Zweckänderung (Art. 6 Abs. 4 DSGVO)
Kompatibilitätstest bei Weiterverarbeitung zu neuen Zwecken: Funktion des Art. 6 Abs. 4 DSGVO, Kriterien des Kompatibilitätstests und Sonderfall der Archiv-, Forschungs- und Statistikzwecke.
Art. 6 Abs. 4 DSGVO regelt, unter welchen Voraussetzungen personenbezogene Daten, die zu einem bestimmten Zweck erhoben wurden, auch zu einem anderen Zweck weiterverarbeitet werden dürfen. Die Vorschrift konkretisiert den Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO. Sie ist weder eigenständige Rechtsgrundlage noch Öffnungsklausel, sondern ein Kompatibilitätstest.
Das Wichtigste in Kürze
- Art. 6 Abs. 4 DSGVO ist kein eigener Erlaubnistatbestand und keine Öffnungsklausel, sondern ein Kompatibilitätstest, der die Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO konkretisiert.
- Bei Einwilligung der betroffenen Person oder einer Rechtsvorschrift nach Art. 23 DSGVO entfällt der Test.
- Im Regelfall entscheidet der Kompatibilitätstest anhand von fünf nicht abschließenden Kriterien (lit. a-e), ob der neue Zweck mit dem ursprünglichen vereinbar ist.
- Jede Weiterverarbeitung braucht zwingend eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO; bei Vereinbarkeit kann das dieselbe sein, die schon die Ersterhebung trug.
- Archiv-, Forschungs- und Statistikzwecke gelten nach Art. 5 Abs. 1 lit. b DSGVO als vereinbar, sofern die Garantien des Art. 89 DSGVO gewahrt sind.
1 Überblick
1.1 Funktion der Vorschrift
Art. 6 Abs. 4 DSGVO beantwortet die Frage, ob ein neuer Verarbeitungszweck noch mit dem ursprünglichen Erhebungszweck vereinbar ist. Ist dies der Fall, bleibt die ursprüngliche Rechtsgrundlage auch für die Weiterverarbeitung tragfähig. Ist dies nicht der Fall, muss der Verantwortliche entweder eine neue Rechtsgrundlage schaffen (insbesondere Einwilligung) oder die Weiterverarbeitung unterlassen.
Das folgende Diagramm zeigt die Entscheidungslogik des Art. 6 Abs. 4 DSGVO im Überblick: zuerst die beiden Ausnahmen, die den Test entbehrlich machen, dann der Kompatibilitätstest als Regelfall.
1.2 Rechtsnatur
Die Vorschrift ist weder selbst Rechtsgrundlage für eine Weiterverarbeitung noch Öffnungsklausel für das nationale Recht. Sie ergänzt Art. 6 Abs. 1 DSGVO und beschränkt sich auf die Kompatibilitätsprüfung. Der Bundesgerichtshof hat Art. 6 Abs. 4 DSGVO demgegenüber als Öffnungsklausel gedeutet (BGH, Beschl. v. 24.09.2019, VI ZB 39/18, Rn. 35); diese Auslegung ist in der Literatur umstritten, weil sie den abschließenden Charakter des Erlaubniskatalogs des Abs. 1 in Frage stellt.
1.3 Systematische Stellung
Die Weiterverarbeitung zu einem anderen Zweck setzt Folgendes voraus:
- Ursprüngliche Verarbeitung war rechtmäßig (Art. 6 Abs. 1 DSGVO),
- Neue Verarbeitung stützt sich wiederum auf einen Erlaubnistatbestand des Art. 6 Abs. 1 DSGVO,
- Der neue Zweck ist entweder mit dem ursprünglichen Zweck vereinbar (dann trägt die ursprüngliche Rechtsgrundlage fort) oder es greift einer der Ausnahmetatbestände des Abs. 4 Hs. 1 (Einwilligung, mitgliedstaatliche Spezialregelung nach Art. 23 DSGVO).
1.4 Zweckbindung als autonome unionsrechtliche Figur
Der Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO ist nicht mit dem in der deutschen datenschutzrechtlichen Tradition verwendeten Begriff gleichzusetzen. Während das frühere deutsche Recht eine strikte Bindung aller Verarbeitungsschritte an die vor oder bei Datenerhebung festgelegten Verwendungszwecke verlangte und Zweckänderungsmöglichkeiten nur flankierend zuließ, arbeitet Art. 5 Abs. 1 lit. b DSGVO bereits mit einer flexibilisierten Bindung: Verarbeitungen zu neuen, aber mit dem ursprünglichen Zweck kompatiblen Zwecken sind als zweckändernd einzuordnen und werden nicht etwa als noch vom ursprünglichen Zweck erfasst angesehen. Die englische Sprachfassung („principle of purpose limitation") bildet diese Konzeption klarer ab.
1.5 Rechtsgrundlage für die Weiterverarbeitung zwingend
Der missverständlich formulierte Erwägungsgrund 50 Satz 2, wonach bei kompatiblen Zwecken „keine andere gesonderte Rechtsgrundlage erforderlich" ist, bedeutet nicht, dass die Weiterverarbeitung ohne Rechtsgrundlage rechtmäßig wäre. Jede Verarbeitung, auch die zweckändernde, muss sich auf einen der Tatbestände des Art. 6 Abs. 1 DSGVO stützen. In vielen Fällen kann das dieselbe Rechtsgrundlage sein, die bereits die Ersterhebung trug; die Rechtmäßigkeitsprüfung (insbesondere der Erforderlichkeit) ist aber eigenständig für den jeweiligen Verarbeitungsschritt vorzunehmen. Stützt sich eine zweckändernde Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO, bedarf es einer umfassenden neuen Interessenabwägung, die auch die in die ursprüngliche Abwägung eingestellten Interessen einbezieht.
2 Ausnahmen von der Kompatibilitätsprüfung
2.1 Einwilligung der betroffenen Person
Willigt die betroffene Person in die Weiterverarbeitung zu einem neuen Zweck ein, ist der Kompatibilitätstest entbehrlich. Die Einwilligung muss den Voraussetzungen der Art. 4 Nr. 11, Art. 7 DSGVO genügen; sie bezieht sich auf den neuen Zweck und ist abgetrennt von der ursprünglichen Einwilligung zu erteilen.
2.2 Rechtsvorschrift nach Art. 23 DSGVO
Beruht die Weiterverarbeitung auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt, ist ebenfalls kein Kompatibilitätstest erforderlich. Typische Anwendungsfälle sind Strafverfolgung, nationale Sicherheit, Verteidigung oder die Abwehr schwerwiegender Bedrohungen der öffentlichen Sicherheit.
3 Kompatibilitätstest
3.1 Bedeutung
Der Kompatibilitätstest ist der Regelfall des Art. 6 Abs. 4 DSGVO. Er entscheidet darüber, ob der neue Zweck noch durch die ursprüngliche Rechtsgrundlage gedeckt ist. Die Prüfung ist umfassend und berücksichtigt alle Umstände des Einzelfalls.
3.2 Nicht abschließender Kriterienkatalog
Art. 6 Abs. 4 DSGVO nennt fünf Kriterien, die „unter anderem" zu berücksichtigen sind. Der EuGH hat die Prüfung dahingehend präzisiert, dass eine „konkrete, kohärente und ausreichend enge Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung der Daten" bestehen und sichergestellt sein muss, dass die Weiterverarbeitung nicht von den legitimen Erwartungen der betroffenen Personen hinsichtlich der weiteren Verwendung ihrer Daten abweicht (EuGH, Urt. v. 02.03.2023, C-268/21, Norra Stockholm Bygg, Rn. 32).
Die folgende Übersicht fasst die fünf Kriterien zusammen; die anschließenden Abschnitte vertiefen sie:
| Kriterium (Art. 6 Abs. 4 DSGVO) | Worauf es ankommt |
|---|---|
| lit. a Verbindung zwischen den Zwecken | Wie eng Erhebungs- und Weiterverarbeitungszweck inhaltlich zusammenhängen. |
| lit. b Kontext der Erhebung | Beziehung und Vertrauensverhältnis zwischen betroffener Person und Verantwortlichem, vernünftige Erwartungen. |
| lit. c Art der Daten | Erhöhter Schutz für besondere Kategorien (Art. 9 DSGVO) und Daten zu Straftaten (Art. 10 DSGVO). |
| lit. d Mögliche Folgen | Je gravierender die Folgen für die betroffene Person, desto strenger der Test. |
| lit. e Garantien | Pseudonymisierung, Verschlüsselung und Zugriffsbeschränkungen können die Kompatibilität fördern. |
3.3 Verbindung zwischen Zwecken (lit. a)
Zu prüfen ist, wie eng die Zwecke inhaltlich zusammenhängen. Eine Zweckverbindung liegt nahe, wenn beide Zwecke demselben Zusammenhang angehören (etwa Abwicklung eines Vertrags und spätere Rechnungsprüfung), und ist fernliegend, wenn sich die Zwecke inhaltlich stark unterscheiden (etwa Vertragsabwicklung und Marketing).
3.4 Kontext der Erhebung (lit. b)
Der Kontext der ursprünglichen Erhebung ist entscheidend: In welcher Beziehung standen die betroffene Person und der Verantwortliche? Welche Erwartungen durfte die betroffene Person vernünftigerweise haben? Ein enges Vertrauensverhältnis (etwa Arzt-Patient, Rechtsanwalt-Mandant) erhöht die Anforderungen an die Zweckkompatibilität.
3.5 Art der Daten (lit. c)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) genießen erhöhten Schutz. Bei ihrer Weiterverarbeitung ist besondere Zurückhaltung geboten; der Kompatibilitätstest fällt regelmäßig strenger aus.
3.6 Mögliche Folgen (lit. d)
Zu berücksichtigen sind die möglichen Folgen der Weiterverarbeitung für die betroffene Person. Je gravierender die Folgen (z.B. Ausschluss von Leistungen, Bonitätsbeeinträchtigungen, öffentliche Bekanntmachung), desto höher die Anforderungen an die Kompatibilität.
3.7 Garantien (lit. e)
Maßnahmen, die den Eingriff abmildern, können die Kompatibilität fördern. Das betrifft insbesondere Pseudonymisierung, Verschlüsselung, Zugriffsbeschränkungen und organisatorische Maßnahmen. Solche Garantien können den Ausschlag zugunsten der Weiterverarbeitung geben.
4 Archiv-, Forschungs- und statistische Zwecke
4.1 Privilegierung nach Art. 5 Abs. 1 lit. b DSGVO
Art. 5 Abs. 1 lit. b Hs. 2 DSGVO stuft die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke grundsätzlich als mit den ursprünglichen Zwecken vereinbar ein. Die Privilegierung entfaltet sich allerdings nur, soweit die Anforderungen des Art. 89 DSGVO eingehalten werden.
4.2 Anforderungen des Art. 89 DSGVO
Art. 89 DSGVO verlangt geeignete Garantien, insbesondere Datenminimierung, Pseudonymisierung und technisch-organisatorische Maßnahmen. Die Mitgliedstaaten können weitere Ausnahmen von Betroffenenrechten vorsehen, soweit dies zur Erfüllung der privilegierten Zwecke erforderlich ist.
4.3 Abgrenzung zu kommerzieller Forschung
Nicht jede „Forschung" ist von der Privilegierung erfasst. Der EuGH legt den Begriff eng aus; rein kommerzielle Marktforschung oder Produktoptimierung fällt nicht darunter. Entscheidend ist, ob die Forschung methodisch und nach anerkannten wissenschaftlichen Standards erfolgt.
5 Besondere Konstellationen
5.1 Weiterverarbeitung durch Behörden
Behörden können sich für Zweckänderungen nicht auf lit. f stützen; sie bleiben auf lit. c oder e iVm Art. 6 Abs. 3 DSGVO verwiesen. Eine Zweckänderung durch Behörden bedarf daher regelmäßig einer ausdrücklichen mitgliedstaatlichen Rechtsgrundlage.
5.2 Weiterverarbeitung im gerichtlichen Verfahren
Wird eine Behörde als Partei in einem gerichtlichen Verfahren zur Vorlage von Unterlagen verpflichtet, liegt darin eine Zweckänderung gegenüber der ursprünglichen Erhebung. Der EuGH hat klargestellt, dass diese Zweckänderung an Art. 6 Abs. 3 und Abs. 4 DSGVO zu messen ist (EuGH, Urt. v. 08.12.2022, C-180/21, Inspectoratul General pentru Imigrări, Rn. 89 ff.; EuGH, Urt. v. 02.03.2023, C-268/21, Norra Stockholm Bygg, Rn. 42 ff.).
5.3 Big-Data-Anwendungen und Data Analytics
Big-Data-Auswertungen und prädiktive Analysen stellen die Kompatibilitätsprüfung auf die Probe. Die Auswertung „zu neuen Erkenntnissen" ist ein neuer Zweck; wird dieser nicht bereits bei der ursprünglichen Erhebung hinreichend bestimmt, scheitert die Weiterverarbeitung am Bestimmtheitsgrundsatz. Pseudonymisierung und aggregierende Verfahren sind in diesen Konstellationen zentral.
In der Praxis ist der Kompatibilitätstest häufig nicht intuitiv zu handhaben. Es empfiehlt sich, die Prüfung anhand der fünf Kriterien des Art. 6 Abs. 4 DSGVO schriftlich zu dokumentieren. Fällt die Prüfung negativ aus, bleibt regelmäßig nur die Einwilligung als Ausweg, mit allen damit verbundenen Unsicherheiten (Freiwilligkeit, Widerruf).
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO: dreistufige Prüfung (Interesse, Erforderlichkeit, Abwägung), Behördenausschluss nach Art. 6 Abs. 1 UA 2 DSGVO und Fallgruppen.
Öffnungsklauseln und nationales Recht (Art. 6 Abs. 2, 3 DSGVO)
Regelungsspielraum der Mitgliedstaaten bei Art. 6 Abs. 1 lit. c und e DSGVO: Systematik der Öffnungsklauseln, Grenzen des nationalen Gesetzgebers, BDSG, Landesgesetze und TDDDG.