EU-Datenschutz-Grundverordnung: Die Bedeutung der Zweckbindung

Die Verarbeitung personenbezogener Daten unterliegt der Zweckbindung. Die Verhandlungen zur EU-Datenschutz-Grundverordnung sehen Änderungen vor.

Dieser Artikel behandelt

Datenschutz

Ein grundlegendes Prinzip im deutschen Datenschutzrecht ist die Zweckbindung. Sie besagt, dass Daten nur für den Zweck verarbeitet werden dürfen, für den sie erhoben worden sind. Eine Verarbeitung der Daten zu einem anderen Zweck setzt die Einwilligung des Betroffenen oder eine (andere) gesetzliche Grundlage voraus.

Viele technische Entwicklungen scheinen Konfliktpotenzial in sich zu tragen, wenn es um die Einhaltung der Zweckbindung geht. Gerade Big Data als Sammlung und Analyse großer Datenmengen aus zahlreichen Datenquellen ist auf den ersten Blick mit einer Zweckbindung kaum vereinbar. Auch die umfangreichen Nutzerprofile, die zum Beispiel soziale Netzwerke generieren, sehen geradezu nach dem Gegenteil einer Zweckbindung aus. Kein Wunder also, dass die deutschen Aufsichtsbehörden für den Datenschutz regelmäßig Kritik an solch umfassenden Nutzerprofilen üben, wenn die Betroffenen nicht explizit und informiert eingewilligt haben.

Die gegenwärtig in Abstimmung befindliche EU-Datenschutz-Grundverordnung (EU-DSGVO oder DS-GVO-EU) sieht allerdings je nach Entwurf eine Änderung der Zweckbindung vor. Im Vergleich zum deutschen Bundesdatenschutzgesetz (BDSG) kann man das durchaus eine Aufweichung nennen. Zweckänderungen für personenbezogene Daten sollen leichter möglich werden. Manche Unternehmen vermuten, dass ihnen nun eine Art Freibrief ausgestellt wird, dass die Daten der Interessenten und Kunden bald zu nahezu jedem Zweck genutzt, verarbeitet und gespeichert werden dürfen. Dem ist aber aus mehreren Gründen nicht so.

Zweckbindung ist Gegenstand des Trilogs

Zuerst bleibt festzuhalten, dass die Positionen zur Zweckbindung personenbezogener Daten innerhalb der Trilog-Parteien EU-Parlament, EU-Kommission und EU-Rat sehr unterschiedlich sind. Eine der Positionen ist, dass die Zweckbindung im Sinne des Bundesdatenschutzgesetzes erhalten bleibt. Der EU-Rat hat im Gegensatz dazu den Artikel 6.4 der EU-DSGVO so gefasst, dass „die Weiterverarbeitung durch denselben für die Verarbeitung Verantwortlichen für nicht konforme Zwecke aufgrund der berechtigten Interessen dieses für die Verarbeitung Verantwortlichen oder eines Dritten ist rechtmäßig, wenn diese Interessen die Interessen der betroffenen Person überwiegen“.

Selbst bei einer Lockerung der Zweckbindung müssen Maßnahmen der Datensicherheit erfolgen, um unrechtmäßige Daten-nutzungen zu verhindern.

Wird diese Fassung abschließend verabschiedet, scheint die Zweckbindung als grundlegendes Prinzip des Datenschutzes aufgehoben zu sein. Die Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 18./19. März 2015 enthält deshalb auch die Forderung „Datenschutzgrundverordnung darf keine Mogelpackung werden!“. 

Die deutschen Aufsichtsbehörden stellen dar, dass nach Vorstellung des EU-Rates personenbezogene Daten ohne jede weitere Rechtsgrundlage zu anderen Zwecken als dem ursprünglichen  Erhebungszweck verarbeitet werden dürfen, wenn der neue Zweck mit dem ursprünglichen Zweck noch vereinbar ist. 

Außerdem sollen Zweckänderungen erlaubt sein, wenn der Datenverarbeiter hieran ein überwiegendes berechtigtes Interesse hat. Durch das Zusammenspiel dieser beiden Möglichkeiten und die ausdrücklich gewünschte Privilegierung der Datenverarbeitung zu Direktmarketingzwecken würden Zweckänderungen in einem derart weiten Umfang zulässig, dass das für den Datenschutz elementare Prinzip der Zweckbindung preisgegeben würde, so die Aufsichtsbehörden.

Interessenabwägung ist kein Freibrief

Betrachtet man die Position des EU-Rates, ist die Zweckbindung personenbezogener Daten zweifellos gelockert. Allerdings dürften Unternehmen auf dieser Basis auch nicht ohne weiteres Daten zu jedem Zweck nutzen. Die Zulässigkeit der Datenverarbeitung zu anderen Zwecken wird in dem Entwurf abhängig gemacht davon, dass die Interessen der datenverarbeitenden Stelle die Interessen des Betroffenen überwiegen. Soll die Rechtmäßigkeit nachgewiesen werden, muss also eine Interessenabwägung nachgewiesen werden können. 

Die Interessen des Unternehmens selbst liegen schnell auf der Hand, dennoch gilt es, diese zu dokumentieren, um eine Interessenabwägung nachweisen zu können. Weniger leicht ist die Abwägung der Interessen des Betroffenen. Diese sollten nicht leichtfertig abgetan werden. Vielmehr muss hier eine Risikoanalyse stattfinden, um festzustellen, ob die Interessen des Betroffenen unverhältnismäßig in Gefahr geraten könnten.

Ein weiterer Punkt darf nicht vergessen werden: In keinem der Entwürfe zur EU-Datenschutz-Grundverordnung wird die Datenverarbeitung zu jedem Zweck einfach freigegeben. Selbst wenn eine Zweckänderung nach Interessenabwägung zulässig erscheint, müssen alle anderen Zwecke und Arten der Datennutzung ausgeschlossen werden.

Der Zugangs- und Zugriffsschutz zu den Daten, die Begrenzung der Datennutzung auf die befugten Stellen, die Datentrennung, die Protokollierung der Datennutzung, die Verschlüsselung der Daten und weitere Maßnahmen der Datensicherheit fallen nicht etwa weg. Sie müssen aufrechterhalten werden, um alle Datennutzungsformen jenseits der rechtmäßigen zu verhindern. Was genau als rechtmäßig angesehen wird, kann sich also ändern, nicht aber die Verhinderung der unrechtmäßigen Datenverarbeitung.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juli 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close