Datenschutz für NRW

Personenbezogene Daten dürfen nicht wahllos verwendet werden

Wer personenbezogene Daten verarbeitet, der sollte sich immer die Frage stellen, wie viele Daten dürfen erhoben werden und vor allem auch: wofür dürfen diese erhoben werden? Auch wenn es verlockend ist bei der Erhebung von Daten möglichst viele Daten zu sammeln und diese auch direkt noch für andere Zwecke zu nutzen: Das ist nach den Grundsätzen des Datenschutzes verboten.

Nachdem wir Ihnen bereits den Grundsatz der Datenminimierung erklärt haben (Artikel verpasst?), möchten wir Ihnen in diesem Artikel einen weiteren Grundsatz im Datenschutz näherbringen: die Zweckbindung.

Der Zweck heiligt die Mittel?

Ganz so wörtlich darf man dieses Sprichwort nicht nehmen. Denn nicht jeder Zweck im Datenschutz gibt uns die Freiheit Daten zu erfassen und zu verarbeiten. Aber um den Zweck dreht sich sehr viel im Datenschutz. Der Zweck definiert zum Beispiel, welche Daten überhaupt verarbeitet werden dürfen. Im Datenschutz ist definiert, dass nur jene Daten erfasst werden dürfen, die auch für diesen Zweck notwendig sind. (Datenminimierung)

Darüber hinaus gibt der Zweck auch Aufschluss darüber, wie lange personenbezogene Daten gespeichert werden dürfen, nämlich so lange, wie es für den Zweck notwendig ist – unter Berücksichtigung der gesetzlichen Aufbewahrungspflichten (Speicherbegrenzung).

Was bedeutet Zweckbindung im Datenschutz?

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Das legt der Datenschutz mit seinem Grundsatz der Zweckbindung eindeutig fest.

Wer also personenbezogene Daten verarbeiten möchte, der sollte sich vorher genau die Frage stellen, welche Daten er erheben möchte/darf und für welchen Zweck er diese nutzen möchte. Dabei definiert der Zweck natürlich auch die personenbezogenen Daten, denn wenn ich die erhobenen Daten nicht unbedingt für diesen Zweck brauche, sollte ich sie auch nicht erfassen (Datenminimierung).

Der Zweck definiert darüber hinaus viele Grundlagen im Datenschutz, da er vorgibt, welche Daten benötigt werden, wie lange diese gespeichert werden dürfen und welche Rechtsgrundlage für die Verarbeitung der Daten besteht.

Checkliste für die Einhaltung der Grundsätze im Datenschutz

Folgende Fragen sollte sich der Verantwortliche vor der Datenerhebung mindestens stellen:

  • Für welchen Zweck sollen die Daten erhoben werden?
  • Ist dieser Zweck eindeutig und klar verständlich?
  • Besteht eine Rechtsgrundlage für die Datenverarbeitung?
  • Welche Daten benötige ich für diesen Zweck?
  • Müssen Daten unter Umständen zur Erfüllung des Zwecks weitergegeben werden? Wenn ja an wen?
  • Hat sich der Zweck unter umständen geändert/könnte er sich unter Umständen ändern? – Wie kann sichergestellt werden, dass der Betroffene über die Zweckänderung informiert wird?
  • Wie lange dürfen die personenbezogenen Daten (unter Berücksichtigung gesetzlicher Aufbewahrungsfristen) aufbewahrt werden? (Speicherbegrenzung)

Zweckbindung für den Betroffenen sichtbar machen

Damit die Verarbeitung von personenbezogenen Daten für den Betroffenen klar verständlich ist, sollten Sie die Zweckbindung und die Datenverarbeitung sichtbar machen. Geben Sie bei der Erhebung der personenbezogenen Daten immer auch den Zweck an. Dies ist nicht optional, sondern verpflichtend im Datenschutz (Informationspflichten für Betroffene).

Keine Nutzung der personenbezogenen Daten für andere Zwecke (Zweckbindung)

Auch wenn es verlockend ist: Die Nutzung von personenbezogenen Daten ist nur für den Zweck erlaubt, für den Sie erfasst wurden. Nutzen Sie personenbezogene Daten also keinesfalls für andere Zwecke und speichern Sie diese (sofern nicht gesetzlich vorgesehen) nicht zur späteren Verwendung.

Sammeln Sie Daten nicht einfach so, ohne Zweckbindung für die spätere Nutzung.

Der Zweck sollte bei den Informationspflichten für Betroffene, dem Verzeichnis von Verarbeitungstätigkeiten (VVT) usw. immer angegeben werden. Definieren Sie den Zweck also genau und möglichst DS-GVO-konform.

Zweckbindung Datenschutz – Achtung bei Verstößen

Wer gegen die Grundsätze im Datenschutz verstößt, muss damit rechnen, dass dies durch die Aufsichtsbehörde unter Umständen mit einer Strafe belegt wird.

Zu den Grundsätzen im Datenschutz zählen:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Eine regelmäßige Überprüfung, ob die Grundsätze in Ihrem Unternehmen eingehalten werden, macht zur Einhaltung des Datenschutzes Sinn. Vor allem vor der Erhebung von personenbezogenen Daten für einen neuen Zweck, sollten Sie diese auf die Einhaltung von Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) hin überprüfen.

Der (externe) Datenschutzbeauftragte sollte in solchen Fällen immer hinzugezogen werden. Er kann eine Beratung und Einschätzung zu unterschiedlichen Szenarien geben.

Datenschutzberater.NRW bietet Ihnen neben diesem Service auch noch weitere Angebote im Bereich Datenschutz an. Nehmen Sie gerne mit uns Kontakt auf und wir erstellen Ihnen ein praxisnahes und individuelles Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten. Wir betreuen Mandanten im Großraum Köln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg und ganz NRW.

Grundsätze im Datenschutz: Was bedeutet Zweckbindung?