Möglichst viele personenbezogene Daten beispielsweise für Werbezwecke zu sammeln ist nicht erst seit der DSGVO verboten. Einer der datenschutzrechtlichen Grundsätze der DSGVO ist nach Art. 5 DSGVO die Zweckbindung der Datenverarbeitung. Für die Erhebung, Verarbeitung und Speicherung personenbezogener Daten gelten dadurch sehr konkrete Regeln – die bei Missachtung in einem Datenschutzverstoß enden können. Doch was genau steckt hinter dem Begriff Zweckbindung und wie wirkt er sich in der Praxis aus? Wir erklären es Ihnen in unserem neuen Newsletter.
Definition
Sowohl öffentliche als auch nicht öffentliche Stellen müssen bestimmte Grundprinzipien bei der Verarbeitung, Speicherung, Nutzung von personenbezogenen Daten berücksichtigen. Hierbei ist einer der wichtigsten Grundpfeiler die Zweckbindung. Bereits das sogenannte Volkszählungsurteil aus dem Jahre 1983, welches von dem Bundesverfassungsgericht ausgesprochen wurde, hatte einen maßgeblichen Einfluss auf den Datenschutz in Deutschland und die Bedeutung der Zweckbindung. In diesem Urteil hatten die Richter Bedingungen in Ihrem Urteil festgehalten, die erfüllt sein müssen, um verfassungsgemäß in das Grundrecht auf informationelle Selbstbestimmung eingreifen zu können. Zu diesen Bedingungen gehören beispielsweise: die Grundsätze der Zweckbestimmung und Zweckbegrenzung, der Erforderlichkeit und der Transparenz. Hieraus resultiert, dass jede Form der Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage bedarf. Die damals bereits festgelegten Bedingungen für eine Datenverarbeitung sind heute in allen Datenschutzgesetzen, wie der DSGVO, BDSG und auch in den einzelnen Landesdatenschutzgesetzen und sogar noch weiteren Gesetzbüchern festgeschrieben, beispielsweise etwa dem Zehnten Sozialgesetzbuch. Alle Vorschriften verweisen dabei auf denselben Grundsachverhalt. Demnach müssen personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“.
Der Grundgedanke dahinter
Bei der Verarbeitung von personenbezogenen Daten versteckt sich der Grundgedanke, dass bei der Verarbeitung von personenbezogenen Daten der Zweck der geplanten Verarbeitung im Vorfeld festgelegt werden muss. Dies bedeutet, dass bereits bei der Erhebung von personenbezogener Daten die betroffene Person über deren Verarbeitungszweck nach Art. 13 DSGVO informiert werden muss. Auch eine zu unbestimmte Formulierung wie z.B. „künftige Auswertung oder Forschung“ genügt hierbei nicht. Es gilt den Zweck der Datenverarbeitung entsprechend zu konkretisieren, also möglichst detailliert festzulegen und zu formulieren, damit der Betroffene die Datenverarbeitung transparent und fair einschätzen kann. Dies hat es für Unternehmen allerdings zur Folge, dass je nach vorher definierten Zweck lediglich bestimmte personenbezogene Daten für eine festgelegte Zeit verarbeitet gespeichert werden dürfen und anschließend entsprechend datenschutzkonform gelöscht werden müssen. Beispielsweise bei einer online Blumenstrauß-Bestellung dürfen die Daten des Empfänger nur bis zur erfolgreichen Zustellung gespeichert und müssen anschließend gelöscht werden, da sie ihren Zweck erfüllt haben. Art. 5 der DSGVO legt die übergeordneten Prinzipien der Datenverarbeitung fest und besagt, dass „personenbezogene Daten auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Außerdem müssen hierbei auch die Grundsätze der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und Integrität und Vertraulichkeit beachtet und eingehalten werden.
Nationale Anforderungen an eine Datenverarbeitung
Wie oben bereits erwähnt, müssen sowohl der Gesetzgeber als auch der Datenverarbeiter die Zwecke einer Datenverarbeitung bereits im Vorfeld festlegen. Auch wenn beispielsweise in §26 BDSG bereits geregelt ist, dass personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, sollten die Verarbeitungszwecke noch weiter konkretisiert werden. Auch erst nach erfolgter Datenerhebung den Zweck der Datenverarbeitung festzulegen, ist nicht gestattet. Damit soll vorgebeugt werden, dass der Verantwortliche nicht auf einen Vorrat angelegtes, anlassloses Sammeln von personenbezogenen Daten zu noch nicht bestimmbaren und unbestimmten Zwecken vornimmt.
Praxisbeispiele
Einen Personalfragebogen hat wohl jeder Arbeitnehmer bereits einmal ausgefüllt. Er ist ein beliebtes und bewährtes Mittel, um bei einer Einstellung die erforderlichen Informationen über den Beschäftigten einzuholen. Doch auch hier muss der Grundsatz der Zweckbindung beachtet und umgesetzt werden.
Doch des Öfteren nehmen Personalabteilungen noch an, dass der Grund der Erhebung einiger Fragen eindeutig ist. Zwar ist dies ist wohl bei manchen Fragen zutreffen, möglicherwiese gilt das nicht für alle Mitarbeiter und auch nicht bezüglicher aller abgefragter Felder. Datenschutzrechtlich könnte dies beispielsweise so umgesetzt werden, dass der Verarbeitungszweck bei jedem Feld einzeln angegeben wird, z. B. Bankdaten des betroffenen Mitarbeiters, damit Lohn- bzw. Gehalt überwiesen werden kann. Onlinebestellungen Wenn eine Onlinebestellung aufgegeben wird, dann darf der Versandhändler die angegebenen personenbezogenen Daten nur für das Vertragsverhältnis, als für die Rechnungslegung, den Versand und die anschließende Abrechnung verwenden. Bereits im Vorfeld ist zum Zwecke der Vertragsabwicklung erkennbar. Sollte der Versandhändler nun die personenbezogenen Daten für irgendeinen anderen Zweck benutzen wollen, beispielsweise für eine Marktforschung oder den Verkauf an einen Adresshändler, ist dies von dem ursprünglichen Zweck nicht umfasst. Dies wäre somit eine Zweckänderung, von dieser die betroffene Person vorzeitig zu informieren wäre, andernfalls wäre die Verarbeitung unzulässig. Videoüberwachung Ein anderes anschauliches Beispiel ist die Videoüberwachung. Als Zweck der Videoüberwachung werden oft Straftaten angegeben. Leider lässt sich dies so pauschal nicht formulieren: Soll die Videoüberwachung potenzielle Einbrecher abschrecken und somit Straftaten abwehren, hat sie einen präventiven Zweck. Wenn sie allerdings der nachträglichen Verfolgung von Straftaten und als Beweissichtung dient, weil beispielsweise in der Vergangenheit ein Einbruch stattgefunden hat, hat sie auch einen vorbeugenden Zweck. Hierbei unterscheidet sich jeweils die Speichermöglichkeit der Videoaufnahme: Bei einem präventiven Zweck ist die Speicherung der Aufzeichnungen nicht notwendig. Hier genügt eine Liveübertragung ohne Aufzeichnung. Dient die Videoüberwachung einer nachträglichen Strafverfolgung, ist eine Speicherung nötig, da ansonsten der Zweck nicht erfüllt werden kann.
Ausnahmen
In Art. 5 Abs. 1b DSGVO ist eine Ausnahme angegeben, welche eine Weiterverarbeitung von Daten zu anderen Verarbeitungszwecken ermöglicht: „eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken“. Auch Art. 6 Abs. 4 DSGVO sieht eine Weiterverarbeitung zu einem anderen Zweck vor und lockert das Gebot der Zweckbindung auf. Es greift, wenn eine Datenverarbeitung nicht auf einer Einwilligung oder einer Rechtsvorschrift der Union oder der Mitgliedstaaten beruht. Diese Aufweichung der Zweckbindung wird jedoch kritisch gesehen und sollte in der Praxis nicht umgesetzt werden.
Mögliche Bußgelder
Wird die Zweckbindung nicht eingehalten, handelt es sich um einen Datenschutzverstoß, der je nach Tragweite hohe Bußgelder oder aber strafrechtliche Konsequenzen nach sich ziehen kann. Gleiches gilt auch für die Erhebung von Daten, obwohl hierfür im Vorfeld noch kein bestimmter Verarbeitungszweck vorlag.
An folgenden Beispielen wollen wir zeigen, welche Folgen ein Verstoß gegen den Grundsatz der Zweckbindung haben kann:
Gegen einen Inhaber eines Bistros verhängte der Hessische Beauftragte für Datenschutz und Informationsfreiheit ein Bußgeld in Höhe von 170 EUR aufgrund eines Verstoßes gegen den Grundsatz der Zweckbindung. Der Inhaber hatte Telefonnummern seiner Gäste im Rahmen der Corona-Kontaktnachverfolgung hinterlegt und nutzte diese dann im Nachgang, um die Identität eines anderen Gastes zu ermitteln.
Die italienische Datenschutzbehörde verhängte sogar ein Bußgeld in Höhe von 20 Mio. EUR gegen eine Gesichtserkennungssoftware. Wobei sich die Höhe des Bußgeldes aus verschiedenen Verstößen ergab. 3,8 Mio. EUR der Gesamtsummer beruhen dabei auf Verstößen gegen die Artikel 5,6 und 9 DSGVO und stehen mit biometrischen Profilen im Zusammenhang. Hier verarbeitete das Unternehmen Fotos von Betroffenen zum Aufbau seiner Aufbau seiner Gesichtsdatenbank, welche die Betroffenen für einen anderen Verarbeitungszweck zur Verfügung gestellt hatten.
Was muss konkret in der Praxis beachtet werden?
Vor der Erhebung und Verarbeitung personenbezogener Daten muss eine Zweckbestimmung durchgeführt werden.
Hierbei muss der Zweck eindeutig festgelegt sein und ein Erlaubnistatbestand muss nach Art. 6 DSGVO vorliegen.
Sollen personenbezogene Daten anderweitig verarbeitet werden, ist dies eine Zweckänderung, welche auch einen Erlaubnistatbestand nach Art. 6 DSGVO benötigt. Hierbei muss beachtet werden, dass der Betroffene entsprechend nach Art. 13 und 14 DSGVO informiert werden muss.
Auch für die Weitergabe der personenbezogenen Daten an Dritte bedarf es eines Erlaubnistatbestandes gem. Art. 6 DSGVO.
Fazit
Der Grundsatz der Zweckbindung ist ein elementarer Baustein der DSGVO, deren Einhaltung der Verantwortliche unbedingt einhalten sollte. Denn bei einer möglichen Missachtung der DSGVO können im Zweifelsfall auch empfindliche Bußgelder nach Art. 83 DSGVO drohen.