Zweckbestimmung: Wie konkret muss sie ausfallen?

Verantwortliche müssen personenbezogene Daten ganz allgemein nach dem Zweckbindungsgrundsatz der Datenschutz-Grundverordnung (DSGVO) verarbeiten. An den Verarbeitungszweck knüpft die DSGVO weitere Rechtsfolgen, z.B. die Löschung von Daten, wenn der festgelegte Zweck erreicht ist. Die Umsetzung der Zweckbindung und die konkrete Bestimmung des Verarbeitungszwecks wirft in der Praxis jedoch so einige Fragen auf.

Zweckbestimmung ist Voraussetzung für Verarbeitung

Art. 5 Abs. 1 Buchst. b DSGVO bestimmt, dass Verantwortliche und Auftragsverarbeiter personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erheben dürfen. Das bedeutet konkreter:

• Zum einen ist eine Rechtsgrundlage für die Verarbeitung nötig, z.B. die Erfüllung eines Vertrags oder die Einwilligung der betroffenen Person.
• Zum anderen heißt das, dass Verantwortliche den Zweck der Verarbeitung von personenbezogenen Daten zwingend VOR der ersten Verarbeitung festlegen müssen.

Der Zweck muss darüber hinaus eindeutig sein. Eindeutig bedeutet in diesem Fall: Es muss sich klar und ohne jeden Zweifel feststellen lassen, für welchen Zweck bestimmte Daten verarbeitet werden sollen.

Verstoß gegen Zweckbindung

Die DSGVO sieht bei Verstößen gegen die Grundsätze der Verarbeitung, wozu auch die Zweckbindung gehört, vor, dass die Datenschutzaufsichtsbehörden Geldbußen verhängen können. Sie können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens betragen. Für Verantwortliche ist es auch aus diesem Grund wich…