Datenschutz HubEinzelthemenGrundsätze der Verarbeitung

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Zweckbindung als Grundsatz der DSGVO: Pflicht zur Zweckfestlegung, Unvereinbarkeitsverbot, Ausnahmen für Archiv-, Forschungs- und Statistikzwecke, Verhältnis zu Art. 6 Abs. 4 DSGVO.

Die Zweckbindung ist der „Grundstein des Datenschutzrechts". Sie ist Bezugspunkt nahezu aller übrigen Anforderungen der DSGVO: Erforderlichkeit, Informationspflichten und Rechtsgrundlage lassen sich ohne festgelegten Zweck nicht prüfen.

Das Wichtigste in Kürze

  • Die Zweckbindung hat zwei Aspekte: Zweckfestlegung (festgelegte, eindeutige, legitime Zwecke) und Unvereinbarkeitsverbot der Weiterverarbeitung.
  • Der Zweck ist vor oder mit Beginn der Verarbeitung festzulegen; allgemeine Bezeichnungen wie „Werbung" oder „IT-Sicherheit" genügen nicht.
  • Eine Weiterverarbeitung ist nur zulässig, wenn sie mit dem Erhebungskontext und den Erwartungen der betroffenen Person vereinbar ist (Faktoren: Art. 6 Abs. 4 DSGVO).
  • Ausnahmen vom Unvereinbarkeitsverbot: Einwilligung, gesetzliche Öffnung und privilegierte Zwecke (Archiv, Forschung, Statistik).
  • Ein Verstoß macht die Verarbeitung unzulässig und ist als Grundsatzverstoß bußgeldbewehrt; eine Heilung über eine neue Rechtsgrundlage scheidet aus.

1 Überblick

1.1 Die zwei Aspekte der Zweckbindung

Art. 5 Abs. 1 lit. b Hs. 1 DSGVO zerlegt den Grundsatz in zwei Aspekte:

  • Zweckfestlegung: Eine Verarbeitung darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen.
  • Unvereinbarkeitsverbot: Eine Weiterverarbeitung darf nicht in einer mit dem Erhebungszweck unvereinbaren Weise erfolgen.

Art. 5 Abs. 1 lit. b Hs. 2 DSGVO enthält daneben eine Privilegierung für Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke.

1.2 Rechtsfolge und Systematik

Die Zweckbindung wirkt als Konstruktionsprinzip der DSGVO. Der Zweck der Verarbeitung ist der Fixpunkt, an dem sich die Erforderlichkeit der Datenverarbeitung, die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO, die Informationspflichten nach Art. 13, 14 DSGVO sowie die Lösch- und Speicherpflichten ausrichten. Ein Verstoß gegen die Zweckbindung macht die Verarbeitung unzulässig; er ist zudem als Grundsatzverstoß bußgeldbewehrt.

2 Zweckfestlegung

2.1 Festgelegt

Der Verarbeitungszweck muss festgelegt sein, d.h. vor oder spätestens mit Beginn der Verarbeitung bestimmt werden. Schon die Grundrechtecharta verbietet in Art. 8 Abs. 2 S. 1 GRC eine Verarbeitung zu unbestimmten Zwecken. Bereits das BVerfG hat in der Volkszählungsentscheidung die Verarbeitung personenbezogener Daten „auf Vorrat" als unvereinbar mit dem Recht auf informationelle Selbstbestimmung beanstandet (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Volkszählung, BVerfGE 65, 1).

Die Festlegung des Zwecks hat für den Verantwortlichen zugleich eine Hinweis- und Warnfunktion. Sie zwingt ihn, vor der Erhebung zu prüfen, welche Ziele er mit der Verarbeitung verfolgt, und wirkt damit als Instrument der Selbstregulierung. Die DSGVO schreibt keine besondere Form vor; zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sollte die Festlegung jedoch schriftlich oder in vergleichbar dauerhafter Form dokumentiert werden. Praktisch erfolgt die Festlegung häufig im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 S. 2 lit. b DSGVO) oder in der Information nach Art. 13 Abs. 1 lit. c DSGVO.

Auch bei Verarbeitungen auf gesetzlicher Grundlage nach Art. 6 Abs. 1 lit. c oder lit. e DSGVO bleibt die Zweckfestlegung erforderlich. Zwar fordert Art. 6 Abs. 3 S. 2 DSGVO, dass der Zweck bereits in der Rechtsgrundlage festgelegt ist. Dieser gesetzliche Zweck ist aber typischerweise weiter gefasst als der konkrete Verarbeitungszweck. Der Verantwortliche muss daher für jede konkrete Verarbeitung festlegen, für welchen der möglichen Zwecke er die Daten tatsächlich verarbeitet.

2.2 Präzisionsgrad der Zweckbestimmung

Wie präzise der Zweck zu bestimmen ist, hängt vom Einzelfall ab. Die Präzision ist umso größer zu wählen, je sensibler die Daten, je umfangreicher die Verarbeitung und je intensiver die Folgen für die betroffene Person sind. Die Tendenz der DSGVO geht zu einer eher engen Zweckbestimmung; Erwägungsgrund 33 DSGVO lässt lediglich bei Einwilligungen zu Forschungsvorhaben eine breitere Zweckbestimmung zu.

Allgemeine Bezeichnungen wie „Werbung", „Verbesserung der Leistung" oder „IT-Sicherheit" genügen nicht. Sie ermöglichen es der betroffenen Person nicht, die konkreten Verarbeitungsvorgänge nachzuvollziehen, und laufen daher dem Grundsatz der Transparenz und der Zweckbindung zuwider (Artikel-29-Datenschutzgruppe, WP 203, Opinion 03/2013 on purpose limitation, v. 02.04.2013, S. 16).

2.3 Eindeutig

Das Merkmal „eindeutig" (englisch „explicit", französisch „explicites") hat neben der Klarheit des Zwecks eine kommunikative Dimension: Der Zweck soll der betroffenen Person mitgeteilt werden. Die Zweckbestimmung dient damit nicht nur der internen Bindung des Verantwortlichen, sondern zugleich der Transparenz und Voraussehbarkeit aus Sicht der betroffenen Person.

2.4 Legitim

„Legitim" ist weiter zu verstehen als „rechtmäßig" im Sinne des Art. 6 Abs. 1 DSGVO. Es kommt nicht darauf an, ob eine Rechtsgrundlage für die Verarbeitung besteht, sondern ob der Zweck mit der Rechtsordnung insgesamt im Einklang steht. Missbilligte Zwecke (etwa die gezielte Diskriminierung bestimmter Personengruppen aus rassistischen Motiven) sind nicht legitim. Praktisch handelt es sich um einen groben Filter; er greift erst bei krassen Verstößen.

3 Unvereinbarkeitsverbot

3.1 Doppelte Verneinung und Flexibilität

Art. 5 Abs. 1 lit. b Hs. 1 DSGVO verbietet eine Weiterverarbeitung zu Zwecken, die „nicht zu vereinbaren" sind mit den ursprünglichen Erhebungszwecken. Der Unionsgesetzgeber hat sich bewusst für die doppelte Verneinung entschieden, statt eine ausdrückliche Vereinbarkeit zu fordern. Das verschafft dem Verantwortlichen einen gewissen Spielraum: Im Zweifel ist die Weiterverarbeitung nicht verboten. Erwägungsgrund 50 S. 1 und S. 6 DSGVO beschreiben allerdings den positiven Fall der Vereinbarkeit, was zeigt, dass der Verantwortliche nicht vollkommen frei entscheiden kann.

3.2 Bezug auf den Erhebungskontext

Die Vereinbarkeit ist am Erhebungskontext und an den Erwartungen der betroffenen Person zu diesem Zeitpunkt zu messen. Art. 6 Abs. 4 DSGVO listet die dabei heranzuziehenden Faktoren auf (Verbindung zwischen den Zwecken, Zusammenhang der Erhebung, Art der Daten, mögliche Folgen, Vorliegen geeigneter Garantien). Entscheidend ist zusätzlich, ob die betroffene Person die Weiterverarbeitung zum Zeitpunkt der Erhebung vernünftigerweise erwarten musste. Je stärker sich die Zweckrichtung verschiebt, desto weniger lässt sich eine Vereinbarkeit annehmen.

3.3 „Weise" der Verarbeitung

Art. 5 Abs. 1 lit. b Hs. 1 DSGVO stellt nicht nur auf den Zweck der Weiterverarbeitung ab, sondern auf die „Weise" der Verarbeitung. Auch bei fortbestehendem Zweck kann eine Weiterverarbeitung unzulässig sein, wenn sich wichtige Umstände (etwa technische Rahmenbedingungen oder Kreis der Empfänger) seit der Erhebung verändert haben und die Verarbeitung für die betroffene Person dadurch in einem anderen Licht erscheint.

3.4 Ausnahmen vom Unvereinbarkeitsverbot

Einwilligung: Hat die betroffene Person in die Weiterverarbeitung eingewilligt (Art. 6 Abs. 4 DSGVO), ist sie nicht mehr schutzwürdig. Voraussetzung ist, dass die Einwilligung hinreichend bestimmt ist und den Zweck der Weiterverarbeitung klar erkennen lässt.
Gesetzliche Öffnung: Eine Rechtsvorschrift des Unionsrechts oder des nationalen Rechts, die zum Schutz eines der in Art. 23 Abs. 1 DSGVO genannten Ziele notwendig und verhältnismäßig ist, kann eine inkompatible Weiterverarbeitung zulassen (Art. 6 Abs. 4 DSGVO). In Deutschland sind insbesondere §§ 23, 24 BDSG hervorzuheben.
Privilegierte Zwecke: Nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO wird die Vereinbarkeit für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke fingiert.

Die Privilegierung nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO ist eng auszulegen. Sie befreit nicht von den Anforderungen des Art. 89 Abs. 1 DSGVO an technische und organisatorische Maßnahmen und schränkt nicht die Widerspruchsrechte nach Art. 21 DSGVO vollständig aus. Ob die Weiterverarbeitung zusätzlich einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedarf, ist in der Literatur umstritten.

3.5 Rechtsfolge bei Unvereinbarkeit

Ist die Weiterverarbeitung mit dem Erhebungszweck unvereinbar, ist sie unzulässig. Der Verantwortliche kann die Unvereinbarkeit nicht durch den Rückgriff auf eine neue Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO heilen; möglich bleibt nur eine neue Erhebung für den anderen Zweck. Andernfalls würde der Grundsatz der Zweckbindung leerlaufen und die speziellen Anforderungen des Art. 6 Abs. 4 in Verbindung mit Art. 23 Abs. 1 DSGVO umgangen.

4 Zweckänderung als Informationspflicht

Eine mit dem Erhebungszweck vereinbare Zweckänderung ist zulässig, der Verantwortliche muss die betroffene Person aber über die Änderung informieren (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO). Die Informationspflicht mildert die Schwierigkeit, die jede Zweckänderung für die Kontrolle der betroffenen Person über ihre Daten mit sich bringt.

Rechtsgrundlagen

Art. 6 DSGVO im Überblick.

Datenminimierung

Art. 5 Abs. 1 lit. c DSGVO.

Transparenzpflichten

Informations- und Transparenzpflichten nach Art. 12-14 DSGVO.

Volkszählungsurteil

BVerfGE 65, 1: Recht auf informationelle Selbstbestimmung.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Transparenz (Art. 5 Abs. 1 lit. a DSGVO)

Der Transparenzgrundsatz der DSGVO: retrospektive und prospektive Nachvollziehbarkeit der Verarbeitung, inhaltliche und sprachliche Anforderungen an die Betroffeneninformation.

Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Datenminimierung als Grundsatz der DSGVO: Erheblichkeit, Erforderlichkeit und Angemessenheit der Datenverarbeitung; Unterschiede zur früheren Datensparsamkeit; praktische Anwendungsfelder.

On this page

1 Überblick1.1 Die zwei Aspekte der Zweckbindung1.2 Rechtsfolge und Systematik2 Zweckfestlegung2.1 Festgelegt2.2 Präzisionsgrad der Zweckbestimmung2.3 Eindeutig2.4 Legitim3 Unvereinbarkeitsverbot3.1 Doppelte Verneinung und Flexibilität3.2 Bezug auf den Erhebungskontext3.3 „Weise" der Verarbeitung3.4 Ausnahmen vom Unvereinbarkeitsverbot3.5 Rechtsfolge bei Unvereinbarkeit4 Zweckänderung als Informationspflicht