Die Zweckbindung soll gewährleisten, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden.
Die Pflicht zur Zweckbindung ist einer der Grundsätze des 5. Artikels der 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) und gilt in allen EU-Mitgliedstaaten. Die Erhebung und Verarbeitung personenbezogener Daten darf demnach nicht unsystematisch, sondern ausschließlich zweckgebunden erfolgen.
Der Grundsatz der Zweckbindung hängt besonders für Unternehmen eng mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) zusammen. Dieser besagt, dass das Maß der zu verarbeitenden personenbezogenen Daten auf den Zweck beschränkt sein muss. Ebenfalls gilt der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), gemäß dem die Daten nur so lange gespeichert werden dürfen, wie es im Sinne der Zweckbindung erforderlich ist.
Der Zweck muss vor der Verarbeitung der personenbezogenen Daten so präzise wie möglich festgelegt werden. Ein Zweck gilt als legitim, wenn eine entsprechende Rechtsgrundlage existiert und die Datenverarbeitung nicht gegen Rechtsnormen verstößt.
Der Zweck bestimmt außerdem, welche Daten überhaupt erhoben und wie lange sie gespeichert werden dürfen. Sonderrechte gibt es lediglich im Fall der Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke sowie für wissenschaftliche, historische oder statistische Zwecke. Unternehmen sollten deshalb vor der Erhebung der Daten darauf achten, dass eine Zweckbeschreibung für die betroffene Person hinterlegt ist. Eine solche transparente Vorgehensweise erleichtert die Akzeptanz, die Einwilligung und die Prävention von möglichen Datenschutzverstößen.
Wenn der Zweck unzureichend beschrieben ist oder gar nicht existiert, müssen die personenbezogenen Daten gelöscht werden. Halten sich die Verantwortlichen von Unternehmen nicht an die Zweckbindung, müssen sie mit hohen Bußgeldern rechnen.
Ein Online-Shop ist dazu berechtigt, bestimmte Daten einer betroffenen Person zum Zwecke der Vertragserfüllung abzufragen. Darunter fallen üblicherweise der Name, die Adresse und die E-Mail-Adresse. Daten, die das Unternehmen benötigt, um die gekaufte Ware an die/den KäuferIn verschicken zu können. Die Vertragserfüllung stellt hierbei den legitimen Verarbeitungszweck nach Art. 6 Abs. 1 lit. b DSGVO dar. Demnach ist die Verarbeitung der Daten für die betreffenden Zwecke rechtlich.
Ein deutlich umstritteneres Beispiel stellen die sogenannten Corona-Listen dar. In der Coronapandemie waren Restaurants dazu verpflichtet, die Daten und Telefonnummern ihrer Gäste einzufordern. Dies war einzig und allein zwecks der Nachverfolgung von Infektionsketten erlaubt. Gastronomen verwiesen deshalb vermehrt in den Datenerhebungsformularen auf die Zweckbindung. Nach einer gewissen Zeit mussten die erhobenen Daten gelöscht werden.In keinem Fall hätte hier eine Zweckänderung stattfinden dürfen, indem die Gastronomen die erhobenen Daten für eigene Werbezwecke oder Ähnliches verwenden.
Wenn die personenbezogenen Daten anderweitig verarbeitet werden sollen, also eine Zweckänderung oder Zweckentfremdung vorliegt, bedarf es nach Art. 6 DSGVO eines neuen Erlaubnistatbestands. Das Gleiche gilt für die Weitergabe der Daten an Dritte. In beiden Fällen muss die/der Verantwortliche nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 4 DSGVO die betroffenen Personen informieren. Wenn eine Person beispielsweise zwecks eines Gewinnspiels bestimmte Daten hinterlassen hat, ist es nicht zulässig, diese für den wöchentlichen Newsletter zu verwenden. Weitere Hinweise zum richtigen Umgang im E-Mail Marketing.
Vor der Datenerhebung wird sowohl der Zweck als auch die Dauer der Speicherung festgelegt. Nach abgeschlossener Datenverarbeitung und Ablauf der Zweckbindungsfrist müssen die Daten datenschutzkonform gelöscht werden.
Die Einhaltung der Zweckbindungsfrist gelingt am einfachsten, wenn alle MitarbeiterInnen über ein gewisses Datenschutzbewusstsein verfügen.
Mit unseren lawpilots Online-Schulungen lernen Ihre MitarbeiterInnen zeit- und ortsunabhängig und interaktiv den sicheren Umgang mit personenbezogenen Daten. Auf diese Weise werden die Grundprinzipien des Datenschutzes im Unternehmen verankert und können fortan bei allen Veränderungen und Prozessen bedacht werden.
Quellen: