Personenbezogene Daten dürfen gemäß den Vorgaben der DSGVO unter bestimmten Voraussetzungen verarbeitet werden. Eine dieser Voraussetzungen ist die sogenannte „Zweckbindung“.
Was bedeutet „Zweckbindung“ und wo ist diese gesetzlich geregelt?
Die Zweckbindung gehört zu den Grundsätzen der DSGVO. Gesetzlich geregelt ist dieser Grundsatz in Art. 5 Abs. 1 lit. b) DSGVO. Demnach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Der Zweck muss, ähnlich wie die Festlegung einer geeigneten Rechtsgrundlage, vor der Datenverarbeitung hinreichend bestimmt sein, da dieser Bestandteil der Informations- und Dokumentationspflichten ist und im Verzeichnis für Verarbeitungstätigkeiten nach Art 30. Abs. 1 S. 2 lit. b) DSGVO aufzunehmen ist.
Möchtest Du neue Mitglieder*innen bei sich im Verein aufnehmen (Zweckbezeichnung z.B. „Bearbeitung Mitgliedschaftsantrag“), so benötigst Du von den betroffenen Personen die notwendigen personenbezogene Daten (z.B. Name, Adresse, Geburtsdatum, E-Mail-Adresse), um die Aufnahme ordnungsgemäß zu bearbeiten. Der Zweck der Datenverarbeitung ist also die Aufnahme eines neuen Vereinsmitglieds. Exkurs: Die geeignete Rechtsgrundlage hierzu ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO zu entnehmen.
Besteht die Absicht die personenbezogenen Daten zu einem anderen als den ursprünglichen genannten Zweck zu verarbeiten, muss dieser mit dem ursprünglichen Zweck kompatibel sein und die Umstände der Verarbeitung berücksichtigen (vgl. Art. 6 Abs. 4 DSGVO). Bei einer Weiterverarbeitung über den ursprünglichen Zweck hinaus, sind die betroffenen Personen ggfs. zu informieren, da sie von ihrem unter Umständen bestehenden Widerspruchsrecht Gebrauch machen könnten.
Übrigens gilt: Sofern keine Aufbewahrungsfrist vorliegt, müssen personenbezogene Daten nach Zweckerreichung gelöscht werden.
Wann wird die Zweckbindung missachtet?
Ein bekanntes Beispiel aus den letzten Wochen und Monaten sind die oftmals erforderlichen „Kontaktnachverfolgungslisten“, in die sich alle Gäste bei einem Besuch eines Restaurants eintragen mussten. Dabei wurden personenbezogene Daten wie Name, Adresse und Telefonnummer erhoben. Der Zweck der Datenverarbeitung lag einzig und allein in der Kontaktnachverfolgung durch die Behörden, damit bei einer möglichen Risikobegegnung potenzielle Infektionsketten nachvollzogen und Gäste informiert werden konnten.
Dies bedeutet, dass die in diesen Listen erhobenen personenbezogenen Daten bspw. nicht für Werbezwecke des Gastronomiebetriebes genutzt werden durften. Auch wäre es unzulässig gewesen, die Daten der Gäste an einen Adresshändler zu verkaufen, weil man damit eine Nebeneinkunft hätte erzielen können.
Zusammenfassung
Grundsätzlich sollte der Verantwortliche darauf achten, dass die erhobenen personenbezogenen Daten stets zweckgebunden sind und auch nur zu dem benannten Zweck verarbeitet werden. Durch den Verantwortlichen ist sicherzustellen, dass bei der Datenerhebung eine Zweckbeschreibung in den Datenschutzinformationen vorhanden ist, damit die betroffenen Personen transparent informiert werden, warum und zu welchen Zwecken die personenbezogenen Daten erhoben und verarbeitet werden.
Die Einhaltung des Zweckbindungsgrundsatzes hat der Verantwortliche unbedingt zu gewährleisten. Denn bei der Missachtung können Bußgelder drohen.