Zweckbindung

Die Zweckbindung ist einer der zentralen Verarbeitungsgrundsätze der DSGVO und in Art. 5 Abs. 1 lit. b DSGVO verankert. Danach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Der Verantwortliche muss den Zweck bereits vor der Erhebung konkret bestimmen und dokumentieren; pauschale oder unbestimmte Zweckangaben wie "Geschäftsabwicklung" genügen nicht. Die Zweckfestlegung bildet zugleich den Maßstab für weitere Grundsätze wie die Datenminimierung und die Speicherbegrenzung, weil sich Erforderlichkeit und Aufbewahrungsdauer stets am festgelegten Zweck bemessen.

Eine spätere Verarbeitung für einen anderen als den ursprünglichen Zweck (Zweckänderung) ist nur unter engen Voraussetzungen zulässig. Sie ist ohne Weiteres möglich, wenn die betroffene Person hierfür eine Einwilligung erteilt hat oder eine Rechtsvorschrift der Union oder der Mitgliedstaaten die Weiterverarbeitung gestattet. Fehlt eine solche Grundlage, muss der Verantwortliche nach Art. 6 Abs. 4 DSGVO eine Kompatibilitätsprüfung durchführen: Geprüft wird unter anderem die Verbindung zwischen altem und neuem Zweck, der Erhebungskontext, die Art der Daten, mögliche Folgen für die Betroffenen sowie das Bestehen geeigneter Garantien wie Verschlüsselung oder Pseudonymisierung.

Privilegiert ist nach Art. 5 Abs. 1 lit. b Halbsatz 2 DSGVO die Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken sowie zu statistischen Zwecken; diese gilt vorbehaltlich geeigneter Garantien nach Art. 89 Abs. 1 DSGVO nicht als unvereinbar. Bei jeder Zweckänderung sind zudem die Informationspflichten nach Art. 13 Abs. 3 bzw. Art. 14 Abs. 4 DSGVO zu beachten. Wer die Zweckbindung missachtet, riskiert Bußgelder nach Art. 83 Abs. 5 DSGVO und Schadensersatzansprüche der Betroffenen; eine saubere Zweckdokumentation im Verarbeitungsverzeichnis ist daher auch Ausdruck der Rechenschaftspflicht.