Art. 5 Abs. 1 lit. b) DSGVO normiert etwa den Grundsatz der Zweckbindung:
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; […].
Jeder Datenerhebung muss ein Zweck zugrunde liegen, den sie erfüllen soll. „Einfach so“ Daten zu erheben, ist nicht DSGVO-konform. Ein Beispiel: Hat man Daten zur Abwicklung von Bestellungen erhoben und gespeichert, dürfen diese nicht später für eine Marketingkampagne verwendet werden.
Das ist inzwischen durchaus bekannt – problematisch ist jedoch nicht nur das Fehlen einer Rechtsgrundlage, sondern man würde auch gegen Art. 5 Abs. 1 lit. b) DSGVO verstoßen.
Geltung hat die Zweckbindung vom Anfang bis zum Ende jeder Datenverarbeitung, aber wann kommt der Grundsatz speziell zum Tragen?
Was ist vor der Erhebung zu beachten?
Schon vor der Erhebung der Daten sind die Zwecke, die eine Datenverarbeitung notwendig machen, eindeutig zu bestimmen1 und im Verarbeitungsverzeichnis zu dokumentierten2. Erlaubt sind nur rechtmäßige Zwecke. Außerdem ist zu prüfen, ob der angestrebte Zweck überhaupt mit der geplanten Verarbeitung erreicht werden kann oder nicht mildere Mittel zur Verfügung stehen3.
Beim Zweck besteht oft ein enger Zusammenhang zur Rechtsgrundlage. Stütze ich mich zum Beispiel auf die Verarbeitung zur Erfüllung rechtlicher Verpflichtung4, so kann mein Zweck eben nur die Erfüllung gerade dieser rechtlichen Verpflichtung sein. Basiert die Verarbeitung auf einer Einwilligung5 oder auf einem berechtigten Interesse6 sind diverse Zwecke denkbar, und eine ordnungsgemäße Benennung der Zwecke wird umso entscheidender.
Wem teile ich den Verarbeitungszweck mit?
- Betroffene sind im Rahmen der Datenschutzinformation nicht nur über die Rechtsgrundlage, sondern auch über die Zwecke der Erhebung ihrer Daten zu informieren7.
- Auch bei der Beantwortung einer Auskunftsanfrage nach Art. 15 dürfen die Verarbeitungszwecke nicht vergessen werden.
- Zwar sind Auftragsverarbeiter den Weisungen des Verantwortlichen unterworfen ist, sieht Art. 28 Abs. 3 S. 1 dennoch vor, dass in der zu schließenden Vereinbarung neben weiteren Informationen wie Art der Verarbeitung und personenbezogenen Daten auch die Zwecke festzuhalten sind. Hier ist also der Verantwortliche in der Pflicht, diese ordnungsgemäß in der Auftragsverarbeitungsvereinbarung zu benennen.
In diesen Prozessen erleichtert eine ordnungsgemäße Dokumentation im Verzeichnis der Verarbeitungstätigkeiten die weitere Arbeit.
Ausnahmsweise: Weiterverarbeitung zu vereinbarten Zwecken
Ähnlich oft übersehen werden aber auch die Ausnahmen von der Zweckbindung: Mit dem ursprünglichen Zwecke zu vereinbarende Weiterverarbeitungen mit abweichend Zwecken sind möglich. So sollen zum Beispiel Forschungszwecke privilegiert immer als vereinbar gelten. Handelt es sich nicht um einen privilegierten Zweck gem. Art. 89 DSGVO, ist eine Prüfung der Vereinbarkeit nach den in Art. 6 Abs. 4 DSGVO aufgezählten Kriterien durchzuführen. In beiden Fällen ist der Verantwortliche aber in der Pflicht, geeignete Garantien für die Rechte und Freiheiten der Betroffenen zu schaffen.
Fazit
Zusammenfassend wird deutlich, dass bei Datenschutzinformationen und Einwilligungen die Formulierung einer zutreffenden Zweckbeschreibung wichtig ist. Dabei sind alle geplanten Schritte des Verarbeitungsprozess zu beachten. Weiterhin ist das Zusammenspiel des Zwecks und der Verarbeitungsgrundlagen zu beachten, wie etwa bei Art. 6 Abs. lit. b DSGVO.
1 Erwägungsgrund 39 Satz 6
2 Art. 30 Abs. 1 lit. b) DSGVO
3 Erwägungsgrund 39 Satz 9
4 Art. 6 Abs. 1 lit. c) DSGVO
5 Art. 6 Abs. 1 lit. a)
6 Art. 6 Abs. 1 lit. f)
7 Art. 13 Abs. 1 lit. c), Art. 14 Abs. 1 lit. c) DSGVO