de en
Nexia Ebner Stolz

Rechtsberatung

Rechtmäßigkeit und Zweckbindung im Datenschutz

Auch unter Geltung der Datenschutzgrundverordnung dürfen personenbezogene Daten durch Unternehmen genutzt werden - allerdings nur mit entsprechender Rechtsgrundlage und zu dem bei Datenerhebung festgelegten Zweck.

Grund dafür sind die Daten­schutz-Prin­zi­pien der Recht­mä­ß­ig­keit und Zweck­bin­dung. Das bis­her höchste DSGVO-Buß­geld in Deut­sch­land wurde wegen Ver­stö­ßen gegen diese Grund­sätze ver­hängt.

Grund­satz der Recht­mä­ß­ig­keit der Daten­ver­ar­bei­tung

Daten dür­fen nur erho­ben, gespei­chert und genutzt wer­den, wenn die DSGVO oder ein Gesetz dies erlaubt. Es bedarf daher einer Rechts­grund­lage. Die wich­tigs­ten Rechts­grund­la­gen für Unter­neh­men sind:

  • frei­wil­lige und aus­drück­li­che Ein­wil­li­gung der betrof­fe­nen Per­son
  • Erfül­lung eines Ver­trags zwi­schen Unter­neh­men und der betrof­fe­nen Per­son
  • gesetz­li­che Pflicht
  • berech­tig­tes Inter­esse des Unter­neh­mens, das die Daten nutzt.

In Unter­neh­men wer­den Daten zu ver­schie­de­nen Zwe­cken in unter­schied­li­chen Pro­zes­sen ver­ar­bei­tet. Die Gesamt­heit die­ser Pro­zesse sind die Ver­ar­bei­tung­s­tä­tig­kei­ten, die in einem Ver­ar­bei­tungs­ver­zeich­nis zu doku­men­tie­ren sind. Für jede ein­zelne Ver­ar­bei­tung­s­tä­tig­keit sollte geprüft wer­den, ob eine Rechts­grund­lage vor­liegt.

Die Rechts­grund­la­gen set­zen in der Regel vor­aus, dass die Nut­zung der Daten erfor­der­lich ist.

Bei­spiel: Zur Erfül­lung eines Kauf­ver­tra­ges ist eine Lie­fer­an­schrift erfor­der­lich, sofern die Ware ver­sandt wer­den soll. Der Ver­sand von Wer­bung ist dafür dage­gen nicht erfor­der­lich, so dass für Wer­bung die Rechts­grund­lage „Ver­trag“ aus­schei­det.

Die Ver­ar­bei­tung beson­ders sen­si­b­ler Daten wie Gesund­heits­da­ten, poli­ti­sche Mei­nun­gen oder Reli­gi­ons­zu­ge­hö­rig­keit ist nur unter beson­ders stren­gen Vor­ga­ben erlaubt.

Grund­satz der Zweck­bin­dung

Mit dem Prin­zip der Recht­mä­ß­ig­keit ver­wandt ist der Grund­satz der Zweck­bin­dung. Zweck­bin­dung bedeu­tet, dass

  • schon vor der Erhe­bung von Daten die Zwe­cke der Daten­ver­ar­bei­tung fest­ge­legt wer­den müs­sen und
  • spä­ter die Daten nur zu die­sen Zwe­cken genutzt wer­den dür­fen.

In Aus­nah­me­fäl­len ist aber auch eine spä­tere Ände­rung des Ver­ar­bei­tungs­zwecks mög­lich. Die Zwe­cke sind im Ver­zeich­nis der Ver­ar­bei­tung­s­tä­tig­kei­ten zu doku­men­tie­ren und in Daten­schutz­er­klär­un­gen mit­zu­tei­len.

Daten­mi­ni­mie­rung: Zweck­bin­dung schon bei Daten­er­he­bung

Das Prin­zip der Daten­mi­ni­mie­rung ist eine Spiel­art des Grund­sat­zes der Zweck­bin­dung. Dem­nach soll schon das erst­ma­lige Erhe­ben der Daten auf das für die Zwe­cke der Ver­ar­bei­tung not­wen­dige Maß beschränkt wer­den. Dadurch soll ver­hin­dert wer­den, dass Daten auf Vor­rat erho­ben wer­den.

Bei­spiel: Für die Anmel­dung zu einem E-Mail-News­let­ter wird zwar eine E-Mail-Adresse benö­t­igt, nicht aber eine Tele­fon­num­mer. Letz­tere darf daher nicht zwin­gend abge­fragt wer­den.

Spei­cher­be­g­ren­zung: Lösch­kon­zept erfor­der­lich

Das Prin­zip der Spei­cher­be­g­ren­zung kon­k­re­ti­siert das Zweck­bin­dungs-Prin­zip in zeit­li­cher Hin­sicht: Daten dür­fen nur so lange gespei­chert wer­den, wie es für die Zwe­cke, für die die Daten genutzt wer­den, erfor­der­lich ist. Um die­ses Prin­zip ein­hal­ten zu kön­nen, müs­sen Spei­cher­fris­ten ermit­telt, fest­ge­setzt und durch Lösch­kon­zepte umge­setzt wer­den. 

Pri­vacy by default

Der Grund­satz Pri­vacy by default besagt, dass IT-Sys­teme tech­nisch so ent­wi­ckelt wer­den müs­sen, dass das Prin­zip der Daten­mi­ni­mie­rung spä­ter ein­ge­hal­ten wer­den kann. Das IT-Sys­tem muss dem­nach in der Grund­kon­fi­gu­ra­tion so ein­ge­s­tellt sein, dass mög­lichst wenig Daten ver­ar­bei­tet wer­den. Die­ser Grund­satz gilt schon weit vor der ers­ten Daten­ver­ar­bei­tung. Er ist somit schon im Ent­wick­lung­s­pro­zess oder beim Ein­kauf von Soft­ware zur berück­sich­ti­gen.

Bei­spiel: Ver­zicht auf vor­an­ge­k­reuzte Check­bo­xes, Zugriff auf die Handy-Kamera durch eine App erst nach Frei­schal­tung.

Rechtmäßigkeit und Zweckbindung im Datenschutz

Hin­weis

Die Prin­zi­pien der Recht­mä­ß­ig­keit und Zweck­bin­dung gehö­ren zu den wich­tigs­ten Grund­sät­zen des Daten­schutz­rechts. Wäh­rend man­che Rechts­grund­la­gen für die Daten­ver­ar­bei­tung leicht geprüft wer­den kön­nen, erfor­dern andere eine auf­wän­dige Inter­es­sens­ab­wä­gung. In der Pra­xis wird der Zweck­bin­dungs­grund­satz unter­schätzt: Die Ver­ar­bei­tungs­zwe­cke wer­den in Daten­schutz­er­klär­un­gen und Ver­ar­bei­tungs­ver­zeich­nis­sen oft nicht detail­liert genug beschrie­ben.

nach oben