Zweckbestimmung: Wie konkret muss sie ausfallen?
DP+
Bild: iStock.com / useng
Verarbeitungszwecke festlegen
Wer nicht weiß, warum er eigentlich bestimmte personenbezogene Daten verarbeitet, hat ein massives Problem. Und das nicht nur mit der Datenschutzaufsicht, sondern oft auch mit den eigenen Prozessen. Also gilt es, sich im Vorfeld einer Verarbeitung den Zweck bewusst zu machen.
Zweckbestimmung ist Voraussetzung für Verarbeitung
Art. 5 Abs. 1 Buchst. b DSGVO bestimmt, dass Verantwortliche und Auftragsverarbeiter personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erheben dürfen. Das bedeutet konkreter:
- Zum einen ist eine Rechtsgrundlage für die Verarbeitung nötig, z.B. die Erfüllung eines Vertrags oder die Einwilligung der betroffenen Person.
- Zum anderen heißt das, dass Verantwortliche den Zweck der Verarbeitung von personenbezogenen Daten zwingend VOR der ersten Verarbeitung festlegen müssen.
Der Zweck muss darüber hinaus eindeutig sein. Eindeutig bedeutet in diesem Fall: Es muss sich klar und ohne jeden Zweifel feststellen lassen, für welchen Zweck bestimmte Daten verarbeitet werden sollen.
Verstoß gegen Zweckbindung
Die DSGVO sieht bei Verstößen gegen die Grundsätze der Verarbeitung, wozu auch die Zweckbindung gehört, vor, dass die Datenschutzaufsichtsbehörden Geldbußen verhängen können. Sie können bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens betragen. Für Verantwortliche ist es auch aus diesem Grund wich…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?
Verfasst von
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.