DSGVO und Zweckbindung: Was besagt der Datenschutz-Grundsatz?

Möglichst viele personenbezogene Daten für Werbezwecke zu sammeln ist nicht erst seit der DSGVO verboten. Hier wird die Verarbeitung personenbezogener Daten allerdings konkretisiert und u.a. an den sog. Grundsatz der Zweckbindung bzw. Zweckbindungsgrundsatz gekoppelt. Für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten gelten dadurch sehr konkrete Regeln – die bei Missachtung in einem Datenschutzverstoß enden können.

Was bedeutet Zweckbindung im Datenschutz?

Art. 5 DSGVO gibt nicht nur die Verarbeitung personenbezogener Daten nach Treu und Glauben und unter der Einhaltung geeigneter technischer und organisatorischer Maßnahmen an, sondern definiert ausdrücklich den der Grundsatz der Zweckbindung (nach Art. 5 Abs. 1 lit. b DSGVO). Dieser besagt, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden. Das bedeutet, dass sie nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Der Zweck im Datenschutz gibt an, warum bestimmte personenbezogene Daten erhoben und verarbeitet werden.

Bei der Zweckbindung laut der DSGVO sind folgende Dinge zu beachten:

• Vor der Datenerhebung und Datenverarbeitung muss der Zweck festgelegt werden,
• Der Zweck muss eindeutig sein und ein gesetzlicher Erlaubsnistatbestand (vgl. Art. 6 DSGVO) vorliegen,
• Bei einer Zweckänderung oder Zweckentfremdung, wenn die personenbezogenen Daten also anderweitig verarbeitet werden, bedarf es eines neuen Erlaubnistatbestandes gem. Art. 6 DSGVO,
• Auch für die Weitergabe der personenbezogenen Daten an Dritte bedarf es eines Erlaubnistatbestandes gem. Art. 6 DSGVO.

Sollte sich der ursprüngliche Zweck der Datenverarbeitung und der Datenerhebung ändern, dann wird vorausgesetzt, dass die eigentliche Datenerhebung zweckgebunden erfolgte. Wenn es zur Zweckänderung kommt ist es Pflicht, die Betroffenen entsprechend nach Art 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO zu informieren.

Was müssen Unternehmen laut DSGVO beim Zweck der Datenverarbeitung beachten?

Für Unternehmen hat der Grundsatz der Zweckbindung zur Folge, dass je nach einem vorher definierten Zweck lediglich bestimmte Daten für eine festgelegte Zeit gespeichert werden dürfen. Danach müssen diese datenschutzkonform gelöscht werden. Außerdem ist für Unternehmen wichtig zu wissen, dass der Zweckbildungsgrundsatz auch mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) zusammenhängt.

Diese besagen, dass personenbezogene Daten auf das für den Verarbeitungszweck nach DSGVO notwendige Maß beschränkt sein müssen und, dass Daten nur so lange gespeichert werden wie es für die Zwecke der Speicherung erforderlich ist. Beispielsweise bei einer Blumenstrauß-Bestellung online dürfen die Daten des Adressierten nur bis zur erfolgreichen Zustellung gespeichert werden und müssen sodann gelöscht werden. Laut DSGVO haben sie somit die Zweckbestimmung der Datenerhebung und -verarbeitung erfüllt.

Praxis-Beispiele - Wann ist die Zweckbindung im Datenschutz erfüllt und wann nicht?

Beim Beispiel des Personalfragebogens ist es sinnvoll, bei den anzugebenden Daten nach den Anforderungen der DSGVO den jeweiligen Zweck der Datenerhebung zu schildern. So verdeutlichen Sie den Mitarbeiter:innen, wozu welche Daten erhoben werden. Beispielsweise ist es notwendig die Steuer-ID anzugeben, damit das Gehalt oder der Lohn entsprechend versteuert werden kann. Die Angabe der sexuellen Orientierung erfüllt hingegen (in den meisten Fällen) keinen Zweck in einem Personalfragebogen und hat darin nichts zu suchen.

Videoaufnahmen veranschaulichen ebenfalls den Grundsatz der Zweckbindung: Oftmals sollen fest installierte Kameras lediglich der Abwehr von Straftaten dienen, auch ohne dass das aufgezeichnete Videomaterial gespeichert wird. Hier wäre dann die Speicherung des Videomaterials nicht der DSGVO-Zweckbindung unterlegen sondern nur die Kamera selbst. Soll eine Straftat nachverfolgt werden können, so müssen die Aufnahmen gespeichert werden, damit sie den Zweckbindungsgrundsatz erfüllen. Ähnliches gilt für die Videoüberwachung am Arbeitsplatz.

Was passiert bei einem Verstoß gegen die Datenschutz-Zweckbindung?

Verstöße gegen in Art. 5 DSGVO aufgestellte Grundsätze der Zweckbindung können mit hohen Bußgeldern geahndet werden. Auch strafrechtliche Konsequenzen sind bei Nicht-Einhaltung des genannten Grundsatzes möglich. Im Datenschutz gilt demnach ein Zweckentfremdungsverbot. Eine Zweckentfremdung bzw. Zweckänderung ist laut DSGVO nur dann zulässig, wenn die betroffene Person explizit gefragt wird und einwilligt. Auch für Daten, die z.B. mittels eines Werbe-Gewinnspiels erhoben werden, obwohl kein spezifischer Zweck angesetzt war, muss die betroffene Person einwilligen.

Mit der Zweckbindung, die dem Datenschutz dient, wird verhindert, dass zu viele personenbezogene Daten angesammelt werden. Aus den genannten Gründen ist es wichtig, der Erhebung, Verarbeitung und Speicherung personenbezogener Daten hinsichtlich des Grundsatzes der Zweckbindung genug Aufmerksamkeit zu widmen – dies ist nicht nur aus finanzieller Sicht ratsam sondern erhöht auch Ihren Wettbewerbsfaktor.