Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
Die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO verpflichtet Unternehmen, personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke zu erheben und nicht in einer damit unvereinbaren Weise weiterzuverarbeiten.
Ausführliche Erklärung
Die Zweckbindung zählt zu den sieben zentralen Datenschutzgrundsätzen in Artikel 5 DSGVO und gilt als Kernbestandteil des europäischen Datenschutzrechts. Sie verlangt, dass bereits vor der Datenerhebung klar definiert wird, wofür die Daten benötigt werden. Vage Formulierungen wie „zur Verbesserung unserer Prozesse" genügen nicht – der Zweck muss für die betroffene Person eindeutig erkennbar und nachvollziehbar sein. Die Legitimität des Zwecks bedeutet, dass er nicht gegen gesetzliche Vorgaben oder ethische Grundprinzipien verstoßen darf.
Für österreichische und deutsche KMU hat die Zweckbindung erhebliche praktische Bedeutung. Wer Kundendaten für die Rechnungsstellung erhebt, darf diese nicht ohne Weiteres für Newsletter-Zwecke nutzen – dafür wäre eine separate Einwilligung erforderlich. Die festgelegten Zwecke müssen im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert und gegenüber Betroffenen in der Datenschutzerklärung transparent kommuniziert werden. Die Informationspflichten nach Art. 13 und 14 DSGVO sehen ausdrücklich vor, dass Betroffene über die Verarbeitungszwecke informiert werden.
Eine Weiterverarbeitung zu anderen Zwecken ist unter bestimmten Voraussetzungen zulässig: Entweder der neue Zweck ist mit dem ursprünglichen vereinbar – hier nennt Art. 6 Abs. 4 DSGVO Vereinbarkeitskriterien wie den Zusammenhang zwischen den Zwecken oder die vernünftigen Erwartungen der Betroffenen –, oder es liegt eine neue Rechtsgrundlage wie eine Einwilligung vor. Ausnahmen bestehen für Archivzwecke im öffentlichen Interesse, wissenschaftliche, historische oder statistische Forschungszwecke nach Art. 89 Abs. 1 DSGVO.
Die Zweckbindung steht in engem Zusammenhang mit der Datenminimierung und der Speicherbegrenzung: Es dürfen nur jene Daten erhoben werden, die für den festgelegten Zweck erforderlich sind, und diese sind zu löschen, sobald der Zweck erfüllt ist. Verstöße gegen die Zweckbindung können nach Art. 83 Abs. 5 DSGVO mit Geldbußen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Die österreichische Datenschutzbehörde und deutsche Aufsichtsbehörden machen bei erstmaligen Verstößen häufig von Abhilfebefugnissen wie Verwarnungen Gebrauch, bevor Bußgelder verhängt werden.
Praxisbeispiel
Eine oberösterreichische Steuerberatungskanzlei mit 12 Mitarbeiter:innen erhebt Kontaktdaten von Mandant:innen für die Vertragsabwicklung und Korrespondenz. Als die Kanzlei einen Newsletter zu Änderungen im Steuerrecht einführen möchte, darf sie die vorhandenen E-Mail-Adressen nicht einfach verwenden. Sie muss die Mandant:innen aktiv um Einwilligung bitten und den neuen Zweck transparent kommunizieren – andernfalls liegt ein Verstoß gegen die Zweckbindung vor.