Datenverarbeitungen?
Die wichtigsten Erkenntnisse
  • Zweckbindung: Daten nur für festgelegte, eindeutige und legitime Zwecke erheben und verarbeiten.
  • Neue Zwecke: Erfordert neuen Erlaubnistatbestand und Information der Betroffenen gemäß DSGVO.
  • Datenminimierung: Erhebung nur notwendiger Daten, Speicherbegrenzung auf erforderliche Dauer.
  • Verstöße: Hohe Bußgelder und strafrechtliche Konsequenzen bei Missachtung der Zweckbindung.
  • Einwilligung: Zweckänderung oder Datennutzung erfordert explizite Zustimmung der betroffenen Person.

Möglichst viele personenbezogene Daten für Werbezwecke zu sammeln ist nicht erst seit der DSGVO verboten. Hier wird die Verarbeitung personenbezogener Daten allerdings konkretisiert und u.a. an den sog. Grundsatz der Zweckbindung gekoppelt. Für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten gelten dadurch sehr konkrete Regeln – die bei Missachtung in einem Datenschutzverstoß enden können.

Was bedeutet Zweckbindung?

Art. 5 DSGVO gibt nicht nur die Verarbeitung personenbezogener Daten nach Treu und Glauben und unter der Einhaltung geeigneter technischer und organisatorischer Maßnahmen an, sondern definiert ausdrücklich den der Grundsatz der Zweckbindung (nach Art. 5 Abs. 1 lit. b DSGVO). Dieser besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Das bedeutet, dass sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Der Zweck gibt an, warum bestimmte personenbezogene Daten erhoben und verarbeitet werden.

Bei der Zweckbindung laut der DSGVO sind folgende Dinge zu beachten:

  • Vor der Erhebung und Verarbeitung muss der Zweck festgelegt werden,
  • Der Zweck muss eindeutig sein und ein gesetzlicher Erlaubsnistatbestand (vgl. Art. 6 DSGVO) vorliegen,
  • Bei einer Zweckänderung, wenn die personenbezogenen Daten also anderweitig verarbeitet werden, bedarf es eines neuen Erlaubnistatbestandes gem. Art. 6 DSGVO,
  • Auch für die Weitergabe der personenbezogenen Daten an Dritte bedarf es eines Erlaubnistatbestandes gem. Art. 6 DSGVO.

Sollte sich der ursprüngliche Zweck der Erhebung und Verarbeitung ändern, dann wird vorausgesetzt, dass die eigentliche Datenerhebung zweckgebunden erfolgte. Wenn es zur Zweckänderung kommt ist es Pflicht, die Betroffenen entsprechend nach Art 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Was müssen Unternehmen bei der Datenverarbeitung durch die Zweckbindung beachten?

Für Unternehmen hat dieser Grundsatz zur Folge, dass je nach einem vorher definierten Zweck lediglich bestimmte Daten für eine festgelegte Zeit gespeichert werden dürfen. Danach müssen diese datenschutzkonform gelöscht werden. Außerdem ist für Unternehmen wichtig zu wissen, dass der Grundsatz der Zweckbindung auch mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) zusammenhängt.

Diese besagen, dass personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen und, dass Daten nur so lange gespeichert werden wie es für die Zwecke der Speicherung erforderlich ist. Beispielsweise bei einer Blumenstrauß-Bestellung online dürfen die Daten des Adressierten nur bis zur erfolgreichen Zustellung gespeichert werden und müssen sodann gelöscht werden, weil sie ihren Zweck erfüllt haben.

Beispiele aus der Praxis - Wann ist die Zweckbindung erfüllt und wann nicht?

Beim Beispiel des Personalfragebogens ist es sinnvoll, bei den anzugebenden Daten nach den Anforderungen der DSGVO den jeweiligen Zweck der Datenerhebung zu schildern. So verdeutlichen Sie den Mitarbeiter:innen, wozu welche Daten erhoben werden. Beispielsweise ist es notwendig die Steuer-ID anzugeben, damit das Gehalt oder der Lohn entsprechend versteuert werden kann. Die Angabe der sexuellen Orientierung erfüllt hingegen (in den meisten Fällen) keinen Zweck in einem Personalfragebogen und hat darin nichts zu suchen.

Videoaufnahmen veranschaulichen ebenfalls den Grundsatz der Zweckbindung: Oftmals sollen fest installierte Kameras lediglich der Abwehr von Straftaten dienen, auch ohne, dass das aufgezeichnete Videomaterial gespeichert wird. Hier wäre dann die Speicherung des Videomaterials nicht der Zweckbindung unterlegen sondern nur die Kamera selbst. Soll eine Straftat nachverfolgt werden können, so müssen die Aufnahmen gespeichert werden, damit sie die Zweckbindung erfüllen. Ähnliches gilt für die Videoüberwachung am Arbeitsplatz.

Was passiert bei Verstoß gegen die Zweckbindung?

Verstöße gegen in Art. 5 DSGVO aufgestellte Grundsätze können mit hohen Bußgeldern geahndet werden. Auch strafrechtliche Konsequenzen sind bei Nicht-Einhaltung des genannten Grundsatzes möglich. Eine Zweckentfremdung ist nur dann zulässig, wenn die betroffene Person explizit gefragt wird und einwillligt. Auch für Daten, die z.B. mittels eines Werbe-Gewinnspiels erhoben werden, obwohl kein spezifischer Zweck angesetzt war, muss die betroffene Person einwilligen.

Mit der Zweckbindung, die dem Datenschutz dient, wird verhindert, dass zu viele personenebezogene Daten angesammelt werden. Aus den genannten Gründen ist es wichtig, der Erhebung, Verarbeitung uns Speicherung personenbezogener Daten hinsichtlich des Grundsatzes der Zweckbindung genug Aufmerksamkeit zu widmen – dies ist nicht nur aus finanzieller Sicht ratsam sondern erhöht auch Ihren Wettbewerbsfaktor.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
DSGVO
Datensparsamkeit
Datenschutz im Unternehmen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Kontrolle von Auftragsverarbeitern
07
.
12
.
2022
Kontrolle von Auftragsverarbeitern
Viele Unternehmen setzen im Unternehmensalltag auf, zum Teil sogar mehrere, Auftragsverarbeiter. Diese sollten regelmäßig kontrolliert werden, um sicherzustellen, dass ein hinreichendes Datenschutz-Niveau durch die Auftragsverarbeiter gewährleistet wird. Wir zeigen auf, welche Punkte bei der Kontrolle von Auftragsverarbeitern beachtet werden müssen. 
Konzerndatenschutzbeauftragter
14
.
10
.
2024
Konzerndatenschutzbeauftragter
Je mehr personenbezogene Daten in einem Unternehmen verarbeitet werden, umso höher ist das Risiko für unzureichend organisierte Prozesse. Dies gilt gerade für die Datenverarbeitung in Großkonzernen. Hierfür gibt es eine Lösung: Konzerndatenschutzbeauftragte. Laut DSGVO dürfen einzelne Personen als Datenschutzbeauftragte für ganze Unternehmensgruppen benannt werden und fungieren somit als Konzerndatenschutzbeauftragte. Diese Konzerndatenschutzbeauftragten bieten zahlreiche Vorteile und nehmen großen Unternehmen und Großkonzernen hinsichtlich des Konzerndatenschutzes viel Arbeit ab.
ISO 27001:2022 – die wichtigsten Neuerungen im Überblick
02
.
09
.
2024
ISO 27001:2022 – die wichtigsten Neuerungen im Überblick
Die ISO 27001:2022 bringt mehrere wichtige Änderungen im Vergleich zu älteren Versionen. Die Neuerungen zielen darauf ab, die Informationssicherheit von Unternehmen noch effektiver zu gestalten.
Räumlicher Anwendungsbereich in der EU-DSGVO
14
.
10
.
2024
Räumlicher Anwendungsbereich in der EU-DSGVO
Neben dem sachlichen Anwendungsbereich muss auch der räumliche Anwendungsbereich der DSGVO eröffnet sein. Da es sich hier um EU-Recht handelt, stellt sich die Frage, wie genau der räumliche Anwendungsbereich definiert ist und wann er eröffnet ist. Wie steht es zum Beispiel um Firmen, die ihren Hauptsitz in den USA haben, aber ihre Server in Europa? Was ist mit Firmen, die Daten von EU-Bürgern verarbeiten, aber keine Filiale in der EU haben?
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!