Was ist eigentlich diese Zweckbindung und wie wirkt sie sich aus?

Fachbeitrag

Der Grundsatz der Zweckbindung ist als Begriff bereits bekannt. Allerdings wirft die Umsetzung in der Praxis noch Fragen auf. Dieser Beitrag will die Relevanz dieses Grundsatzes anhand von Beispielen veranschaulichen.

Der Gedanke hinter der Zweckbindung

Der Grundsatz der Zweckbindung des Art. 5 Abs. 1 lit. b DSGVO (Datenschutz-Grundverordnung) ist als Begrifflichkeit bereits bekannt. Der Grundgedanke besteht darin, dass bei der Verarbeitung der personenbezogenen Daten der Zweck dieser Verarbeitung im Vorfeld festgelegt werden muss. Dies bedeutet, dass bereits bei der Erhebung personenbezogener Daten die betroffene Person darüber informiert werden soll, wofür die Daten verwendet werden. Einige schwammige Formulierungen wie „künftige Forschung“ oder „IT-Sicherheit“ genügt nicht, sondern bedarf der Konkretisierung. Mit der Information über den Zweck (Art. 13 Abs. 1 lit. c DSGVO) erfüllt der Verantwortliche auch eine der ihm auferlegten Informationspflichten. Ferner ist der Zweck auch in das Verarbeitungsverzeichnis aufzunehmen (Art. 30 Abs. 1 lit. b DSGVO), das mit den Angaben nach Art. 13 DSGVO möglichst synchron sein soll.

So weit, so bekannt. Was dies in der Praxis bedeutet, ist oft nicht gleichermaßen klar. Der Zweck ist in jeder Verarbeitung personenbezogener Daten zu berücksichtigen – entsprechend viele Fallkonstellationen sind denkbar.

Wie wirkt sich der festgelegte Zweck aus?

Je nach dem welcher Zweck festgelegt wird, bestimmt sich welche Daten im konkreten Fall erhoben und verarbeitet werden dürfen. Ferner bestimmt der Zweck, wie lange diese Daten gespeichert werden dürfen – entfällt dieser, sind die erhobenen Daten zu löschen.

Wir empfehlen deshalb dringend, die geplante Verarbeitung der Daten einmal zu durchdenken. Die Festlegung des Zwecks soll nämlich nicht nur bei der Informationspflicht gegenüber dem Betroffenen herangezogen werden, sondern stellt auch ein Zusammenspiel mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) dar.

Beispiel Personalfragebogen

Der Personalfragebogen ist ein beliebtes und bewährtes Mittel, um die bei der Einstellung erforderlichen Informationen zu erheben. Auch hier ist der Grundsatz der Zweckbindung zu beachten und umzusetzen. Die Personalabteilungen nehmen zum Teil noch an, dass der Grund der Erhebung einiger Fragen eindeutig ist. Dies mag bei manchen Fragen zwar der Fall sein, aber nicht für alle Mitarbeiter und auch nicht bezüglich aller abgefragten Felder. Um die Anforderungen der DSGVO zu erfüllen, bietet es sich somit an, den Zweck der Verarbeitung für jedes Feld anzugeben.

Bei der Angabe der Kontodaten sollte deswegen die Information enthalten sein, wofür die Daten erhoben werden. Im konkreten Fall dürfte die Bankverbindung notwendig sein, um die Überweisung des Lohnes/Gehaltes zu ermöglichen.

Beispiel Videoüberwachung

Ein anderes anschauliches Beispiel ist die Videoüberwachung. Als Zweck der Videoüberwachung werden oft Straftaten angegeben. So pauschal lässt sich dieser jedoch nicht formulieren. Dient die Installation der Kameras der Abwehr von Straftaten, hat sie einen präventiven Charakter. Dient die Installation der Kameras aber der nachträglichen Verfolgung von Straftaten, etwa weil in der Vergangenheit bereits ein Einbruch erfolgt ist, hat sie auch einen repressiven Charakter.

Je nachdem Charakter richtet sich auch die Speichermöglichkeit der Videoaufnahmen. Bei einem präventiven Charakter ist eine Speicherung gerade nicht notwendig – vielmehr genügt ein Live-Feed ohne Aufzeichnung. Bei dem repressiven Charakter der Möglichkeit der nachträglichen Strafverfolgung muss aber eine Speicherung erfolgen, ansonsten könnte der Zweck nicht erfüllt werden.

Aufweichung der Zweckbindung

Die DSGVO sieht in Art. 6 Abs. 4 DSGVO die Verarbeitung der personenbezogenen Daten zu einem anderen Zweck als denjenigen, zudem er erhoben wurde, vor. Es greift dabei Art. 5 Abs. 1 lit. b Hs. 2 DSGVO auf und lockert die Zweckbindung auf. Dies bedeutet, dass der Verantwortliche zur Beurteilung ob eine weitere Verarbeitung zulässig ist u.a. die in Art. 6 Abs. 4 DSGVO genannten Kriterien heranziehen kann. Diese Aufweichung der Zweckbindung wird kritisch gesehen, weshalb der Absatz 4 restriktiv auszulegen ist.

Die hohe Relevanz der Zweckbindung

Dieser Beitrag hat die Relevanz dieses Grundsatzes nur beispielhaft dargelegt. Er hat aber deutlich machen können, dass die Festlegung des Zwecks mehr als nur eine reine Formalität ist und einmal durchdacht werden sollte. Dabei ist darauf hinzuweisen, dass mehrere Zwecke auch zusammengefasst werden können, soweit dies begrenzt erfolgt. Jedoch wird auch hier auf die Relevanz eines klar definierten und durchdachten Zwecks hingewiesen. Die Anforderungen ändern sich nicht.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Eine sehr einschneidende Abweichung von der Zweckbindung findet sich auch bei den besonders sensiblen Daten durch § 27 DSAnpUG:

    㤠27 DSAnpUG:
    Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
    (1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für̈ wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.“

    Es ist schon befremdend, wenn z.B. ein Patient seine Daten ausdrücklich für Forschung im Bereich neuromuskulärer Krankheiten gegeben hat und mit diesen Daten u.U. z.B. wehrwissenschaftliche Forschung betrieben werden kann. Wäre es dann nicht gleich besser, schon bei der Einholung der Einwilligungserklärung auf § 27 DSAnpUG hinzuweisen? Langfristig erweist man der medizinischen Forschung keinen Dienst, wenn erst im Nachhinein diese Möglichkeit bekannt wird.
    Hinzu kommt, dass bei einem hohen Pseudonymisierungsgrad sehr oft (rein objektiv betrachtet) die Interessen des Betroffenen nicht mehr stark ins Gewicht fallen und § 27 DSAnpUG einen erheblichen Anwendungsbereich erfahren kann.

    Dietmar Klieber

    • Vielen Dank für Ihren Beitrag. Es kann durchaus sinnvoll sein, bei Einholung einer Einwilligung zur Verarbeitung besonderer Kategorien von personenbezogenen Daten auf § 27 BDSG-neu hinzuweisen. Der Gesetzgeber hat mit § 27 BDSG-neu von der Ermächtigung aus Art. 9 Abs. 2 lit. j DSGVO Gebrauch gemacht und eine Verarbeitung besonderer Kategorien personenbezogener Daten für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gerade ohne Einwilligung vorgesehen. Demnach ist eine Verarbeitung nach dem Recht eines Mitgliedstaates möglich, wenn sie in „angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht.“ § 27 BDSG-neu statuiert entsprechend, dass die Datenverarbeitung zulässig ist, „wenn die Verarbeitung zu diesem Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor. Neben der vorzunehmenden Interessenabwägung sind Schutzmechanismen durch den Verweis auf § 22 Abs. 2 S. 2 BDSG-neu sowie aufgrund § 27 Abs. 3 BDSG-neu (frühestmögliche Anonymisierung der Daten) getroffen. Die Veröffentlichung personenbezogener Daten darf dann nur erfolgen, wenn die betroffene Person eingewilligt hat oder dies wiederum für die Darstellung über Ergebnisse der Zeitgeschichte unerlässlich ist.

      Für die Datenverarbeitung kann neben der Rechtsgrundlage aus § 27 BDSG-neu auch eine Einwilligung herangezogen werden. Diese in Abs. 4 des § 27 BDSG-neu erforderliche Einwilligung zur Veröffentlichung kann hiermit verbunden werden. Im Rahmen der Einholung einer Einwilligung zur Verarbeitung personenbezogener Daten sind zusätzliche datenschutzrechtliche Anforderungen einzuhalten. Daher sollte abgewogen werden, ob die Einwilligung zur Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des § 27 BDSG-neu auf eine Einwilligung der betroffenen Person gestützt werden soll.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.