Zweckänderung

Gemäss dem Grundsatz der Zweckbindung in Art. 5 Abs. 1 Bst. b DSGVO müssen personenbezogene Daten «für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden». An derselben Stelle wird jedoch auch festgehalten, dass «eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke» als grundsätzlich vereinbar mit den ursprünglichen Zwecken angesehen wird. Eine solche Weiterverarbeitung fällt unter die Regelung von Art. 89 Abs. 1 DSGVO.

Ebenfalls unproblematisch ist eine Weiterverarbeitung personenbezogener Daten zu anderen, mit den ursprünglichen nicht kompatiblen Zwecken, wenn dafür eine Einwilligung der betroffenen Person vorliegt bzw. eingeholt wird, oder wenn eine Rechtsvorschrift (entsprechend den Öffnungsklauseln von Art. 23 Abs. 1 DSGVO) eine solche Verarbeitung explizit vorsieht (Art. 6 Abs. 4 DSGVO).

Hinweis: Eine rechtsgültige Einwilligung muss diese «neuen» Zwecke jedoch genau beschreiben. Eine pauschale Formulierung, wie etwa «zu Marketingzwecken» ist ungültig. Mehr zur Einwilligung finden Sie hier.

In allen anderen Fällen ist eine Weiterverarbeitung personenbezogener Daten zu anderen Zwecken nur erlaubt, wenn dabei die Voraussetzungen des Art. 6 Abs. 4 DSGVO eingehalten werden und die neuen mit den ursprünglichen Zwecken kompatibel bzw. vereinbar sind. Ansonsten muss eine komplett neue Datenverarbeitung (inkl. Datenerhebung) auf Basis einer eigenen Rechtsgrundlage gemäss Art. 6 Abs. 1 DSGVO gestartet werden.

Art. 6 Abs. 4 DSGVO verpflichtet den Verantwortlichen vor einer allfälligen Weiterverarbeitung von personenbezogenen Daten zu anderen Zwecken, als denjenigen zu denen sie erhoben wurden, die Vereinbarkeit dieser Zwecke und somit die Zulässigkeit der Verarbeitung zu überprüfen. Insbesondere muss er dabei die in den Buchstaben a bis e des Artikels aufgeführten fünf Kriterien berücksichtigen und anhand dieser die geplante Weiterverarbeitung auf ihre Vereinbarkeit mit dem ursprünglichen, offengelegten Verarbeitungszweck hin evaluieren:

1. Verbindung zwischen den Zwecken (Bst. a)
   Besteht irgendeine Verbindung zwischen dem ursprünglichen Verarbeitungszweck zum Zeitpunkt der Datenerhebung und den Zwecken der nun geplanten Weiterverarbeitung? Wie weit liegen die Zwecke auseinander? Ist die Weiterverarbeitung im ursprünglichen Zweck schon implizit enthalten oder kann sie als «logischer nächster Schritt» gesehen werden? Kann eine betroffene Person deshalb vernünftigerweise mit der Weiterverarbeitung zum neuen Zweck rechnen?
   → Je enger die Verbindung zwischen den Zwecken, desto eher ist eine Vereinbarkeit anzunehmen.

2. Kontext (Bst. b)
   In welchem Zusammenhang wurden die personenbezogenen Daten ursprünglich erhoben, speziell in Bezug auf das Verhältnis zwischen Verantwortlichem und betroffener Person? Muss die betroffene Person in diesem Kontext und aufgrund ihrer vernünftigen Erwartungen mit einer Weiterverarbeitung ihrer Daten durch den Verantwortlichen rechnen?
   → Je vorhersehbarer die Weiterverarbeitung der Daten durch den Verantwortlichen im gegebenen Kontext für die betroffene Person, desto eher ist eine Vereinbarkeit anzunehmen.

3. Art der personenbezogenen Daten (Bst. c)
   Welche Art personenbezogener Daten wird verarbeitet? Sind auch besondere Kategorien personenbezogener Daten gemäss Art. 9 oder 10 DSGVO betroffen oder andere, als sensibel anzusehende Daten (z.B. Kommunikationsdaten oder Daten von Kindern)?
   → Je weniger sensibel die verarbeiteten personenbezogenen Daten, desto eher ist eine Vereinbarkeit anzunehmen.

4. Mögliche Folgen (Bst. d)
   Mit welchen positiven oder negativen Folgen der geplanten Weiterverarbeitung für die betroffenen Personen muss gerechnet werden? Wie weit können diese Folgen von der betroffenen Person selbst abgeschätzt werden oder nicht, weil die weitere Verarbeitung zum Bespiel nicht mehr nur beim Verantwortlichen, sondern auch bei einem Dritten erfolgt?
   → Je abschätzbarer und je weniger gravierend bzw. negativ die möglichen Folgen für die Betroffenen, desto eher ist eine Vereinbarkeit anzunehmen.

5. Geeignete Garantien (Bst. e)
   Wurden geeignete Garantien zum Schutz der personenbezogenen Daten bzw. der Betroffenen ergriffen, wie etwa die Verschlüsselung oder Pseudonymisierung der Daten? Bleiben die ursprünglich eingesetzten Schutzmechanismen bei der weiteren Verarbeitung der Daten auf gleichem Niveau erhalten oder kann die Weiterverarbeitung auch mit pseudonymisierten Daten erfolgen, um das Schutzniveau zu erhöhen?
   → Je bessere Schutzmechanismen vorhanden, desto eher ist eine Vereinbarkeit anzunehmen.

Die genannten fünf Beurteilungskriterien dieses Kompatibilitäts-Tests sind jedoch nicht abschliessend. Im Einzelfall können auch noch andere Aspekte für eine Vereinbarkeit oder Unvereinbarkeit der Weiterverarbeitung personenbezogener Daten sprechen. Ausserdem sind die Kriterien restriktiv auszulegen, um den Zweckbindungsgrundsatz nicht aufzuweichen.

Unabhängig von dieser Prüfung muss aber schon die ursprüngliche Datenverarbeitung allen Anforderungen der DSGVO genügen und rechtmässig erfolgen. Ist dies erfüllt und spricht auch der Kompatibilitäts-Test für eine Vereinbarkeit der geplanten Weiterverarbeitung mit den ursprünglichen Verarbeitungszwecken, so ist gemäss ErwG. 50, sowie nach überwiegender Rechtsauffassung¹, keine gesonderte Rechtsgrundlage für die neue Verarbeitung mehr erforderlich. Die ursprüngliche Rechtsgrundlage ist somit ausreichend. Auf diese Weise sollen moderate Zweckänderungen, welche den Kompatibilitäts-Test bestehen, auf Basis der ursprünglichen Erlaubnis vereinfacht zugelassen werden. Die übrigen Grundsätze der Verarbeitung gemäss Art. 5 DSGVO müssen jedoch auch bei einer Weiterverarbeitung personenbezogener Daten eingehalten werden. Ausserdem gelten die Informationspflichten gemäss Art. 13 Abs. 3 und 14 Abs. 4 DSGVO, sofern die betroffenen Personen die relevanten Informationen nicht bereits erhalten haben.

Beispiel 1: Eine Bank hat einen Kunden, mit dem sie einen Vertrag über ein Privatkonto und ein Darlehen abgeschlossen hat. Am Jahresende prüft die Bank mit den personenbezogenen Daten des Kunden, ob sie ihm eine bessere Darlehensvariante oder einen Sparplan anbieten kann. Der Zweck dieser erneuten Verarbeitung der Kundendaten ist mit den ursprünglichen Zwecken vereinbar und die Datenverarbeitung durch die Bank somit zulässig.   Beispiel 2: Die Bank möchte die personenbezogenen Daten ihres Kunden an eine Versicherungsgesellschaft weitergeben. Der Zweck dieser Datenverarbeitung (Datenweitergabe an Versicherung) ist jedoch mit dem ursprünglichen Verarbeitungszweck (Privatkonto und Darlehen) nicht vereinbar. Die Bank bräuchte dafür deshalb die Einwilligung des Kunden.2

1 Die Minderheitsmeinung vertritt jedoch die Ansicht, dass u.a. ErwG. 50 ein redaktioneller Fehler sei und eine Kompatibilität der Zwecke noch nichts über die Rechtmässigkeit der Verarbeitung aussage. Sie verlangt deshalb eine eigene Rechtsgrundlage gemäss Art. 6 Abs. 1 DSGVO auch für die Weiterverarbeitung der Daten (z.B. Buchner/Petri in Kühling/Buchner, DS-GVO, Art. 6, Rz. 181 ff.).

2 Beide Beispiele aus: Europäische Kommission, «Können Daten zu einem anderen Zweck genutzt werden?», https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr/purpose-data-processing/can-we-use-data-another-purpose_de (zuletzt besucht: 14.10.2022)