Compliance-Lexikon · DSGVO
Zweckaenderung
auch: Purpose Change, zweckaendernde Weiterverarbeitung
Zweckaenderung bezeichnet die Weiterverarbeitung personenbezogener Daten fuer einen anderen Zweck als den urspruenglich bei der Erhebung festgelegten - nach Art. 6 Abs. 4 DSGVO nur zulaessig, wenn eine Vereinbarkeitspruefung anhand definierter Kriterien ergibt, dass der neue Zweck mit dem urspruenglichen vereinbar ist, oder eine eigene Rechtsgrundlage vorliegt.
Warum Zweckaenderungen eine eigene Pruefung erfordern
Nicht jede neue Nutzungsidee fuer bereits erhobene Daten ist automatisch zulaessig. Art. 6 Abs. 4 DSGVO verlangt eine Vereinbarkeitspruefung: Steht der neue Zweck im Zusammenhang mit dem urspruenglichen? In welchem Kontext wurden die Daten erhoben? Welche Art von Daten ist betroffen (insbesondere bei sensiblen Kategorien)? Welche moeglichen Folgen hat die Weiterverarbeitung fuer die betroffene Person? Wurden geeignete Garantien wie Pseudonymisierung getroffen?
Wo Zweckaenderungen gepruefte werden muessen
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 6 Abs. 4 | Vereinbarkeitspruefung: Fuenf Kriterien zur Bewertung der Zulaessigkeit einer Zweckaenderung. |
| DSGVO | Art. 5 Abs. 1b | Zweckbindung als Ausgangsprinzip, von dem die Zweckaenderung eine geregelte Ausnahme darstellt. |
| DSGVO | Art. 13 Abs. 3 / Art. 14 Abs. 4 | Informationspflicht bei beabsichtigter Weiterverarbeitung fuer einen anderen Zweck. |
| DSGVO | Art. 89 Abs. 1 | Privilegierung von Zweckaenderungen zu Archiv-, Forschungs- und Statistikzwecken. |
| EDPB | Opinion 03/2013 | Leitlinien mit detaillierten Bewertungskriterien fuer die Vereinbarkeitspruefung. |
Haeufige Fehler
- Neue Nutzung von Bestandsdaten ohne dokumentierte Vereinbarkeitspruefung
- Vereinbarkeitspruefung formal durchgefuehrt, aber Ergebnis nicht dokumentiert
- Betroffene Personen nicht ueber die neue Verarbeitungsabsicht informiert
- Verwechslung von zulaessiger Zweckaenderung mit unzulaessiger Zweckentfremdung
Vereinbarkeitspruefung in der Praxis
Wenn die Vereinbarkeitspruefung negativ ausfaellt, ist die Weiterverarbeitung nur mit einer eigenstaendigen Rechtsgrundlage zulaessig - etwa einer neuen Einwilligung. Faellt sie positiv aus, muss die betroffene Person dennoch ueber die neue Verarbeitung informiert werden (Art. 13 Abs. 3). Eine dokumentierte Vereinbarkeitspruefung mit allen fuenf Kriterien ist die wichtigste Evidence bei einer aufsichtlichen Pruefung.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.