Zweckbindung der Datenverarbeitung

Artikel 5 Abs. 1 lit. b der Datenschutzgrundverordnung (DS-GVO) verpflichtet den Verantwortlichen dazu, keine Verarbeitung von personenbezogenen Daten ohne Zweck vorzunehmen.

Art. 5 DS-GVO Grundsätze für die Verarbeitung personenbezogener Daten

externer Datenschutzbeauftragter Dresden und Chemnitz

(1) Personenbezogene Daten müssen 

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); 

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)“

Daher lautet meine Empfehlung als Datenschutzbeauftragter und Fachanwalt für Informationstechnologierecht an meine Mandanten, zu verinnerlichen, dass vor jeder Verarbeitung von personenbezogenen Daten, für jedes einzelne Datum die Rechtsgrundlage und der Zweck klar festzulegen sind.  Wenn der Zweck wegfällt, dürfen keine Daten mehr verarbeitet werden und müssen gelöscht werden (Löschfrist). Sonst liegt eine unzulässige Datenverarbeitung und damit ein bußgeldbewehrter Datenschutzverstoß vor.

Der Teufel steckt hier im Detail. Ein Datum kann für mehrere Zwecke verarbeitet werden.

Zum Beispiel dient die Zeiterfassung (Datum und Uhrzeit, Personalnummer) eines Beschäftigten der Arbeitszeitabrechnung (1.), der Betriebsdatenerfassung (2.), der Personalplanung (3.) und der Zutrittskontrolle (4). Es liegen also vier Zwecke für ein Verfahren vor.

Daraus folgen vier Löschfristen.

TÜV zertifizierter Datenschutzbeauftragter Dresden und Chemnitz

  1. 10 Jahre für die Arbeitszeitabrechnung (da zahlungsrelevantes Datum).
  2. Drei Jahre für die Betriebsdatenerfassung.
  3. Ein Jahr für die Personalplanung.
  4. Drei Monate für die Zutrittskontrolle.

Weiterhin sind die verschiedenen Zwecke auch für die verschiedenen internen oder externen Empfänger zu beachten und es muss ein entsprechendes Berechtigungskonzept geben.

Ihr Datenschutzbeauftragter (TÜV zertifiziert), Fachanwalt für IT-Recht und Fachanwalt für Urheber- und Medienrecht, IT-Compliance-Beauftragter, Thilo Zachow

Urheberrecht und Medienrecht, Fachanwalt für IT-Recht

Urheberrecht und Medienrecht, Fachanwalt für IT-Recht

 

Author: Rechtsanwalt Zachow - Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht, TÜV zertifizierter Datenschutzbeauftragter

Ich bin Fachanwalt für IT-Recht (Fachanwaltslehrgang IT-Recht), Fachanwalt für Urheber- und Medienrecht (Fachanwaltslehrgang Urheber- und Medienrecht) und vertrete Contentprovider zu den Rechtsthemen e-commerce, Datenschutzrecht, Markenrecht, Urheberrecht und Wettbewerbsrecht. Weiterhin berate ich Hosting- und Accessprovider zum Telekommunikationsrecht. Die individuelle Beratung mittelständischer Unternehmen und von Privatpersonen aus einer Hand, fachlich kompetent durch einen sehr hohen Grad der Spezialisierung, laufende Fortbildungen und 10 Jahren Erfahrung im IT-Recht, Urheber- und Medienrecht, sind mein Anspruch. Der TÜV Nord hat mich als Datenschutzbeauftragter zertifiziert. Lernen Sie mich persönlich kennen.