Compliance-Lexikon · DSGVO
Zweckbindung
auch: Purpose Limitation, Grundsatz der Zweckbindung
Zweckbindung ist der DSGVO-Grundsatz nach Art. 5 Abs. 1b, wonach personenbezogene Daten nur fuer festgelegte, eindeutige und legitime Zwecke erhoben werden duerfen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden duerfen.
Warum Zweckbindung der Ausgangspunkt jeder Datenverarbeitung ist
Der Zweck einer Datenverarbeitung muss vor der Erhebung der Daten festgelegt sein - nicht nachtraeglich konstruiert werden, um eine bereits erfolgte Verarbeitung zu rechtfertigen. Daten, die fuer einen Vertragsabschluss erhoben wurden, duerfen nicht ohne weiteres fuer Marketingzwecke genutzt werden, es sei denn, eine eigene Rechtsgrundlage oder eine zulaessige Zweckaenderung liegt vor.
Wo Zweckbindung gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 5 Abs. 1b | Zweckbindung als einer der sieben Grundsaetze der Datenverarbeitung. |
| DSGVO | Art. 6 Abs. 4 | Vereinbarkeitspruefung bei Zweckaenderung mit konkreten Bewertungskriterien. |
| DSGVO | Art. 13 Abs. 1c / Art. 14 Abs. 1c | Pflicht zur Angabe des Verarbeitungszwecks in der Datenschutzerklaerung. |
| DSGVO | Art. 89 | Privilegierte Ausnahme von der Zweckbindung fuer Forschungs- und Statistikzwecke. |
| EDPB | Opinion 03/2013 | Leitlinien zum Konzept der Zweckbindung und zulaessiger Zweckaenderungen. |
Haeufige Fehler
- Daten fuer einen Zweck erhoben und stillschweigend fuer andere Zwecke genutzt
- Zweck im VVT zu vage formuliert ("Geschaeftszwecke" statt konkreter Beschreibung)
- Keine systematische Pruefung bei Einfuehrung neuer Verarbeitungszwecke
- Zweckaenderung ohne Vereinbarkeitspruefung nach Art. 6 Abs. 4 durchgefuehrt
Zweckbindung in der betrieblichen Praxis
Eine systematische Zweckbindung erfordert, dass jeder Verarbeitungszweck im VVT spezifisch und nicht generisch formuliert ist, dass neue Nutzungsabsichten fuer bereits vorhandene Daten vor der Umsetzung gegen Art. 6 Abs. 4 geprueft werden, und dass Mitarbeiter geschult sind, Daten nicht eigenmaechtig fuer andere als die urspruenglich kommunizierten Zwecke zu verwenden.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.