DSGVO Zweckbindung
6. März 2020

Die Zweckbindung im Sinne der DSGVO – Video-Beitrag lawpilots

Transkript: „Zweckbindung lässt sich ganz einfach erklären: Es geht darum, dass ich jederzeit wissen muss, wer wann was und bei welcher Gelegenheit mit meinen Daten macht. Das sind im Prinzip auch vier Kernfragen, mit denen ich ganz viele datenschutzrechtliche Sachverhalte lösen kann, die mir in meiner täglichen Arbeit begegnen und bei denen ich mich frage “Darf ich die Daten zu diesem Zweck verwenden oder nicht?“

Was ist Zweckbindung?

Die Zweckbindung soll gewährleisten, dass Daten nur im Sinne ihrer Zweckidentität verwendet werden. Also nur für den Zweck verarbeitet werden, für den sie auch erhoben wurden. 

Grundsatz der Zweckbindung DSGVO

Die Pflicht zur Zweckbindung ist einer der Grundsätze des 5. Artikels der 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) und gilt in allen EU-Mitgliedstaaten. Die Erhebung und Verarbeitung personenbezogener Daten darf demnach nicht unsystematisch, sondern ausschließlich zweckgebunden erfolgen. Der Grundsatz der Zweckbindung hängt besonders für Unternehmen eng mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zusammen. Dieser besagt, dass das Maß der zu verarbeitenden personenbezogenen Daten auf den Zweck beschränkt sein muss. Ebenfalls gilt der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), gemäß dem die Daten nur so lange gespeichert werden dürfen, wie es im Sinne der Zweckbindung erforderlich ist. 

Wann muss der Zweck für die Verarbeitung der Daten festgelegt werden?

Der Zweck muss vor der Verarbeitung der personenbezogenen Daten so präzise wie möglich festgelegt werden. Ein Zweck gilt als legitim, wenn eine entsprechende Rechtsgrundlage existiert und die Datenverarbeitung nicht gegen Rechtsnormen verstößt. Der Zweck bestimmt außerdem, welche Daten überhaupt erhoben und wie lange sie gespeichert werden dürfen. Sonderrechte gibt es lediglich im Fall der Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke sowie für wissenschaftliche, historische oder statistische Zwecke. Unternehmen sollten deshalb vor der Erhebung der Daten darauf achten, dass eine Zweckbeschreibung für die betroffene Person hinterlegt ist. Eine solche transparente Vorgehensweise erleichtert die Akzeptanz, die Einwilligung und die Prävention von möglichen Datenschutzverstößen. 

Wann ist die Zweckbindung zur Verarbeitung personenbezogener Daten nicht gegeben?

Wenn der Zweck unzureichend beschrieben ist oder gar nicht existiert, müssen die personenbezogenen Daten gelöscht werden. Halten sich die Verantwortlichen von Unternehmen nicht an die Zweckbindung, müssen sie mit hohen Bußgeldern rechnen.

Ende der Zweckbindung

Wenn die personenbezogenen Daten anderweitig verarbeitet werden sollen, also eine Zweckänderung oder Zweckentfremdung vorliegt, bedarf es nach Art. 6 DSGVO eines neuen Erlaubnistatbestands. Das Gleiche gilt für die Weitergabe der Daten an Dritte. In beiden Fällen muss die/der Verantwortliche nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO die betroffenen Personen informieren. Wenn eine Person beispielsweise zwecks eines Gewinnspiels bestimmte Daten hinterlassen hat, ist es nicht  zulässig, diese für den wöchentlichen Newsletter zu verwenden. Weitere Hinweise zum richtigen Umgang im E-Mail Marketing finden Sie hier.

Zweckbindung Beispiel

Ein Online-Shop ist dazu berechtigt, bestimmte Daten einer betroffenen Person zum Zwecke der Vertragserfüllung abzufragen. Darunter fallen üblicherweise der Name, die Adresse und die E-Mail-Adresse. Daten, die das Unternehmen benötigt, um die gekaufte Ware an die/den Käufer:in verschicken zu können. Die Vertragserfüllung stellt hierbei den legitimen Verarbeitungszweck nach Art. 6 Abs. 1 lit. b DSGVO dar. Demnach ist die Verarbeitung der Daten für die betreffenden Zwecke rechtlich. 

Ein deutlich umstritteneres Beispiel stellen die sogenannten Corona-Listen dar. In der Coronapandemie waren Restaurants dazu verpflichtet, die Daten und Telefonnummern ihrer Gäste einzufordern. Dies war einzig und allein zwecks der Nachverfolgung von Infektionsketten erlaubt. Gastronomen verwiesen deshalb vermehrt in den Datenerhebungsformularen auf die Zweckbindung. Nach einer gewissen Zeit mussten die erhobenen Daten gelöscht werden.In keinem Fall hätte hier eine Zweckänderung stattfinden dürfen, indem die Gastronomen die erhobenen Daten für eigene Werbezwecke  oder Ähnliches verwenden. 

Zweckbindungsfrist

Vor der Datenerhebung wird sowohl der Zweck als auch die Dauer der Speicherung festgelegt. Nach abgeschlossener Datenverarbeitung und Ablauf der Zweckbindungsfrist müssen die Daten datenschutzkonform gelöscht werden. 

Die Einhaltung der Zweckbindungsfrist gelingt am einfachsten, wenn alle Mitarbeiter:innen über ein gewisses Datenschutzbewusstsein verfügen. Mit unseren lawpilots Online-Schulungen lernen Ihre Mitarbeiter:innen zeit- und ortsunabhängig und interaktiv den sicheren Umgang mit personenbezogenen Daten. Auf diese Weise werden die Grundprinzipien des Datenschutzes im Unternehmen verankert und können fortan bei allen Veränderungen und Prozessen bedacht werden.

Quellen

DSGVO (2021). Art. 5 DSGVO. Grundsätze für die Verarbeitung personenbezogener Daten. https://dsgvogesetz.de/art-5-dsgvo/

Virtuelles Datenschutzbüro (2020). Zweckbindung von personenbezogenen Daten zur Verfolgung von Infektionsketten. https://www.datenschutz.de/zweckbindung-von-personenbezogenen-daten-zur-verfolgung-von-infektionsketten/

Weiß, S. (2021). Datenschutz als Wettbewerbsvorteil? In Marketing Analytics, S. 59-72

13. März 2020
DSGVO: Zweckbindung am Beispiel erklärt - Video-Beitrag lawpilots
28. Februar 2020
Löschkonzept am Beispiel der Schatten-IT erklärt - Video-Beitrag lawpilots
lawpilots GmbH hat 4,64 von 5 Sternen 2330 Bewertungen auf ProvenExpert.com