Zum Inhalt springen Zur Navigation springen
DSGVO: Was ist Zweckbindung und wie wirkt sie sich aus?

DSGVO: Was ist Zweckbindung und wie wirkt sie sich aus?

Die Zweckbindung der Datenverarbeitung ist einer der datenschutzrechtlichen Grundsätze die Art. 5 DSGVO normiert. Was genau hinter dem Begriff steckt und wie er sich in der Praxis auswirkt, erläutert dieser Artikel.

Definition: Was bedeutet Zweckbindung?

Ein zentraler Grundsatz des Datenschutzrechts ist die Zweckbindung nach Art. 5 Absatz 1 lit. b DSGVO. Danach müssen personenbezogene Daten

„für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“.

Der Grundgedanke dahinter ist, dass bei der Verarbeitung von personenbezogenen Daten der Zweck dieser Verarbeitung im Vorfeld festgelegt werden muss. Dies bedeutet, dass bereits bei der Erhebung personenbezogener Daten die betroffene Person darüber informiert werden muss (Informationspflicht nach Art. 13 Abs. 1 lit. c DSGVO), wofür ihre Daten verwendet werden. Zu beachten ist, dass eine schwammige Formulierung wie z.B. „künftige Forschung“ oder „IT-Sicherheit“ nicht genügt. Der Zweck der Datenverarbeitung muss entsprechend konkretisiert, d.h. detailliert und eng formuliert werden. Am Ende soll der Betroffene die Datenverarbeitung richtig einschätzen, kontrollieren und sich einer fairen und transparenten Verarbeitung gewiss sein können.

Woher stammt der Gedanke hinter dem Grundsatz der Zweckbindung?

Die Herausarbeitung des Zweckbindungsgrundsatzes als verfassungsrechtliches Datenschutzprinzip geht auf das Volkszählungsurteil des Bundesverfassungsgericht aus dem Jahr 1983 zurück. In diesem Urteil hat man Bedingungen festgehalten, die erfüllt sein müssen, um verfassungsgemäß in das Grundrecht auf informationelle Selbstbestimmung (Artikel 1 Absatz 1 und Artikel 2 Absatz 1 Grundgesetz) eingreifen zu können. Zu diesen Bedingungen gehören u.a. die Grundsätze der Zweckbestimmung und Zweckbegrenzung, der Erforderlichkeit und der Transparenz. Daraus resultiert, dass jede Form der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch eine staatliche Stelle dem Gesetzesvorbehalt unterliegt, also einer Rechtsgrundlage bedarf.

Das BVerfG hat den Gesetzgeber verpflichtet, die Verwendungszwecke personenbezogener Daten im Eingriffsgesetz bereichsspezifisch und präzise zu bestimmen. Zudem darf das Eingriffsgesetz eine Datenerhebung nur insoweit erlauben, als die Datenerhebung für die gesetzlich festgelegten Zwecke geeignet und erforderlich ist. Zwar orientiert sich der deutsche Gesetzgeber an den vom BVerfG aufgestellten Grundsätzen, hat diese aber nicht gesetzlich verankert.

Anders auf europäischer Ebene: hier enthielt bereits die Datenschutzkonvention 108 des Europarats aus dem Jahr 1981 in Art. 5 einen Katalog von Grundsätzen zur „Qualität der Daten“. Daran anknüpfend enthielt auch die DS-RL aus dem Jahr 1995 (RL 95/46/EG) in ihrem Artikel 6 „Grundsätze in Bezug auf die Qualität der Daten“, wie z.B. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung und Datenminimierung.

Seit 2009 garantiert die Grundrechtecharta in Artikel 8 Absatz 2 Satz 1 die wichtigsten datenschutzrechtlichen Grundsätze auf primärrechtlicher Ebene. Diese wurden dann in die europäische DSGVO umgesetzt, wodurch sie seit 2018 auch in Deutschland geltendes Recht sind.

Unterschied zwischen verfassungsrechtlicher und einfachgesetzlicher Zweckbindung

Bei der Zweckbindung muss zwischen den verfassungsrechtlichen Anforderungen, die ausschließlich für den Gesetzgeber gelten und den einfachrechtlichen Geboten, die für den Datenverarbeiter verbindlich sind, unterschieden werden: Für den Gesetzgeber gelten die vom BVerfG aufgestellten Grundsätze, denen jedes Gesetz genügen muss, das in das Grundrecht auf informationelle Selbstbestimmung eingreift (s.o.). Einfachrechtlich gelten für den Datenverarbeiter das Gebot der Zweckfestlegung und der allgemeine „Grundsatz zweckgebundener Datenverarbeitung“.

Gemeinsam ist beiden, dass durch die Festlegung des Zwecks, der gesamte weitere Bearbeitungsablauf gesteuert wird: Datenerhebungen dürfen nur für den jeweiligen Zweck erfolgen.

Unterschiede gibt es darin, wie konkret der Zweck festgelegt werden muss: der Gesetzgeber muss den Zweck nicht ausdrücklich als solchen kennzeichnen, stattdessen muss der Zweck mit hinreichender Bestimmtheit erkennbar sein. Hinreichend bestimmt ist ein Zweck dann, wenn er sich zumindest im Wege der Auslegung ergibt und deutlich wird. Die DSGVO dagegen fordert vom Datenverarbeiter, einen konkret und eng benannten Zweck, der die im Einzelfall anstehende Aufgabe der Datenverarbeitung im Blick hat und beschreibt. Seinem Wortlaut nach fordert Art. 5 Absatz 1 lit. b) DSGVO „eindeutige“ Zwecke, also solche, die für den Betroffenen unmissverständlich und unverkennbar sind.

Gebot der Zweckfestlegung der Datenverarbeitung

Von der Zweckbindung zu unterscheiden ist die Zweckfestlegung. Diese ist in der DSGVO mitgeregelt und kann nicht von der Zweckbindung getrennt werden. Der Art. 5 Absatz 1 lit. b DSGVO spricht davon, dass personenbezogene Daten nur für „festgelegte“ Zwecke erhoben werden dürfen. Die gewählte Zeitform (Partizip Perfekt) zeigt, dass die Festlegung des Zwecks bereits vor der Erhebung der Daten zu erfolgen hat. D.h., es muss vorab bestimmt werden, wofür die Daten verwendet werden sollen. Auch ein Blick in Satz 6 des Erwägungsgrundes 39 gibt darüber Aufschluss:

„Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.“

Der Zweck der Datenverarbeitung darf also nicht erst nach erfolgter Datenerhebung bestimmt werden. Fehlt der Zweck, ist die Datenerhebung nicht gestattet. Im Ergebnis darf der Verantwortliche ein auf Vorrat angelegtes, anlassloses Sammeln personenbezogener Daten zu unbestimmten und noch nicht bestimmbaren Zwecken nicht vornehmen.

Nationale Datenverarbeitungsbefugnis: Muss ein Zweck festgelegt werden?

Wie oben beschrieben, müssen sowohl der Gesetzgeber als auch der Datenverarbeiter die Zwecke einer Datenverarbeitung vorab festlegen. Doch was ist vom Datenverarbeiter zu verlangen, wenn im nationalen Gesetz bereits der Verarbeitungszweck vorgegeben ist, wie z.B. in § 26 BDSG, nachdem personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen. Muss der verantwortliche Datenverarbeiter trotzdem noch die Zwecke nach Art. 5 Absatz 1 lit. b DSGVO festlegen?

Vor allem, da sich die oben beschriebenen Anforderungen an die Konkretisierung des Zwecks für den Gesetzgeber und den Datenverarbeiter deutlich voneinander unterscheiden, ist davon auszugehen, dass die DSGVO nicht auf die Festlegung des Zwecks durch den Verantwortlichen verzichtet. Auch der Wortlaut des Art. 5 DSGVO stützt dies: dem Normtext kann keine Ausnahme von der Verpflichtung des einzelnen Verantwortlichen entnommen werden, den Verarbeitungszweck stets „eindeutig“ festzulegen. Auch die in Art. 5 Absatz 2 DSGVO normierte Verpflichtung des Verantwortlichen, die Datenschutzgrundsätze des Art. 5 Absatz 1 DSGVO einzuhalten sowie die damit verbundene Rechenschaftspflicht, enthalten keine Ausnahme von der Zweckbindung. Eine nur hinreichende Zweckbestimmung würde dem nicht genügen.

Zweckbindung bei Datenverarbeitungen in der Praxis

Genug der Theorie hin zu zwei Beispielen, die zeigen sollen, wie sich das Gebot der Zweckbindung in der Praxis auswirkt:

Beispiel: Personalbogen

Einen Personalfragebogen wird jeder früher oder später einmal vor sich haben. Er ist ein beliebtes und bewährtes Mittel, um bei einer Einstellung die erforderlichen Informationen über Mitarbeiter zu erheben. Auch hier ist der Grundsatz der Zweckbindung zu beachten und umzusetzen.

Personalabteilungen nehmen zum Teil noch an, dass der Grund der Erhebung einiger Fragen eindeutig ist. Dies mag bei manchen Fragen zwar der Fall sein, aber nicht für alle Mitarbeiter und auch nicht bezüglich aller abgefragten Felder. Um die Anforderungen der DSGVO zu erfüllen und den Betroffenen ausreichend über die geplante Datenverarbeitung zu informieren, bietet es sich daher an, den Zweck der Verarbeitung für jedes Feld anzugeben. So sollte z.B. bei der Angabe der Kontodaten die Information enthalten sein, wofür die Daten erhoben werden. Im konkreten Fall dürfte die Bankverbindung notwendig sein, um die Überweisung des Lohnes/Gehaltes zu ermöglichen.

Zweckbindung am Beispiel der Videoüberwachung

Ein anderes anschauliches Beispiel ist die Videoüberwachung. Als Zweck der Videoüberwachung werden oft Straftaten angegeben. So pauschal lässt sich dies jedoch nicht formulieren: Soll die Videoüberwachung potenzielle Einbrecher abschrecken und somit Straftaten abwehren, hat sie einen präventiven Zweck. Dient sie dagegen der nachträglichen Verfolgung von Straftaten und der Beweissicherung, etwa weil in der Vergangenheit bereits ein Einbruch erfolgt ist, hat sie auch einen repressiven Zweck.

Je nach Zweck der Videoüberwachung, richtet sich dann auch die Speichermöglichkeit der Videoaufnahmen: Bei einem präventiven Zweck ist eine Speicherung gerade nicht notwendig – vielmehr genügt hier ein Live-Feed ohne Aufzeichnung. Bei dem repressiven Zweck also der Möglichkeit der nachträglichen Strafverfolgung muss eine Speicherung erfolgen, da ansonsten der Zweck nicht erfüllt werden könnte.

Ausnahmen vom Grundsatz der Zweckbindung

Bereits Art. 5 Absatz 1 lit. b DSGVO nennt in seinem zweiten Halbsatz Ausnahmen, die eine Weiterverarbeitung von Daten zu anderen Zwecken ermöglichen:

„eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken“.

Zusätzlich sieht Art. 6 Abs. 4 DSGVO eine Weiterverarbeitung zu einem anderen Zweck vor und lockert das Gebot der Zweckbindung auf. Er gilt für den Fall, dass eine Datenverarbeitung nicht auf einer Einwilligung oder einer Rechtsvorschrift der Union oder der Mitgliedstaaten (unter Beachtung von Art. 23 Absatz 1 DSGVO) beruht. Trifft dies zu, so hat der Verantwortliche bei der Beurteilung, ob eine weitere Verarbeitung der Daten möglich ist, die Kriterien des Art. 6 Absatz 4 DSGVO zu berücksichtigen, so z.B.

  • den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden,
  • die Art der personenbezogenen Daten oder auch
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen.

Diese Aufweichung der Zweckbindung wird durchaus kritisch gesehen. Näheres zum Streitstand können Sie unserem Artikel Zweckänderung der Datenverarbeitung am Beispiel Werbung entnehmen.

Bußgelder bei Verstößen gegen die Zweckbindung

An folgenden Beispielen wollen wir zeigen, welche Folgen ein Verstoß gegen den Grundsatz der Zweckbindung haben kann:

  • Der Hessische Beauftragte für Datenschutz und Informationsfreiheit verhing ein Bußgeld in Höhe von 170 EUR gegen den Inhaber eines Bistros aufgrund eines Verstoßes gegen den Grundsatz der Zweckbindung. Dieser hatte die Telefonnummern seiner Gäste im Rahmen der Corona-Kontaktnachverfolgung hinterlegt, nutzte diese dann aber, um die Identität eines anderen Gastes zu ermitteln.
  • 600 EUR musste ein rumänisches Unternehmen zahlen, welches auf seinem Firmengelände Videokameras angebracht hatte, die den Speisesaal und den Raucherbereich erfassten. Die Videoüberwachung sollte dem Schutz der Gesundheit der Beschäftigten und der Sicherheit der Güter dienen, wurde zudem aber auch zur Kontrolle von Mitarbeitern verwendet.
  • Die Datenschutzaufsichtsbehörde Griechenlands verhängte ein Bußgeld in Höhe von 5.000 EUR gegen ein Unternehmen, welches des Datensatz eines Betroffenen durch Zusammentragen von Daten aus unterschiedlichen Quellen stetig erweiterte, um gezielte Werbemaßnahmen durchführen zu können. Dabei handelte es sich um einen gänzlich anderen Verarbeitungszweck als den, für welchen die Daten des Betroffenen ursprünglich erhoben wurden.
  • Ein Bußgeld in Höhe von 20 Mio. EUR verhängte die italienische Datenschutzbehörde gegen Clearview AI, wobei sich die Höhe des Bußgeldes aus verschiedenen Verstößen ergibt. Dabei beruhen 3,8 Mio. EUR der Gesamtsummer auf Verstößen gegen die Artikel 5,6 und 9 DSGVO und stehen mit biometrischen Profilen im Zusammenhang. Hier hatte das Unternehmen Fotos zu anderen Zwecken (dem Aufbau seiner Gesichtsdatenbank) verarbeitet als denen, für die die Betroffenen sie online zur Verfügung gestellt hatten.

Ohne Zweck keine Datenverarbeitung

Der Artikel zeigt, dass der Grundsatz der Zweckbindung von besonderer Bedeutung ist und sowohl vom Gesetzgeber als auch vom verantwortlichen Datenverarbeiter entsprechend durchdacht und berücksichtigt werden muss. Dabei ist insbesondere der Datenverarbeiter gehalten, den Zweck einer Datenverarbeitung so konkret wie möglich festzulegen und sich daran zu binden. Ansonsten kann ein Verstoß gegen den Grundsatz der Zweckbindung auch ganz schön teuer werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.