Was ist eigentlich diese Zweckbindung und wie wirkt sie sich aus?

Fachbeitrag

Der Grundsatz der Zweckbindung ist als Begriff bereits bekannt. Allerdings wirft die Umsetzung in der Praxis noch Fragen auf. Dieser Beitrag will die Relevanz dieses Grundsatzes anhand von Beispielen veranschaulichen.

Der Gedanke hinter der Zweckbindung

Der Grundsatz der Zweckbindung des Art. 5 Abs. 1 lit. b DSGVO (Datenschutz-Grundverordnung) ist als Begrifflichkeit bereits bekannt. Der Grundgedanke besteht darin, dass bei der Verarbeitung der personenbezogenen Daten der Zweck dieser Verarbeitung im Vorfeld festgelegt werden muss. Dies bedeutet, dass bereits bei der Erhebung personenbezogener Daten die betroffene Person darüber informiert werden soll, wofür die Daten verwendet werden. Einige schwammige Formulierungen wie „künftige Forschung“ oder „IT-Sicherheit“ genügt nicht, sondern bedarf der Konkretisierung. Mit der Information über den Zweck (Art. 13 Abs. 1 lit. c DSGVO) erfüllt der Verantwortliche auch eine der ihm auferlegten Informationspflichten. Ferner ist der Zweck auch in das Verarbeitungsverzeichnis aufzunehmen (Art. 30 Abs. 1 lit. b DSGVO), das mit den Angaben nach Art. 13 DSGVO möglichst synchron sein soll.

So weit, so bekannt. Was dies in der Praxis bedeutet, ist oft nicht gleichermaßen klar. Der Zweck ist in jeder Verarbeitung personenbezogener Daten zu berücksichtigen – entsprechend viele Fallkonstellationen sind denkbar.

Wie wirkt sich der festgelegte Zweck aus?

Je nach dem welcher Zweck festgelegt wird, bestimmt sich welche Daten im konkreten Fall erhoben und verarbeitet werden dürfen. Ferner bestimmt der Zweck, wie lange diese Daten gespeichert werden dürfen – entfällt dieser, sind die erhobenen Daten zu löschen.

Wir empfehlen deshalb dringend, die geplante Verarbeitung der Daten einmal zu durchdenken. Die Festlegung des Zwecks soll nämlich nicht nur bei der Informationspflicht gegenüber dem Betroffenen herangezogen werden, sondern stellt auch ein Zusammenspiel mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) dar.

Beispiel Personalfragebogen

Der Personalfragebogen ist ein beliebtes und bewährtes Mittel, um die bei der Einstellung erforderlichen Informationen zu erheben. Auch hier ist der Grundsatz der Zweckbindung zu beachten und umzusetzen. Die Personalabteilungen nehmen zum Teil noch an, dass der Grund der Erhebung einiger Fragen eindeutig ist. Dies mag bei manchen Fragen zwar der Fall sein, aber nicht für alle Mitarbeiter und auch nicht bezüglich aller abgefragten Felder. Um die Anforderungen der DSGVO zu erfüllen, bietet es sich somit an, den Zweck der Verarbeitung für jedes Feld anzugeben.

Bei der Angabe der Kontodaten sollte deswegen die Information enthalten sein, wofür die Daten erhoben werden. Im konkreten Fall dürfte die Bankverbindung notwendig sein, um die Überweisung des Lohnes/Gehaltes zu ermöglichen.

Beispiel Videoüberwachung

Ein anderes anschauliches Beispiel ist die Videoüberwachung. Als Zweck der Videoüberwachung werden oft Straftaten angegeben. So pauschal lässt sich dieser jedoch nicht formulieren. Dient die Installation der Kameras der Abwehr von Straftaten, hat sie einen präventiven Charakter. Dient die Installation der Kameras aber der nachträglichen Verfolgung von Straftaten, etwa weil in der Vergangenheit bereits ein Einbruch erfolgt ist, hat sie auch einen repressiven Charakter.

Je nachdem Charakter richtet sich auch die Speichermöglichkeit der Videoaufnahmen. Bei einem präventiven Charakter ist eine Speicherung gerade nicht notwendig – vielmehr genügt ein Live-Feed ohne Aufzeichnung. Bei dem repressiven Charakter der Möglichkeit der nachträglichen Strafverfolgung muss aber eine Speicherung erfolgen, ansonsten könnte der Zweck nicht erfüllt werden.

Aufweichung der Zweckbindung

Die DSGVO sieht in Art. 6 Abs. 4 DSGVO die Verarbeitung der personenbezogenen Daten zu einem anderen Zweck als denjenigen, zudem er erhoben wurde, vor. Es greift dabei Art. 5 Abs. 1 lit. b Hs. 2 DSGVO auf und lockert die Zweckbindung auf. Dies bedeutet, dass der Verantwortliche zur Beurteilung ob eine weitere Verarbeitung zulässig ist u.a. die in Art. 6 Abs. 4 DSGVO genannten Kriterien heranziehen kann. Diese Aufweichung der Zweckbindung wird kritisch gesehen, weshalb der Absatz 4 restriktiv auszulegen ist.

Die hohe Relevanz der Zweckbindung

Dieser Beitrag hat die Relevanz dieses Grundsatzes nur beispielhaft dargelegt. Er hat aber deutlich machen können, dass die Festlegung des Zwecks mehr als nur eine reine Formalität ist und einmal durchdacht werden sollte. Dabei ist darauf hinzuweisen, dass mehrere Zwecke auch zusammengefasst werden können, soweit dies begrenzt erfolgt. Jedoch wird auch hier auf die Relevanz eines klar definierten und durchdachten Zwecks hingewiesen. Die Anforderungen ändern sich nicht.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.