Praxistipp DSGVO #6: Zweckänderung
Abgesehen von der Vorgabe, personenbezogene Daten nur zu „festgelegten, eindeutigen und legitimen Zwecken“ zu verarbeiten (siehe Praxistipp DSGVO #5: Festlegen des Zwecks), ist auch die Weiterverarbeitung zu anderen Zwecken, die mit dem ursprünglichen nicht vereinbar sind, grundsätzlich untersagt (Art. 5 Abs. 1 lit. (b) DSGVO). Etwas anderes gilt nur, wenn eine Erlaubnis in den von der DSGVO vorgesehenen.
Beispiel:
Die Marketingabteilung möchte personenbezogene Daten, die im Rahmen eines Gewinnspiels erhoben wurden, nach Abschluss des Gewinnspiels für die Versendung eines Newsletters weiter nutzen.
Die Bedingungen für eine zulässige Zweckänderung ergeben sich aus Art. 6 Abs. 4 DSGVO.
Im Rahmen eines funktionierenden Datenschutzmanagements gilt es daher, unternehmensinterne Verfahren aufzubauen, die eine vorgeschaltete Prüfung der Zulässigkeit einer Zweckänderung ermöglichen. Auf unser Beispiel der Marketingabteilung bezogen könnte dies bedeuten, dass die Marketingabteilung durch interne Vorgaben verpflichtet ist, jede Erhebung von Daten und jede geplante Weiterverwendung dem Datenschutzbeauftragten vorab zur Prüfung vorzulegen.
Überflüssige Bürokratie?
Die Empfehlung, derartige Kontroll- und Genehmigungsverfahren für den Umgang mit personenbezogenen Daten im Unternehmen aufzubauen, mag unnötig bürokratisch und pingelig erscheinen. Die Verantwortlichen in Unternehmen sollten aber berücksichtigen, dass der ordnungsgemäßge Umgang mit personenbezogenen Daten, der auf diese Weise sichergestellt werden kann, ein Teil der unternehmensweiten Compliance darstellt. Verstöße gegen die Vorgaben der DSGVO können zudem mit deutlich höheren Bußgeldern als bisher geahndet werden.