Gratis
21. Dezember 2016 - Datenschutz-Grundverordnung

Zweckänderung nach DSGVO: Das können Sie jetzt schon beachten

Bei der Zweckänderung wird sich mit der Datenschutz-Grundverordnung (DSGVO) Wesentliches ändern im Vergleich zum Bundesdatenschutzgesetz (BDSG). Das neue Recht ist kompliziert, und es drohen empfindliche Sanktionen. Denken Sie daher bei der Vorbereitung auf die Grundverordnung schon jetzt an spätere Zweckänderungen. Das spart in den nächsten Jahren Arbeit.

Zweckänderung: Was sagt die DSGVO? Prüfen Sie schon jetzt, ob die Erhebungszwecke möglichst weit, aber dennoch klar und eindeutig formuliert sind (Bild: ArtemSam / iStock / Thinkstock)

Unternehmen und Behörden müssen laufende Datenverarbeitungen bis zum 25. Mai 2018 mit der DSGVO in Einklang bringen. Nur wenn Verantwortliche alle Anforderungen an die Rechtmäßigkeit der ursprünglichen Verarbeitung der Daten einhalten – geeignete Sicherheitsmaßnahmen eingeschlossen –, ist eine Grundvoraussetzung für jede spätere Zweckänderung erfüllt.

Zweckbindungsgrundsatz gilt fort

Der Datenschutzgrundsatz der Zweckbindung aus Art. 6 Abs. 1 Buchst. b der EU-Datenschutzrichtlinie findet sich fast wortgleich in der DSGVO, obgleich Interessengruppen darauf gedrängt hatten, diesen Grundsatz ganz fallen zu lassen.

Nach Art. 5 Abs. 1 Buchst. b DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden.

Zweckänderungen bleiben möglich

In Ausnahmefällen ist eine Zweckänderung möglich. Darunter versteht die DSGVO die Verarbeitung zu einem anderen Zweck als zu dem, für den die Daten ursprünglich erhoben wurden.

Kernvorschrift zur Zweckänderung ist Art. 6 Abs. 4 DSGVO. Geht es um die Verarbeitung besonderer Kategorien von personenbezogenen Daten (sensible Daten), müssen Verantwortliche auch die strengen Vorgaben des Art. 9 DSGVO erfüllen.

Vereinbarkeit der Zwecke

In den Beratungen zur Datenschutzgrundverordnung war lange strittig, unter welchen Umständen eine Zweckänderung möglich sein soll. Sie ist nun zulässig, wenn die Datenverarbeitung mit denjenigen Zwecken vereinbar ist, für die die Daten ursprünglich (vom Verantwortlichen, Auftragsverarbeiter oder einem Dritten) erhoben wurden. Dann ist keine andere Rechtsgrundlage erforderlich als die für die ursprüngliche Erhebung.

Das BDSG hingegen verlangt keine Zweckvereinbarkeit. Dafür gibt beispielsweise § 28 Abs. 2 BDSG bestimmte Umstände vor, unter denen eine Zweckänderung zulässig ist, und verlangt eine Interessenabwägung, ohne dabei konkret festzulegen, wie diese zu erfolgen hat und wann etwa das schutzwürdige Interesse des Betroffenen dasjenige der verantwortlichen Stelle überwiegt.

Kriterien für die Zweckvereinbarkeit

Art. 6 Abs. 4 DSGVO hingegen nennt Kriterien für die Feststellung, ob die Zwecke vereinbar sind (vgl. auch Erwägungsgrund 50). Zu berücksichtigen sind:

  • jede Verbindung zwischen dem ursprünglichen und dem neuen Zweck
  • der Erhebungskontext
  • das Verhältnis zwischen dem Verantwortlichen und den betroffenen Personen und deren vernünftige Erwartungen, die auf ihrer Beziehung zum Verantwortlichen beruhen
  • die Art der Daten
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen sowie das Vorhandensein geeigneter Garantien, d.h. Schutzmaßnahmen; hier nennt die DSGVO beispielhaft Verschlüsselung und Pseudonymisierung

Die Aufzählung der Kriterien in der DSGVO ist nicht abschließend („unter anderem“). Weitere Kriterien könnten zwischenzeitliche Entwicklungen in Recht und Technik, neue Bedrohungen oder Kombinationsmöglichkeiten mit neuen Anwendungen sein.

Maßstab der Prüfung sind die Grundrechte und -freiheiten. Aufgrund seines Ausnahmecharakters ist Art. 6 Abs. 4 DSGVO restriktiv auszulegen.

Vorab-Prüfung und Dokumentation durch den Verantwortlichen

Die Vereinbarkeitsprüfung (auch Kompatibilitätstest genannt) führt das Unternehmen durch, und zwar bevor es zur Verarbeitung für den anderen Zweck kommt.

Die verstärkten Nachweispflichten der DSGVO zwingen dazu, die Prüfung, die herangezogenen Kriterien und die Ergebnisse detailliert zu dokumentieren. Prüfung und Dokumentation dürften dabei umso umfangreicher sein, je weiter der neue vom ursprünglichen Zweck entfernt ist. Die neuen Zwecke sind zudem in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen (Art. 30 Abs. 1 Buchst. b DSGVO).

Zweckänderung ist auch zulässig …

  • mit Einwilligung
    Mit Einwilligung der betroffenen Person darf der Verantwortliche die Daten auch bei mangelnder Vereinbarkeit der Zwecke weiterverarbeiten. So kann ein Unternehmen oder eine Behörde selbst bei negativem Ausgang der Vereinbarkeitsprüfung eine rechtmäßige Zweckänderung vornehmen, allerdings mit allen komplexen Anforderungen und Unwägbarkeiten im Zusammenhang mit Einwilligungen.
  • bei besonderer Rechtsvorschrift
    Die EU und die Mitgliedstaaten können Rechtsvorschriften erlassen, nach denen die Weiterverarbeitung zu einem mit dem ursprünglichen Zweck inkompatiblen Zweck zulässig ist. Diese spezialgesetzlichen Weiterverarbeitungsnormen müssen die Voraussetzungen des Art. 6 Abs. 4 DSGVO erfüllen. Sie müssen eine notwendige und verhältnismäßige Maßnahme sein zum Schutz der in Art. 23 Abs. 1 DSGVO im Einzelnen genannten Ziele im allgemeinen öffentlichen Interesse oder zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen.
  • in Sonderfällen
    Eine Zweckänderung ist auch in Sonderfällen zulässig, z.B. für Forschungszwecke, die im öffentlichen Interesse liegen (vgl. Art. 5 Abs. 1 Buchst. b 2. Halbsatz DSGVO). Die Zulässigkeit kann sich zudem in Sonderbereichen wie dem Journalismus aus mitgliedstaatlichem Recht ergeben (vgl. Art. 85 DSGVO).

Mitteilungspflichten und andere Pflichten

Je nachdem, ob er die Daten bei der betroffenen Person erhoben hat oder nicht, verpflichten Art. 13 Art. 3 bzw. Art. 14 Abs. 4 DSGVO den Verantwortlichen dazu, die betroffene Person über den anderen Zweck zu informieren sowie über die weiteren in Art. 13 bzw. 14 DSGVO genannten Aspekte, sofern keine Ausnahmen von der Informationspflicht gegeben sind.

Die Information hat vor der Weiterverarbeitung zu erfolgen.

Bei der Zweckänderung ergeben sich zudem weitere Pflichten für Unternehmen:

  • So hat er bei der Weiterverarbeitung zu dem anderen Zweck u.a. alle Grundsätze der Datenschutz-Grundverordnung einzuhalten.
  • Gegebenenfalls muss er seine Risikobewertung überprüfen und die technisch-organisatorischen Maßnahmen anpassen.
  • Vielleicht muss er sogar eine förmliche Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen.
  • Oder er muss die Verträge mit seinen Auftragsverarbeitern anpassen.

Hohe Bußgelder zwingen zu großer Sorgfalt

Bei fehlender oder unzureichender Durchführung der Vereinbarkeitsprüfung bzw. bei unzulässiger Zweckänderung drohen die immensen Bußgelder des Art. 83 DSGVO.

Daher sollte der Verantwortliche nicht versuchen, mittels geschickter Kriterienauswahl und lascher Bewertung zum gewünschten Ergebnis zu kommen. Stellschraube für ihn kann indes die Ausweitung der Garantien sein.

Ein Bußgeld droht im Übrigen auch, wenn im Verarbeitungsverzeichnis die neuen Zwecke fehlen oder der Verantwortliche gegen die Mitteilungspflichten verstößt.

Übergang zur DSGVO

Da eine Zweckänderung nach DSGVO nur möglich ist, wenn die bisherige Datenverarbeitung rechtmäßig war, muss die verantwortliche Stelle hier ggf. nacharbeiten, um den Anforderungen zu genügen.

Weitere Grundvoraussetzung für die Änderung nach DSGVO ist, dass die bisherigen Zwecke vor der ersten Erhebung festgelegt und mitsamt tragfähigen Rechtsgrundlagen ordentlich dokumentiert worden sind.

Bereits jetzt Formulierungen überdenken

Denken Sie bei der Festlegung der Zwecke und bei der Auswahl der Schutzmaßnahmen bereits jetzt an mögliche künftige legitime Zwecke. Schaffen Sie Raum für weitere Verarbeitungen, indem die Erhebungszwecke möglichst weit, aber dennoch hinreichend klar und eindeutig formuliert werden. Hierfür bedarf es Formulierungskunst und eventuell rechtlichen Rats.

Aufgrund der Unbestimmtheit des Art. 6 Abs. 4 DSGVO ist recht unklar, wie präzise die Zwecke festzulegen sind und unter welchen Umständen von einer Vereinbarkeit der Zwecke auszugehen ist. Achten Sie daher auf Interpretations- und Orientierungshilfen vom Europäischen Datenschutzausschuss, von den Aufsichtsbehörden sowie in der Datenschutzliteratur.

Insbesondere für den öffentlichen Bereich ist abzuwarten, ob der Bundestag oder die Landtage Konkretisierungen vornehmen.

Prüfschema online

Das gesamte Prüfprogramm des Verantwortlichen finden Sie unter www.datenschutz-praxis.de/praxishilfen/download-pruefschema-zweckaenderung-nach-dsgvo/.

Dr. Manuel Cebulla
Dr. jur. Manuel Cebulla, LL.M., ist Berater und Gutachter für Datenschutz.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln