Kern des hiesigen Datenschutzrechts ist seit Jahrzehnten: Erst muss der Zweck einer Verarbeitung von personenbezogenen Daten festgelegt werden, dann darf verarbeitet werden. Und zwar in den Grenzen eben dieser Zweckbestimmung.
Mit der DSGVO erhalten die Verantwortlichen nun deutlich mehr Möglichkeiten. Sofern der geplante Verarbeitungszweck von dem ursprünglichen Erhebungszweck abweicht, kann ein Zweckkompatibilitätstest ergeben, dass die unterschiedlichen Zwecke miteinander vereinbar sind. In diesem Fall ist die Datenverarbeitung zulässig, ohne dass es einer erneuten Einwilligung des Betroffenen bedarf. Was dabei zu berücksichtigen ist, gibt Art. 6 Abs. 4 DSGVO vor. Das Risiko der Fehleinschätzung trägt, wie immer, die verantwortliche Stelle. Die Spiel- und Argumentationsräume sind aber groß. Wichtig: Ab sofort ist bereits bei der Definition der Erhebungszwecke exakt darauf zu achten, inwieweit eine spätere Abweichung antizipiert werden kann. Das bedeutet: im Zweifel sollten die Einwillingungstexte überprüft werden!
Weitere Beiträge zur DSGVO, sowie IT-Sicherheits-Themen, erscheinen monatlich in unserem Magazin-Newsletter: HK2 Der Rote Faden