Zweckbindung nach DSGVO: Was bedeutet das Zweckbindungsprinzip genau?
Personenbezogene Daten dürfen gemäß den Vorgaben der EU-DSGVO unter bestimmten Voraussetzungen von den jeweiligen Unternehmen verarbeitet werden. Eine dieser Voraussetzungen ist die sogenannte „Zweckbindung“. Doch was genau steckt hinter dem Zweckbindungsprinzip?
Was bedeutet „Zweckbindung“ und wo ist diese gesetzlich normiert?
Die Zweckbindung gehört zu den Grundsätzen der EU-DSGVO, nach deren Maßgabe personenbezogene Daten von Unternehmen über ihre Kunden, Lieferanten und sonstigen natürlichen Personen, kurz den Betroffenen, verarbeitet werden dürfen.
Gesetzlich geregelt ist dieser Grundsatz in Art. 5 Abs. I lit b) EU-DSGVO. Demnach dürfen personenbezogene Daten
- nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und
- dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden…“(gemäß Art. 5 Abs. I lit. b) EU-DSGVO).
Vereinfacht ausgedrückt bedeutet dies, dass beispielsweise ein Online-Shop die personenbezogenen Daten eines Kunden (Name, Adresse, Geburtsdatum, E-Mai-Adresse) abfragen darf, beziehungsweise auch muss, zum Zwecke der Vertragserfüllung, wenn der Kunde in dem Online-Shop etwas gekauft hat. Denn der Verantwortliche (Betreiber des Online Shops) muss ja wissen, wohin er die gekauften Waren und Produkte an den Kunden verschicken muss.
Der Zweck ist im o. g. Beispiel ganz eindeutig, die Vertragserfüllung als legitimer Verarbeitungszweck nach Art. 6 Abs. I S. 1 lit. b) EU-DSGVO. Demnach muss die Verarbeitung der Daten für die betreffenden Zwecke rechtlich zulässig sein; das heißt es muss für sie eine einschlägige Rechtsgrundlage existieren, und die Verarbeitung zu diesen Zwecken darf nicht gegen geltende Rechtsnormen verstoßen. Der Zweck bestimmt außerdem, wie lange die Daten gespeichert werden dürfen – entfällt der Zweck, sind die erhobenen Daten idR zu löschen.
Im Umkehrschluss bedeutet das aber nicht, dass eine Verarbeitung der personenbezogenen Daten zu anderen als den Erhebungszwecken per se ausgeschlossen ist. Der Zweckbindungsgrundsatz ist allerdings nicht derart strikt zu verstehen, dass eine Verarbeitung zu anderen als den Erhebungszwecken von vorneherein ausgeschlossen wäre.
Existiert ein Erlaubnistatbestand, der den Verantwortlichen dazu befugt, die bei ihm vorhandenen Daten zu einem anderen als dem ursprünglichen Erhebungszweck weiterzuverarbeiten, dann steht der Zweckbindungsgrundsatz einer solchen Weiterverarbeitung nicht in jedem Fall entgegen. Der Verantwortliche sollte jedoch zur Beurteilung, ob eine weitere Verarbeitung zulässig ist, Art. 6 Abs. 4 DSGVO heranziehen.
Der Zweckbindungsgrundsatz schließt vielmehr nur solche Weiterverarbeitungen aus, deren Zwecke „unvereinbar“ mit dem Erhebungszweck sind. Dies kommt durch den Wortlaut des Art. 5 Abs. I lit. b) EU-DSGVO zum Ausdruck. Die Aufweichung der Zweckbindung wird jedoch kritisch gesehen, der Absatz 4 ist deshalb restiktiv zu beurteilen und auszulegen.
Negativbeispiel aus der Praxis: Wann wird eine Zweckbindung missachtet?
Corona-Listen: Ein aktuelles Beispiel aus der Praxis sind die in allen Gastronomiebetrieben erforderlichen „Corona-Listen“, in die sich alle Gäste bei einem Besuch einer Gaststätte eintragen müssen. Dabei werden personenbezogene Daten, wie Name, Adresse und Kontaktdaten erhoben. Rechtsgrundlage sind dabei die jeweiligen Landesverordnungen Corona. Die Zweckbindung liegt darin, dass die personenbezogenen Daten nur deshalb erhoben werden, damit bei einer möglichen Corona Infizierung die Gäste nachverfolgt und informiert werden können.
Dies bedeutet, dass die in diesen Listen erhobenen personenbezogenen Daten beispielsweise nicht für Werbezwecke des Gastronomiebetriebes genutzt, beziehungsweise „zweckendfremdet“ werden dürfen.
Video-Überwachung: Der Zweck der Videoüberwachung wird die Straftat angegeben. Die Speicherdauer der Aufnahmen muss jedoch kritisch betrachtet werden. Dient die Aufnahme der nachträglichen Strafverfolgung muss eine Speicherung erfolgen sonst kann der Zweck nicht erfüllt werden. Dient die Überwachung einer Straftatverhinderung ist eine Speicherung nicht zwingend notwendig.
Was sollten Unternehmen beachten?
Grundsätzlich sollte der Verantwortliche darauf achten, dass die von ihm erhobenen personenbezogenen Daten immer zweckgebunden sind und auch nur zu diesem Zwecke verarbeitet werden. Eine Zweckentfremdung ist zwar an sich nicht ausgeschlossen, erfordert aber eine explizite Einwilligung des Betroffenen. Ein Download einer Studie oder Whitepapers bedeutet beispielsweise nicht automatisch, dass der Anbieter automatisch jegliche Art von Werbung oder Newsletter an den Betroffenen schicken darf.
Der Verantwortliche muss darauf achten, dass bei der Erhebung eine Zweckbeschreibung hinterlegt ist, um transparent den Betroffenen zu informieren, warum und zu welchen Zwecken seine personenbezogenen Daten jetzt erhoben und verarbeitet werden. Dies erzeugt Akzeptanz und Transparenz bei dem Betroffenen.
Fazit
Der Grundsatz der Zweckbindung ist ein weiterer elementarer Baustein der EU-DSGVO, deren Einhaltung der Verantwortliche unbedingt garantieren sollte. Denn wie auch bei Missachtung anderer Vorgaben der EU-DSGVO können auch hier empfindliche Bußgelder drohen. Konkret können in einem Fall der Missachtung des Grundsatzes der Zweckbindung bis zu 20.000.000 € oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!