Zweckbindung DSGVO: Art. 5(1)(b) erklärt

Der Grundsatz der Zweckbindung nach Art. 5(1)(b) DSGVO ist eines der fundamentalsten Datenschutzprinzipien: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Verstöße gegen die Zweckbindung DSGVO führen regelmäßig zu Bußgeldern im Millionenbereich – die CNIL bußte Google 2019 mit 50 Millionen Euro, unter anderem weil Nutzerdaten für personalisierte Werbung ohne hinreichend bestimmten Zweck verarbeitet wurden.

Dieser Artikel erläutert den rechtlichen Rahmen der Zweckbindung DSGVO, die Vereinbarkeitsprüfung bei Zweckänderungen und die wichtigsten Enforcement-Entscheidungen aus dem DACH-Raum und der EU.

Key Takeaways

• Art. 5(1)(b) DSGVO verlangt, dass der Verarbeitungszweck vor der Datenerhebung festgelegt, dokumentiert und den betroffenen Personen mitgeteilt wird.
• Eine Weiterverarbeitung zu einem anderen Zweck ist nur zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist (Vereinbarkeitsprüfung nach Art. 6(4) DSGVO) oder eine gesonderte Rechtsgrundlage besteht.
• Die Zweckbindung steht in engem Zusammenhang mit der Einwilligung und der Datenschutzerklärung – beide müssen die konkreten Zwecke benennen.
• Art. 89(1) DSGVO privilegiert die Weiterverarbeitung für Archiv-, Forschungs- und Statistikzwecke, erfordert aber geeignete Garantien.

Was Art. 5(1)(b) DSGVO verlangt

Der Wortlaut des Art. 5(1)(b) DSGVO lautet:

“Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken.”

Die drei Anforderungen an den Verarbeitungszweck im Detail:

Festgelegt: Der Zweck muss vor der Datenerhebung konkret bestimmt sein. Vage Formulierungen wie “zur Verbesserung unserer Dienste” oder “für interne Zwecke” genügen nicht. Das BayLDA hat in mehreren Prüfverfahren Unternehmen beanstandet, deren Verarbeitungsverzeichnis nur pauschale Zweckangaben enthielt.

Eindeutig: Der Zweck muss so formuliert sein, dass er von betroffenen Personen und Aufsichtsbehörden zweifelsfrei verstanden werden kann. Die DSGVO-Anforderungen verlangen eine klare, verständliche Sprache.

Legitim: Der Zweck muss rechtmäßig sein. Ein Zweck, der gegen geltendes Recht verstößt, ist auch dann unzulässig, wenn die betroffene Person eingewilligt hat.

Die Vereinbarkeitsprüfung nach Art. 6(4) DSGVO

Nicht jede Zweckänderung ist verboten. Art. 6(4) DSGVO stellt Kriterien auf, anhand derer die Vereinbarkeit eines neuen Zwecks mit dem ursprünglichen beurteilt werden kann:

• Verbindung zwischen dem ursprünglichen und dem neuen Zweck
• Kontext der Datenerhebung und die vernünftigen Erwartungen der betroffenen Personen
• Art der personenbezogenen Daten (besondere Kategorien erfordern strengere Prüfung)
• Folgen der Weiterverarbeitung für die betroffenen Personen
• Garantien, einschließlich Verschlüsselung und Pseudonymisierung

Der EDPB hat in seiner Stellungnahme 03/2013 (noch unter der Artikel-29-Datenschutzgruppe) diese Kriterien ausführlich erläutert. Die Stellungnahme bleibt unter der DSGVO relevant.

Praxisbeispiel: Ein Versicherungsunternehmen erhebt Gesundheitsdaten zum Zweck der Vertragsabwicklung. Die Nutzung derselben Daten für die Entwicklung neuer Versicherungsprodukte stellt einen neuen Zweck dar. Die Vereinbarkeitsprüfung nach Art. 6(4) würde hier voraussichtlich negativ ausfallen: Die Daten sind besonders sensibel (Art. 9 DSGVO), und die betroffenen Personen erwarten keine Produktentwicklung auf Basis ihrer Gesundheitsdaten. Eine gesonderte Rechtsgrundlage – typischerweise eine ausdrückliche Einwilligung nach Art. 9(2)(a) DSGVO – wäre erforderlich.

Durchsetzung der Zweckbindung DSGVO

Europäische Leitentscheidungen

Google (CNIL, 2019): Die CNIL verhängte 50 Millionen Euro Bußgeld. Ein zentraler Vorwurf: Die Zwecke der Datenverarbeitung für personalisierte Werbung waren zu vage definiert und über mehrere Dokumente verstreut, sodass Nutzer den tatsächlichen Verarbeitungszweck nicht erkennen konnten. Dies verletzte sowohl die Zweckbindung als auch die Transparenzpflichten.

H&M (HmbBfDI, 2020): Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte 35,3 Millionen Euro Bußgeld. H&M hatte systematisch private Informationen über Mitarbeiter gesammelt – Gesundheitsdaten, familiäre Probleme, religiöse Überzeugungen – und diese für Personalentscheidungen genutzt. Die Daten wurden für einen Zweck erhoben (informelle Mitarbeitergespräche) und für einen völlig anderen Zweck verwendet (Leistungsbeurteilung und Kündigung). Ein klarer Verstoß gegen die Zweckbindung.

Clearview AI (Garante, 2022): Die italienische Aufsichtsbehörde verhängte 20 Millionen Euro gegen Clearview AI. Das Unternehmen sammelte Fotos aus sozialen Netzwerken – die von den Nutzern zu Kommunikationszwecken hochgeladen worden waren – und nutzte sie für eine biometrische Datenbank zur Gesichtserkennung. Die Zweckänderung war mit dem ursprünglichen Erhebungszweck offensichtlich unvereinbar.

Deutsche Entscheidungen

Notebooksbilliger.de (LfDI Niedersachsen, 2021): 10,4 Millionen Euro Bußgeld. Die Videoüberwachung am Arbeitsplatz war ursprünglich zur Diebstahlprävention eingerichtet worden, wurde aber zur allgemeinen Leistungskontrolle der Mitarbeiter genutzt. Die Zweckänderung war nicht dokumentiert und den Mitarbeitern nicht mitgeteilt worden.

Deutsche Wohnen (BlnBDI, 2019/2022): Der Berliner Beauftragte für Datenschutz verhängte zunächst 14,5 Millionen Euro (später vom Kammergericht auf eine geringere Summe reduziert) wegen der Speicherung von Mieterdaten ohne dokumentierten Zweck und ohne Löschkonzept. Der Fall illustriert die enge Verbindung zwischen Zweckbindung und Speicherbegrenzung.

Zweckbindung in der Praxis umsetzen

Verarbeitungszwecke dokumentieren: Im Verzeichnis von Verarbeitungstätigkeiten muss jeder Zweck konkret und verständlich beschrieben sein. “Kundenverwaltung” reicht nicht – korrekt wäre: “Verarbeitung von Bestandsdaten zur Durchführung des Kaufvertrags, Rechnungsstellung und Gewährleistungsabwicklung.”

Informationspflichten erfüllen: Die Datenschutzerklärung muss die Zwecke so darstellen, dass betroffene Personen nachvollziehen können, welche Daten zu welchem Zweck verarbeitet werden. Art. 13(1)© DSGVO verlangt die Angabe der “Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen.”

Zweckänderungen formalisieren: Bevor Daten für einen neuen Zweck verwendet werden, muss die Vereinbarkeitsprüfung nach Art. 6(4) DSGVO durchgeführt und dokumentiert werden. Der Datenschutzbeauftragte sollte in diese Prüfung eingebunden werden.

Technische Zugriffsbeschränkungen: Die Zweckbindung lässt sich technisch durch rollenbasierte Zugriffskonzepte, Datenbanksegmentierung und Zweckcodierung in IT-Systemen unterstützen. Mitarbeiter sollten nur auf die Daten zugreifen können, die sie für ihren konkreten Zweck benötigen.

FAQ

Was ist der Unterschied zwischen Zweckbindung und Datenminimierung?

Die Zweckbindung (Art. 5(1)(b) DSGVO) regelt, wofür Daten verwendet werden dürfen. Die Datenminimierung (Art. 5(1)© DSGVO) regelt, wie viele Daten für diesen Zweck erhoben werden dürfen. Beide Grundsätze wirken zusammen: Zunächst wird der Zweck festgelegt, dann wird bestimmt, welche Daten für diesen Zweck erforderlich sind.

Dürfen Kundendaten aus einem Kaufvertrag für Werbung genutzt werden?

Nicht ohne Weiteres. Der Kaufvertrag (Art. 6(1)(b) DSGVO) legitimiert die Verarbeitung für die Vertragsabwicklung. Werbung ist ein anderer Zweck. Die Vereinbarkeitsprüfung nach Art. 6(4) DSGVO kann bei Bestandskundenwerbung positiv ausfallen, wenn die Werbung eng mit dem gekauften Produkt zusammenhängt. Bei Neuproduktwerbung oder Drittanbieterwerbung ist regelmäßig eine Einwilligung erforderlich.

Gilt die Ausnahme für Forschungszwecke auch für kommerzielle Marktforschung?

Art. 89(1) DSGVO privilegiert die Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke und Statistikzwecke. Kommerzielle Marktforschung fällt nach herrschender Meinung und der Position des EDPB nicht unter diese Ausnahme. Für Marktforschung auf Basis bestehender Kundendaten ist eine Vereinbarkeitsprüfung nach Art. 6(4) oder eine gesonderte Rechtsgrundlage erforderlich.

Muss der Zweck in der Einwilligung angegeben werden?

Ja. Art. 4 Nr. 11 DSGVO verlangt eine Einwilligung “für den bestimmten Fall”. Die betroffene Person muss genau wissen, zu welchem Zweck ihre Daten verarbeitet werden. Eine Einwilligung ohne konkrete Zweckangabe ist unwirksam. Bei mehreren Zwecken muss für jeden einzelnen Zweck eine gesonderte Einwilligung eingeholt werden (Granularitätsanforderung).