In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurde die Zweckbindung dadurch begründet, dass die Nutzung der erlangten Macht ausschließlich auf die erklärten und rechtmäßigen Zwecke beschränkt werden soll.(Siehe 1.6.4 Einschränkung der Macht der Verantwortlichen, die Macht ausschließlich zur Erreichung der erklärten rechtmäßigen Zwecke zu nutzen).
In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:
Definition laut Art. 5 Absatz 1 Buchstabe bDSGVO:
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; […] („Zweckbindung“) |
Es sei darauf hingewiesen, dass die erste Hälfte dieses Satzes bereits unter dem vorhergehenden Grundsatz erörtert wurde.Insbesondere das Erfordernis, dass die Zwecke festgelegtund eindeutig sein müssen, war eine Voraussetzung dafür, dass man von Rechtmäßigkeit sprechen konnte; das Erfordernis „legitim“ bezieht sich auf die Zwecke und wurde daher zusammen mit der Rechtmäßigkeit erörtert.
Was hier ausführlicher erörtert wird, ist der Kern dieses Grundsatzes, nämlich die Beschränkung auf eine mit den Zwecken vereinbare Verarbeitung.Diese Anforderung bezieht sich auf die Durchführung der Verarbeitungstätigkeit, nicht auf die Zwecke.
Nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
Der wesentliche Teil dieses Grundsatzes ist also in dem Halbsatz „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ enthalten.Im Folgenden wird dieser Satz näher analysiert.
Der Satz spricht von der Vereinbarkeit mit den Zwecken.Aus der ersten Hälfte des Satzes geht hervor, dass es sich dabei um die Zwecke handelt, die eindeutig festgelegt wurden[1](siehe Abschnitt 1.1.1.1 oben).Der Teil von Art. 5 Absatz 1 Buchstabe b, der durch […] dargestellt wurde und weiter unten erörtert wird, verwendet ebenfalls den Begriff der „Vereinbarkeit mit den ursprünglichen Zwecken“.Die ursprünglichen Zwecke scheinen also die gleichen zu sein wie die (bei der Konzipierung der Verarbeitungstätigkeit) angegebenen.
Art. 5 Absatz 1 Buchstabe b drückt somit aus, dass die Verarbeitung mit den folgenden Bestimmungen vereinbar sein muss:
- denursprünglichen Ziele selbst oder
- anderen Zwecke, die mit diesen ursprünglichen Zwecken vereinbar sind.
Ersteres ergibt sich aus der Überlegung, dass Zwecke immer mit sich selbst vereinbar sind.
Der Wortlaut von Art. 5 Absatz 1 Buchstabe b spricht von „weiterverarbeitet“.Dies könnte zwar zeitlich verstanden werden, d. h. im Sinne von „nachdem die ursprünglichen Zwecke erreicht wurden“, doch scheint der zeitliche Aspekt für diesen Grundsatz irrelevant zu sein.Stattdessen hat „weiter“ die Bedeutung von „darüber hinaus“ ohne zeitliche Bedeutung und bezieht sich lediglich auf die Zwecke.
Die Situation wird visualisiert in Abbildung 1:
Abbildung 1: Die Verarbeitung ist für die ursprünglichen und vereinbaren Zwecke zulässig.
Es ist wichtig zu wissen, dass für die Weiterverarbeitung zu vereinbaren Zwecken keine zusätzliche Rechtsgrundlage erforderlich ist.Dies wird in Erwägungsgrund 50 der Datenschutz-Grundverordnung (2 .Satz) ausdrücklich festgestellt. Unter Bezugnahme auf die Weiterverarbeitung zu als vereinbar geltenden Zwecken heißt es dort:
n diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. |
Verwendung für unvereinbare Zwecke
Dies wirft die Frage auf, wie es dazu kommen kann, dass personenbezogene Daten für unvereinbare Zwecke verarbeitet werden, und welche Folgen dies hat.
Um dies zu vermeiden, ist es wichtig zu verstehen, wie die Verarbeitung ablaufen kann.Die folgenden drei Beispiele veranschaulichen das Problem ohne Anspruch auf Vollständigkeit:
- Funktionserweiterung: Es ist üblich, dass sich die Verarbeitungstätigkeiten im Laufe der Zeit weiterentwickeln.Es ist auch üblich, dass sie dann neue Funktionen oder „Merkmale“ erhalten, die einer zusätzlichen oder geänderten Verarbeitung entsprechen.In Fällen, in denen der Verantwortliche diese Entwicklung nicht ausreichend kontrolliert, kann die Verarbeitung unbemerkt über den ursprünglichen oder vereinbaren Zweck hinausgehen.
- Fehlende Trennung: Nehmen wir an, ein Verantwortlicher betreibt mehrere unabhängige Verarbeitungstätigkeiten, die unterschiedliche Zwecke verfolgen.Wenn der Verantwortliche keine angemessenen Maßnahmen ergreift, um die verschiedenen Verarbeitungstätigkeiten zu trennen, ist es leicht möglich, dass Daten, die für eine Reihe von Zwecken erhoben wurden, für andere Zwecke verwendet werden.Dies wird veranschaulicht in Abbildung 2.
Abbildung 2: Eine fehlende Trennung führt zur Verwendung von Daten für unvereinbare Zwecke.
- Empfänger, die ihre eigenen Zwecke verfolgen:Empfänger sind Personen oder Organisationen, an die personenbezogene Daten weitergegeben werden (siehe Definition in Art. 4 Absatz 9DSGVO).Empfänger können zum Beispiel sein:
- Mitarbeiter, die auf Anweisung des Verantwortlichen rechtmäßig auf Daten zugreifen, um vereinbare Zwecke der Verarbeitung zu erfüllen, oder
- externe Angreifer, die sich durch eine Sicherheitsverletzung unrechtmäßig Zugang zu den Daten verschaffen[2].
Im letzteren Fall ist es offensichtlich, dass der Empfänger die personenbezogenen Daten für andere Zwecke verwendet.Es sind genau diese Zwecke, die den Angriff wahrscheinlich überhaupt erst motiviert haben.Aber auch Arbeitnehmer können andere Interessen an den Daten haben als die Verfolgung der angegebenen Zwecke ihres Arbeitgebers.Ein Paradebeispiel dafür ist, wenn der Mitarbeiter die betroffene Person bereits kennt und Informationen erfährt, die ihm sonst nicht zugänglich wären.
Mit dem aus diesen Beispielen gewonnenen Verständnis, wie Daten für andere Zwecke verwendet werden können, muss die Frage nach den möglichen Folgen gestellt werden.
In allen Fällen werden die Grundsätze der Rechtmäßigkeit und Legitimität wahrscheinlich verletzt.Nach diesen Grundsätzen ist die Verarbeitung verboten, es sei denn, sie ist durch eine nachgewiesene Rechtmäßigkeit und Legitimität der Zwecke gerechtfertigt.Dies ist natürlich nicht der Fall, wenn die Verarbeitung zu unvereinbaren und damit ungerechtfertigten Zwecken erfolgt.
Die Verwendung von Daten außerhalb und über die gerechtfertigten Zwecke hinaus ermöglicht es den Verantwortlichen auch, Macht zu erlangen.Dies kann beispielsweise der Fall sein, wenn Verantwortliche die Datensätze von Personen über verschiedene Verarbeitungstätigkeiten hinweg kombinieren, Daten aufbewahren und akkumulieren, wenn sie für die Zwecke nicht mehr erforderlich sind, und möglicherweise sogar Daten aus anderen Quellen erwerben, um mehr Macht über die betroffenen Personen zu erlangen.Eine solche angehäufte Macht übersteigt offensichtlich den Machtgewinn, der durch eine nachgewiesene Rechtmäßigkeit und Legitimität der ursprünglichen Zwecke gerechtfertigt war.
Es liegt auf der Hand, dass über die bloße Verletzung von Datenschutzgrundsätzen hinaus je nach den Zwecken, für die die Daten (miss)verwendet werden, den betroffenen Personen auch materieller oder immaterieller Schaden entstehen kann. So kann beispielsweise die Kenntnis bestimmter Gesundheitsdaten Beziehungen erheblich beeinträchtigen, wenn sie für Bekannte zugänglich sind, oder Beschäftigungsmöglichkeiten verhindern, wenn sie für potenzielle Arbeitgeber zugänglich sind.Wenn sie zu kriminellen Zwecken verwendet werden, können einige Arten von Daten die Grundlage für Erpressung sein.
Wann sind die Zwecke vereinbar?
Im Folgenden wird erörtert, wie festgestellt werden kann, ob potenzielle zusätzliche Zwecke als vereinbar angesehen werden.Dies stützt sich in erster Linie auf Art. 6 Absatz 4DSGVO.
In Fällen, in denen als Rechtsgrundlage für die Verarbeitung eine Einwilligung (siehe Art. 6 Absatz 1 Buchstabe a DSGVO) für die Verarbeitung gewählt wurde, gilt eine weitere Verarbeitung für andere Zwecke als die zuvor genehmigten, vereinbaren Zwecke (siehe unten) als unvereinbar[3].Dies liegt daran, dass die Einwilligung immer nur für bestimmte Zwecke[4] gilt.Eine „Ausweitung“ der Verarbeitungszwecke über die angegebenen Zwecke hinaus, in die eine betroffene Person eingewilligt hat, wäre eindeutig unfair und intransparent.
Art. 6 Absatz 4 sieht dann die folgenden Kriterien vor, die von den Verantwortlichen anzuwenden sind, um festzustellen, ob ein zusätzlicher Zweck vereinbar ist (im Vergleich zur DSGVO leicht umformuliert):
|
Weitere Hinweise und Beispiele für die Anwendung dieser Kriterien sind bei der Artikel-29-Datenschutzgruppe erhältlich[5].Diese Stellungnahme bezieht sich zwar auf die Datenschutzrichtlinie (d. h. den Vorläufer der DSGVO), aber viele Aspekte sind auch heute noch gültig.
Um die Feststellung zu vereinfachen, ob zusätzliche Zwecke vereinbar sind, werden in der Datenschutz-Grundverordnung einige der häufigsten zusätzlichen Zwecke, die bei der Weiterverarbeitung verfolgt werden, vorab genehmigt.Art. 5 Absatz 1 Buchstabe b umfasst die folgenden Zwecke:
[Die Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken. |
Der erwähnte Art. 89 Absatz 1 verlangt das Vorhandensein zusätzlicher Garantien.
Hier schreibt der erwähnte Art. 89 DSGVO vor, dass die Weiterverarbeitung zu diesen vorab genehmigten Zwecken nur zulässig ist, wenn angemessene Garantien vorhanden sind.
Quellenangaben
1Dies sind auch die Zwecke, die den betroffenen Personen gemäß Art. 13 und 14 DSGVO mitgeteilt werden. ↑
2Die Verantwortlichen sind nicht für die Handlungen von Angreifern verantwortlich, sondern lediglich dafür, Angriffe durch angemessene Sicherheitsmaßnahmen zu verhindern. ↑
3Beachten Sie, dass Art. 6 Absatz 4DSGVO über vereinbare Zwecke ausdrücklich ausschließt, dass er anwendbar ist, wenn die Rechtsgrundlage die Einwilligung ist. ↑
4Insbesondere werden diese Zwecke in dem Dialog angegeben, in dem um Einwilligung gebeten wird, und die Angabe ist ein wichtiger Aspekt der Einwilligung in Kenntnis der Sachlage. ↑
5rtikel-29-Datenschutzgruppe, 00569/13/EN, WP203, Stellungnahme 03/2013 zur Zweckbindung, angenommen am 2. April 2013, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf (zuletzt besucht am 28.05.2020). ↑