Mit jeder Datenverarbeitung werden bestimmte Ziele bzw. Zwecke verfolgt. Im Unternehmensalltag können sich durchaus Situationen ergeben, in denen sich erst nachträglich ein weiterer Zweck für die Datenverarbeitung ergibt. Derartige Konstellationen werden im datenschutzrechtlichen Sinne als Zweckänderung bezeichnet.
Festlegung der Zwecke
Voraussetzung für eine Zweckänderung ist, dass die Daten für zuvor festgelegte Zwecke erhoben wurden. Der Grundsatz der Zweckbindung findet sich in Art. 5 Abs. 1 lit. b DSGVO, wonach personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Aus Unternehmenssicht ist dies insbesondere in zweierlei Hinsicht relevant:
- Im Rahmen der Informationspflichten gem. Art. 13 Abs. 1 DSGVO sowie gem. Art. 14 Abs. 1 DSGVO, im Rahmen derer die Zwecke, für die personenbezogene Daten verarbeitet werden, der betroffenen Person mitzuteilen sind.
- Im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 S. 2 lit. b DSGVO, wonach die Zwecke der Datenverarbeitung im Verfahrensverzeichnis entsprechend zu dokumentieren sind.
Zweckänderung = Weiterverarbeitung
Eine Zweckänderung liegt grundsätzlich dann vor, wenn nach der Erhebung bzw. Verarbeitung personenbezogener Daten weitere Zwecke verfolgt werden, welche zum Zeitpunkt der Erhebung noch nicht festgelegt waren. Die Daten werden demnach zu anderen als den zuvor festgelegten Zwecken weiterverarbeitet. In Art. 6 Abs. 4 lit. a ‑ e der DSGVO werden die Anforderungen an den sogenannten Kompatibilitätstest statuiert, welcher im Rahmen der Weiterverarbeitung bzw. vor dieser durchgeführt werden muss. Eine Zweckänderung ist demnach grundsätzlich möglich – gleichwohl wirft die Norm, insbesondere in der Unternehmenspraxis, grundlegende Fragen auf. Grob skizziert finden sich hierzu zwei Ansichten:
Zum einen wird die Ansicht vertreten, dass lediglich das Vorliegen eines Kompatibilitätstests erforderlich sei, da die Norm einen eigenen Erlaubnisgrund für zweckändernde (Weiter-)Verarbeitungen darstelle. Als Bestätigung wird u. a. Erwägungsgrund 50 S. 2 der DSGVO herangezogen, wonach bei Vorliegen der Zweckkompatibilität keine andere gesonderte Rechtsgrundlage erforderlich sei als diejenige für die Erhebung personenbezogener Daten. Eine kumulative Prüfung von Art. 6 Abs. 1 und 4 DSGVO sei demnach nicht erforderlich.
Zum anderen wird die Ansicht vertreten, dass die Weiterverarbeitung als eine Verarbeitung anzusehen sei, die zusätzlich die Anforderungen aus Art. 6 Abs. 1 DSGVO erfüllen muss. Als Begründung wird hier u. a. die Aussage aus Erwägungsgrund 50 S. 8 herangezogen, wonach auch bei einer Zweckänderung die Grundsätze der DSGVO einzuhalten sind. Zu diesen zählt insbesondere eben auch die Rechtmäßigkeit der Verarbeitung, welche jedoch nur bei Vorliegen einer entsprechenden Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO zu bejahen ist. Eine kumulative Prüfung von Art. 6 Abs. 1 und 4 DSGVO sei demnach erforderlich.
Auswirkungen auf die Unternehmenspraxis
Die obige Skizzierung der Zweckänderung zeigt, dass eine Aufweichung der Zweckbindung zwar grundsätzlich möglich, dennoch mitunter kritisch betrachtet wird. Aufgrund der derzeit noch mangelnden Rechtssicherheit empfiehlt es sich, dass Unternehmen dem Zweck der Datenverarbeitung – schon vor Erhebung der Daten – ausreichend Aufmerksamkeit schenken und den wirtschaftlichen Nutzen einer solch nachträglichen Zweckänderung vorab sorgfältig prüfen.