Was ist die Zweckbindung laut DSGVO?

Ein zentrales Prinzip zum Schutz personenbezogener Daten ist die Zweckbindung. Sie legt fest, wofür Daten erhoben werden – und dass sie nur für diesen bestimmten Zweck erhoben und verarbeitet werden dürfen, sofern keine weitere Rechtsgrundlage vorliegt. Wir geben einen Überblick mit zwei Beispielen aus dem Unternehmensalltag.

Was bedeutet Zweckbindung konkret?

Nach Art. 5 Abs. 1 lit. b DSGVO dürfen verantwortliche Stellen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeiten. Bereits bei der Erhebung muss feststehen, warum die Daten erhoben werden – etwa für Vertragsabwicklung, Kundenservice oder Lohnabrechnung.

Eine spätere Nutzung für andere Ziele, zum Beispiel für Marketing oder Profilbildung, gilt als unzulässig, sofern keine neue Rechtsgrundlage vorliegt oder der neue Zweck nicht mit dem ursprünglichen vereinbar ist.

Warum ist die Zweckbindung so wichtig? Was ist Kompatibilitätsprüfung?

Die Zweckbindung vermeidet, dass verantwortliche Stellen „Daten auf Vorrat“, also für ungeklärte Zwecke ohne eigene Rechtsgrundlage, sammeln.

Zusätzlich greift bei Zweckänderungen die sogenannte Kompatibilitätsprüfung nach Art. 6 Abs. 4 DSGVO. Sie bewertet unter anderem:

• Zusammenhang zwischen ursprünglichem und neuem Zweck
• Art der Daten: etwa ob besondere Kategorien personenbezogener Daten verarbeitet werden
• mögliche Folgen für Betroffene, sofern Daten weiterverarbeitet werden

Praxisbeispiele aus dem Unternehmensalltag

Kundendaten aus einem Kaufvertrag dienen nur der Rechnungsstellung. Ohne klare Rechtsgrundlage dürfen sie z. B. nicht ohne Weiteres in allgemeine Newsletterverteiler oder Werbekampagnen einfließen. Ein Kunde kauft einen TV, erhält anschließend Newsletter zu DVD-Playern – zulässig. Kunde erhält Newsletter mit Kaffeemaschinen – das ist unzulässig. Hier greift die Rechtsgrundlage Art. 6 Abs. 1 lit. f in Verbindung mit § 6 UWG. Es ist demnach erlaubt, ergänzende Newsletter zu ähnlichen Produkten zuzusenden.

Ein Unternehmen erhebt Beschäftigtendaten eines zukünftigen Mitarbeiters, um ein Arbeitsverhältnis auf den Weg zu bringen. Zulässig: Die Daten werden für die Gehaltsabrechnung und die Urlaubsverwaltung genutzt. Nicht zulässig: Diese Informationen lassen sich nicht später für Leistungsrankings, interne Profile oder Marketingaktionen nutzen, sofern dafür keine eigene Rechtsgrundlage wie beispielsweise eine Einwilligung vorliegt.

In beiden Fällen gilt: Der ursprüngliche Zweck bestimmt die erlaubte Verarbeitung.

Fazit: Zweckbindung definiert Nutzung

Die Zweckbindung bildet ein Fundament datenschutzkonformer Verarbeitung personenbezogener Daten. Sie definiert, warum und wofür Daten erhoben werden – bei einer Zweckänderung ist auch eine neue Rechtsgrundlage nötig. Sie haben Fragen zum Thema? Kontaktieren Sie uns, wir beraten Sie gern.