Praxistipp Nr. 5: Festlegen des Zwecks

Die DSGVO enthält eine ganze Reihe von teilweise recht komplexen Abläufen und Strukturen, die bis Mai 2018 umsetzt sein müssen. Um den im Praxistipp 3 empfohlenen Ist-Soll-Abgleich erfolgreich durchführen zu können, muss jedoch erst einmal bekannt sein, welche Inhalte zukünftig das „Soll“ im Datenschutz sind.

Festlegen des Zwecks der Datenverarbeitung

Bei der ersten Erhebung oder sonstigen Verarbeitung personenbezogener Daten muss das Unternehmen die Zwecke festlegen, für die es die Daten verarbeitet. Die Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden (Art. 5 Abs. 1 lit. (b) DSGVO).

Beispiel: Ein Unternehmen erhebt Kundendaten im Rahmen einer neu beginnenden Geschäftsbeziehung.

  • Die möglichen Zwecke der Datenerhebung und -verarbeitung
  • Aufbau und Durchführung einer Kundenbeziehung
  • der Pflege der Kundenbeziehung
  • die Durchführung eines Vertrags

müssen vom Unternehmen festgelegt und dokumentiert werden. 

Einhaltung ist nachzuweisen

Nach Art. 5 Abs. 2 DSGVO muss das Unternehmen die Einhaltung dieser Vorgaben nachweisen können.

Außerdem ist die Dokumentation im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit c oder Art. 14 Abs. 1 lit c DSGVO erforderlich.

Als Mittel für die Umsetzung der Zweckfestlegung bietet sich das Verfahrensverzeichnis an, das in der Terminologie der DSGVO jetzt „Verzeichnis von Verarbeitungstätigkeiten“ heißt und gem. Art. 30 DSGVO auch weiterhin geführt werden muss.

Unternehmensintern ist ein Prozess zu definieren mit dem sichergestellt wird, dass vor jeder neuen Datenerhebung die Prüfung der Zulässigkeit der Zwecke stattfindet und in die Dokumentation übernommen wird.