Im letzten Newsletter haben wir die Datenschutzgrundsätze noch einmal erklärt. Dabei war unter anderem der Punkt der Zweckbindung aufgezählt. Dabei hieß es, dass Sie Daten nur zu dem Zweck verarbeiten dürfen, zu dem sie erhoben wurden. Entfällt der Zweck, sind die Daten zu löschen. Aber was, wenn sich jetzt der Zweck ändert oder im Unternehmen gerade ein neues Projekt angestoßen wird, für welches man diese Daten ebenfalls verwenden könnte? Dürfen Sie die bereits erhobenen Daten dann verarbeiten? Was ist dann zu beachten?

Grundsätzlich heißt es im Art. 5 Abs. 1 lit b DS-GVO, dass „eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke“ grundsätzlich als mit den ursprünglichen Zwecken als vereinbar gilt. Außerdem ist eine Weiterverarbeitung der Daten zu einem anderen Zweck dann möglich, wenn eine Einwilligung vorliegt oder eingeholt wird. Diese Einwilligung muss dann allerdings, genauso wie die ursprüngliche, die neuen Zwecke so genau wie möglich definieren. Wenn eine Rechtsvorschrift vorliegt, welche die Weiterverarbeitung explizit vorsieht, dann ist diese ebenfalls unproblematisch.

Für alle anderen Fälle ist die Weiterverarbeitung nur unter Einhaltung der Vorgaben des Art. 6 Abs. 4 DS-GVO erlaubt und wenn die neuen mit den ursprünglichen Zwecken kompatibel sind. Andernfalls muss es eine neue Datenverarbeitung mit eigener Rechtsgrundlage geben.

Die Vereinbarkeit der Zwecke kann anhand der fünf Kriterien aus Art. 6 Abs. 4 DS-GVO überprüft werden:

1. Besteht eine Verbindung zwischen dem ursprünglichen und dem neuen, geplanten Zweck? Ist eine Weiterverarbeitung schon im ursprünglichen Zweck enthalten oder ist mit einer solchen zu rechnen? Wie nah beieinander liegen die Zwecke? Je enger die Verbindung, desto wahrscheinlicher die Vereinbarkeit.
2. In welchem Zusammenhang wurden die Daten ursprünglich erhoben, vor allem im Hinblick auf das Verhältnis zwischen Verantwortlichem und Betroffenem? Muss der Betroffene in diesem Kontext mit einer Weiterverarbeitung seiner Daten rechnen? Je vorhersehbarer die Verarbeitung in dem Kontext, desto wahrscheinlicher die Vereinbarkeit.
3. Welche Art von personenbezogenen Daten sind betroffen? Je weniger sensibel die Daten, desto eher ist Vereinbarkeit anzunehmen.
4. Mit welchen Folgen für den Betroffenen ist zu rechnen und wie weit kann dieser diese Folgen abschätzen? Je abschätzbarer und weniger negativ die möglichen Folgen, desto eher ist Vereinbarkeit anzunehmen.
5. Sind geeignete Garantien zum Schutz der personenbezogenen Daten der Betroffenen implementiert oder in der Weiterverarbeitung angedacht? Je besser die Schutzmechanismen, desto eher ist Vereinbarkeit anzunehmen.

Diese Kriterien sind nicht abschließend und im Einzelfall können auch noch andere Aspekte für oder gegen die Vereinbarkeit der Weiterverarbeitung der Daten sprechen. Wichtig zu erwähnen ist, dass diese Kriterien eher in Ausnahmen genutzt werden sollten, um den Zweckbindungsgrundsatz nicht aufzuweichen.

Bedenken Sie, dass schon die Datenverarbeitung an sich rechtmäßig und entsprechend den Anforderungen der DS-GVO zu sein hat, unabhängig der vorgenannten Kriterien. Ist dies und alle vorgenannten Kriterien erfüllt, benötigen Sie keine gesonderte Rechtsgrundlage für die neue Verarbeitung und die ursprüngliche Rechtsgrundlage ist ausreichend. Die übrigen Grundsätze der Verarbeitung und die Informationspflichten gelten hier allerdings weiterhin.

Also sollte es einen Fall geben, in dem eine moderate Zweckänderung notwendig wird, können Sie anhand dieser Kriterien prüfen, ob eine Weiterverarbeitung zulässig ist oder nicht. Wie bereits erwähnt, sollten Sie dies restriktiv einsetzen und im Zweifel einfach eine neue Einwilligung einholen bzw. eine komplett neue Datenverarbeitung starten.