Grundprinzipien des Datenschutzrechts (Teil 2): Zweckbindung

Art. 5 Abs 1 lit b: „Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden.“

Zur Einhaltung des Zweckbindungsprinzips müssen die einzelnen Verarbeitungsschritte erst in zwei Phasen getrennt werden. Anschließend muss der Zweck aller auf die erstmalige Erhebung der Daten folgenden Datenbearbeitungen darauf geprüft werden, ob er mit dem ursprünglichen Erhebungszweck ident oder zumindest vereinbar, also kompatibel ist. Um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sind die in Art 6 Abs 4 EU-DSGVO genannte Punkte zu berücksichtigen:

  1. Jede Verbindung zwischen den Zwecken, für die die Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung;
  2. den Zusammenhang, in dem die Daten erhoben wurden;
  3. die Art der personenbezogenen Daten, also insbesondere ob besonders schutzwürdige Daten verarbeitet wurden;
  4. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person;
  5. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Anhand dieser Kriterien, die übrigens in Laufe der Zeit noch durch Gerichte oder Behörden erweitert werden könnten, hat der Verantwortliche zu prüfen, ob durch die Weiterverarbeitung Rechte der betroffenen Person beeinträchtigt werden könnten.

Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke wird stets als vereinbarer und rechtsmäßiger Verarbeitungsvorgang gelten.

Zusammenfassend kann also festgehalten werden, dass personenbezogene Daten für andere Zwecke als den ursprünglichen Zweck verarbeitet werden dürfen, wenn auch der neue Verarbeitungszweck für den Betroffenen vorhersehbar war, es sich nicht um sensible Daten handelt und sich der Verantwortliche um das Vorhandensein von geeignete Garantien, also um die Datensicherheit, kümmert. Der Betroffene muss dann allerdings über die Zweckänderung informiert werden und kann dann unter Umständen die Löschung seiner Daten verlangen.

Der nächste Artikel wird dem Grundsatz der Datenminimierung gewidmet sein.