Zweckbindung
Die Zweckbindung ist einer der Grundsätze, auf denen die DSGVO fußt. Sie besagt, dass ein eindeutiger, legitimer Zweck für die Verarbeitung personenbezogener Daten festzulegen ist. Der Zweck einer Datenverarbeitung muss schon festgelegt sein, wenn die Daten erhoben werden und er muss so präzise wie möglich definiert sein. Ein Zweck gilt nur als legitim, wenn für die Datenverarbeitung zu diesem Zweck eine einschlägige Rechtsgrundlage existiert und die Datenverarbeitung nicht gegen Rechtsnormen (auch anderer Rechtsgebiete, wie Arbeitsschutz) verstößt. Vom festgelegten Zweck hängt also auch ab, welche Daten überhaupt verarbeitet und wie lange sie gespeichert werden dürfen. Entfällt der Zweck, sind die personenbezogenen Daten zu löschen. Zwar sieht die DSGVO vor, dass Daten auch für einen anderen Zweck verarbeitet werden können, als für den ursprünglichen. Doch die Rahmenbedingungen dafür sind eng gesteckt. In der Regel ist eine Verwendung personenbezogener Daten für andere als die (zuvor) genannten Zwecke also unzulässig.
Klingt kompliziert? Dann übersetzt in „Datenschutz einfach“:
Die Zweckbindung ist eine DER Grundregeln im Datenschutz. Daten über eine Person darf ein Unternehmen nur abfragen und speichern, wenn es sich vorher genau überlegt hat:
- warum es die Daten haben will
- wie lange es die Daten braucht
- ob das alles legal ist
Man muss den Zweck so klar wie möglich nennen: Allgemeines Blabla wie „Marketing“ reicht nicht. Außerdem darf man die Daten einer Person nicht für etwas anderes nehmen als für diesen Zweck. Da gibt’s zwar Ausnahmen, aber die gelten so gut wie nie.
Vergleiche: Privacy by design