G 2.163 Nichteinhaltung der Zweckbindung bei der Verarbeitung personenbezogener Daten

Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben oder erstmals gespeichert worden sind. Es besteht die Gefahr, dass diese Daten auch für andere Zwecke verarbeitet werden, da damit der Aufwand für eine erneute Erhebung und Information der Betroffenen erspart werden kann.

Werden personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Informationssicherheit oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert wurden, zu anderen Zwecken genutzt, so ist dies unzulässig.

Eine Gefahr, dass die Zweckbindung missachtet wird, besteht insbesondere bei automatisierten Abrufverfahren und sonstigen Übermittlungen sowie bei Verknüpfungen bzw. Auswertungen von Datenbeständen.

Eine Verarbeitung personenbezogene Daten unter Missachtung der Zweckbindung kann eine Geldbuße oder Freiheitsstrafe zur Folge haben bzw. zu dienst- oder arbeitsrechtlichen Konsequenzen führen. Der Betroffene kann ein Recht auf Schadensersatz geltend machen.

Beispiele: