Was ist die Zweckbindung der DSGVO bei Datenverarbeitungen?

Möglichst viele personenbezogene Daten für Werbezwecke zu sammeln ist nicht erst seit der DSGVO verboten. Hier wird die Verarbeitung personenbezogener Daten allerdings konkretisiert und u.a. an den sog. Grundsatz der Zweckbindung gekoppelt. Für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten gelten dadurch sehr konkrete Regeln – die bei Missachtung in einem Datenschutzverstoß enden können.

Was bedeutet Zweckbindung?

Art. 5 DSGVO gibt nicht nur die Verarbeitung personenbezogener Daten nach Treu und Glauben und unter der Einhaltung geeigneter technischer und organisatorischer Maßnahmen an, sondern definiert ausdrücklich den der Grundsatz der Zweckbindung (nach Art. 5 Abs. 1 lit. b DSGVO). Dieser besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Das bedeutet, dass sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Der Zweck gibt an, warum bestimmte personenbezogene Daten erhoben und verarbeitet werden.

Bei der Zweckbindung laut der DSGVO sind folgende Dinge zu beachten:

• Vor der Erhebung und Verarbeitung muss der Zweck festgelegt werden,
• Der Zweck muss eindeutig sein und ein gesetzlicher Erlaubsnistatbestand (vgl. Art. 6 DSGVO) vorliegen,
• Bei einer Zweckänderung, wenn die personenbezogenen Daten also anderweitig verarbeitet werden, bedarf es eines neuen Erlaubnistatbestandes gem. Art. 6 DSGVO,
• Auch für die Weitergabe der personenbezogenen Daten an Dritte bedarf es eines Erlaubnistatbestandes gem. Art. 6 DSGVO.

Sollte sich der ursprüngliche Zweck der Erhebung und Verarbeitung ändern, dann wird vorausgesetzt, dass die eigentliche Datenerhebung zweckgebunden erfolgte. Wenn es zur Zweckänderung kommt ist es Pflicht, die Betroffenen entsprechend nach Art 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Was müssen Unternehmen bei der Datenverarbeitung durch die Zweckbindung beachten?

Für Unternehmen hat dieser Grundsatz zur Folge, dass je nach einem vorher definierten Zweck lediglich bestimmte Daten für eine festgelegte Zeit gespeichert werden dürfen. Danach müssen diese datenschutzkonform gelöscht werden. Außerdem ist für Unternehmen wichtig zu wissen, dass der Grundsatz der Zweckbindung auch mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) zusammenhängt.

Diese besagen, dass personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen und, dass Daten nur so lange gespeichert werden wie es für die Zwecke der Speicherung erforderlich ist. Beispielsweise bei einer Blumenstrauß-Bestellung online dürfen die Daten des Adressierten nur bis zur erfolgreichen Zustellung gespeichert werden und müssen sodann gelöscht werden, weil sie ihren Zweck erfüllt haben.

Beispiele aus der Praxis - Wann ist die Zweckbindung erfüllt und wann nicht?

Beim Beispiel des Personalfragebogens ist es sinnvoll, bei den anzugebenden Daten nach den Anforderungen der DSGVO den jeweiligen Zweck der Datenerhebung zu schildern. So verdeutlichen Sie den Mitarbeiter:innen, wozu welche Daten erhoben werden. Beispielsweise ist es notwendig die Steuer-ID anzugeben, damit das Gehalt oder der Lohn entsprechend versteuert werden kann. Die Angabe der sexuellen Orientierung erfüllt hingegen (in den meisten Fällen) keinen Zweck in einem Personalfragebogen und hat darin nichts zu suchen.

Videoaufnahmen veranschaulichen ebenfalls den Grundsatz der Zweckbindung: Oftmals sollen fest installierte Kameras lediglich der Abwehr von Straftaten dienen, auch ohne, dass das aufgezeichnete Videomaterial gespeichert wird. Hier wäre dann die Speicherung des Videomaterials nicht der Zweckbindung unterlegen sondern nur die Kamera selbst. Soll eine Straftat nachverfolgt werden können, so müssen die Aufnahmen gespeichert werden, damit sie die Zweckbindung erfüllen. Ähnliches gilt für die Videoüberwachung am Arbeitsplatz.

Was passiert bei Verstoß gegen die Zweckbindung?

Verstöße gegen in Art. 5 DSGVO aufgestellte Grundsätze können mit hohen Bußgeldern geahndet werden. Auch strafrechtliche Konsequenzen sind bei Nicht-Einhaltung des genannten Grundsatzes möglich. Eine Zweckentfremdung ist nur dann zulässig, wenn die betroffene Person explizit gefragt wird und einwillligt. Auch für Daten, die z.B. mittels eines Werbe-Gewinnspiels erhoben werden, obwohl kein spezifischer Zweck angesetzt war, muss die betroffene Person einwilligen.

Mit der Zweckbindung, die dem Datenschutz dient, wird verhindert, dass zu viele personenebezogene Daten angesammelt werden. Aus den genannten Gründen ist es wichtig, der Erhebung, Verarbeitung uns Speicherung personenbezogener Daten hinsichtlich des Grundsatzes der Zweckbindung genug Aufmerksamkeit zu widmen – dies ist nicht nur aus finanzieller Sicht ratsam sondern erhöht auch Ihren Wettbewerbsfaktor.