Festlegung der Zwecke
Home » DSGVO » Wichtigste Konzepte » Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen » Anwendung der Datenschutzgrundsätze in den verschiedenen Phasen der Verarbeitung » Festlegung der Zwecke

Eine Verarbeitungstätigkeit wird durch die Festlegung ihrer Zwecke konzipiert. Damit wird das Ziel festgelegt, das mit der Verarbeitungstätigkeit erreicht werden soll.Diese Spezifizierung des „Was“ ist noch relativ abstrakt und enthält keine Angaben darüber, „wie“ dieses Ziel erreicht wird.Das „Wie“ ist Gegenstand der Festlegung der Mittel.

Die Zwecke werden in der Regel von der obersten Führungsebene festgelegt, die eine Organisation (oder Organisationseinheit) vertritt und für sie verantwortlich ist.Die Zwecke werden in der Regel in der gleichen Sprache ausgedrückt, in der auch der Auftrag oder das Mandat der Organisation ausgedrückt wird.Das heißt, sie stammen aus der „Anwendungsdomäne“ und haben keinen technischen Inhalt.Eine Zweckbestimmung reicht nicht aus, um technische Entscheidungen zu treffen, z. B. welche Ressourcen (d. h. Mittel) zur Erreichung der Ziele benötigt werden, welche Daten gesammelt werden müssen usw.Vielmehr kann eine Zweckbestimmung auf viele verschiedene Arten umgesetzt werden.Das Ziel der Festlegung der Mittel ist es dann, die aus Sicht des Datenschutzes beste Umsetzung zu finden.

Gemäß Art. 5 Absatz 1 Buchstabe bDSGVO müssen die Zwecke „festgelegt [und] eindeutig“ sein.Das bedeutet, dass sie in einer präzisen schriftlichen Form festgehalten werden müssen.

Die Festlegung der Verarbeitungszwecke ist in der Regel ein iterativer Prozess.Ausgehend von dem/den Hauptzweck(en) wird die Spezifikation kontinuierlich vervollständigt und verfeinert, bis sie zu einer endgültigen Fassung führt.Jede Version muss unter Berücksichtigung der Datenschutzgrundsätze, der berechtigten Erwartungen der betroffenen Personen und des Gesamtrisikos, das die Verarbeitung wahrscheinlich darstellt, bewertet werden.Auf der Grundlage dieser Bewertung werden Verbesserungen an der Zweckbestimmung vorgenommen, die die Einhaltung der Grundsätze verbessern, den Erwartungen der betroffenen Personen besser gerecht werden und die Notwendigkeit/Nutzen der Verarbeitung mit dem Risiko, das sie für die betroffenen Personen darstellt, in Einklang bringen.Die Iterationen können als ein Prozess gesehen werden, bei dem es darum geht, die minimalen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen zu finden und gleichzeitig die wesentlichen Ziele der Organisation zu erreichen.In der Regel wird die Zweckbestimmung bei jeder Integration gezielter, enger und spezifischer und hat geringere Auswirkungen auf die betroffenen Personen.

Dieser Prozess wird in folgender Abbildung 6 dargestellt.

Abbildung 6: Der Prozess der Zweckbestimmung.

Datenschutz durch Technikgestaltungwendet die Datenschutzgrundsätze auf jeden Schritt der Festlegung an.Während einige der Datenschutzgrundsätze besser auf die Mittel der Verarbeitung anwendbar sind, gelten Legitimität, Rechtmäßigkeit und Verarbeitung nach Treu und Glaubendirekt für die Zwecke.Indirekt ist auch die Datenminimierung in dem Sinne anwendbar, dass die Auswirkungen der Verarbeitung auf die betroffenen Personen minimiert werden sollten.Dies führt dann typischerweise zu einer Minimierung der Daten, die über betroffene Personen erhoben werden.Zu beachten ist auch, dass eine Zweckbindung bei der Festlegung der Mittel nur dann sinnvoll ist, wenn die Zwecke eng festgelegt werden; nur dann kann genau bestimmt werden, ob Daten oder Verarbeitungsschritte für die Zwecke tatsächlich erforderlich sind.Die wichtigsten Grundsätze werden im Folgenden näher erläutert.

Rechtmäßigkeit (siehe „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ im Abschnitt „Grundsätze“ in Teil II dieser Leitlinien):

Gemäß Art. 6 DSGVO ist die Verarbeitung rechtmäßig, wenn eine der in Absatz 1 beschriebenen Rechtsgrundlagen zutrifft.Art. 9 DSGVO enthält zusätzliche Anforderungen für besondere Datenkategorien.Um den Grundsatz der Rechtmäßigkeit einzuhalten, muss der Verantwortliche für jeden einzelnen Zweck, für den er Daten verarbeitet, eine Rechtsgrundlage aus Art. 6 und ggf. für jeden einzelnen Zweck, der mit der Verarbeitungstätigkeit verfolgt wird, aus Art. 9 DSGVO auswählen.

Es ist üblich, dass eine Verarbeitungstätigkeit eine Vielzahl von Zwecken verfolgt, die sich auf unterschiedliche Rechtsgrundlagen stützen.Eine Veranschaulichung dieses Sachverhalts am Beispiel des Online-Shoppings wurde von Brügger et. al. beschrieben[1].

Legitim(siehe „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ im Abschnitt „Grundsätze“ in Teil II dieser Leitlinien):

Während sich die Rechtmäßigkeit Art. 6 und 9 der Datenschutz-Grundverordnung betrifft, verlangt die Legitimität, dass das Gesetz im weitesten Sinne befolgt wird.Sie ist also nicht auf die DSGVO beschränkt, sondern erstreckt sich auf jedes andere geltende Recht.Gesetze sollten nicht nur nach dem Buchstaben, sondern auch nach dem Geist befolgt werden.In vielen Situationen kann die Legitimität auch so interpretiert werden, dass sie auch nicht zwingendes Recht wie z. B. allgemein verwendete ethische Anforderungen und Berufsstandards einschließt.Sie kann sich sogar auf den Schutz der Werte der Gesellschaft als Ganzes erstrecken.

Die Beurteilung der Legitimität der Zwecke hängt weitgehend von der Art, dem Umfang und den Umständen der Verarbeitung ab.In einigen Fällen kann die Einhaltung der Legitimität formale Schritte erfordern.Dies ist z. B. typisch für Forschungseinrichtungen, in denen eine Verarbeitungstätigkeit vorsorglich von einer Forschungsethikkommission genehmigt werden muss.

Verarbeitung nach Treu und Glauben(siehe „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ im Abschnitt „Grundsätze“ in Teil II dieser Leitlinien):

Ein Schlüsselelement der Verarbeitung nach Treu und Glauben besteht darin, die angemessenen Erwartungen und Situationen der betroffenen Personen zu berücksichtigen.Die Interessen des Verantwortlichen, wie sie in der Zweckbestimmung zum Ausdruck kommen, werden dann mit denen der betroffenen Personen abgewogen.Die Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen sollten mit einem entsprechenden Maß an Notwendigkeit und potenziellen Vorteilen für den Verantwortlichen begründet werden.

Die Beurteilung der Angemessenheit der Zwecke erfordert in der Regel eine Bewertung der Erwartungen der betroffenen Personen.Es gibt verschiedene Möglichkeiten, dies zu tun, vom bloßen „Versetzen in die Lage der betroffenen Personen“ bis hin zur Einbeziehung von Verbraucherorganisationen oder der Durchführung von Umfragen.

Um die Erwartungen der betroffenen Personen zu bewerten, ist es oft sinnvoll, verschiedene Personengruppen zu unterscheiden, die unterschiedliche Arten und Situationen von betroffenen Personen repräsentieren.Dazu sollten auch besonders schutzbedürftige betroffene Personen (wie Minderjährige oder Patienten) oder Gruppen von betroffenen Personen gehören, die von der Verarbeitung wesentlich stärker betroffen sein können als der Durchschnitt.

Bei der Abwägung müssen die Risiken berücksichtigt werden, die die Verarbeitungstätigkeit für die Rechte und Freiheiten der betroffenen Personen darstellt.Eine schnelle Gesamtbewertung des Risikos liefern die 9 Kriterien[2] der Artikel-29-Datenschutzgruppe, anhand derer festgestellt werden kann, ob eine Verarbeitungstätigkeit ein hohes Risiko darstellt (und daher eine Datenschutz-Folgenabschätzung erforderlich ist).Dies sollte durch eine Analyse ergänzt werden, wie besondere Kategorien von betroffenen Personen und schutzbedürftige Personen von der geplanten Verarbeitung betroffen sind.

Beachten Sie, dass eine Abwägungsprüfung förmlich erforderlich ist, wenn die Rechtsgrundlage des berechtigten Interesses (siehe Art. 6 Absatz 1 Buchstabe fDSGVO) für einen bestimmten Zweck gewählt wurde.Leitlinien zur Durchführung einer Abwägungsprüfung in diesem Zusammenhang wurden von der Artikel-29-Datenschutzgruppe bereitgestellt[3](siehe „Berechtigtes Interesse und Abwägungsprüfung“, Teil II Abschnitt „Wichtigste Instrumente und Maßnahmen“). In einem allgemeineren Rahmen hat der EDSB Leitlinien zur Verhältnismäßigkeit[4] vorgelegt.

 

Quellenangaben

1Bud P. Bruegger, Eva Schlehahn und Harald Zwingelberg, Data Protection Aspects of Online Shopping – A Use Case, W3C Data Privacy Vocabularies and Controls Community Group, 12. Dezember 2019, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (zuletzt besucht am 15.7.2021).

2Siehe Seiten 9–11 in Artikel-29-Datenschutzgruppe, WP 248rev.01, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, obeine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risikomit sich bringt“, Angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017, https://ec.europa.eu/newsroom/article29/items/611236 (zuletzt besucht am 15.7.2021).

3In Artikel-29-Datenschutzgruppe, WP217, Stellungnahme 06/2014 zum Begriff der berechtigten Interessen des Verantwortlichen nach Artikel 7 der Richtlinie 95/46/EG, angenommen am 9. April 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (zuletzt besucht am 15.7.2021).

4Europäischer Datenschutzbeauftragter, Leitlinien des EDSB zur Bewertung der Verhältnismäßigkeit von Maßnahmen, die die Grundrechte auf Privatsphäre und auf den Schutz personenbezogener Daten einschränken, 19. Dezember 2019, https://edps.europa.eu/data-protection/our-work/publications/guidelines/assessing-proportionality-measures-limit_en (zuletzt besucht am 15.7.2021).

 

Skip to content