# Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Zweckbindung als Grundsatz der DSGVO: Pflicht zur Zweckfestlegung, Unvereinbarkeitsverbot, Ausnahmen für Archiv-, Forschungs- und Statistikzwecke, Verhältnis zu Art. 6 Abs. 4 DSGVO.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung
> Sprache: en



Die Zweckbindung ist der „Grundstein des Datenschutzrechts". Sie ist Bezugspunkt nahezu aller übrigen Anforderungen der DSGVO: Erforderlichkeit, Informationspflichten und Rechtsgrundlage lassen sich ohne festgelegten Zweck nicht prüfen.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Die Zweckbindung hat zwei Aspekte: **Zweckfestlegung** (festgelegte, eindeutige, legitime Zwecke) und **Unvereinbarkeitsverbot** der Weiterverarbeitung.
  * Der Zweck ist vor oder mit Beginn der Verarbeitung **festzulegen**; allgemeine Bezeichnungen wie „Werbung" oder „IT-Sicherheit" genügen nicht.
  * Eine Weiterverarbeitung ist nur zulässig, wenn sie mit dem **Erhebungskontext** und den Erwartungen der betroffenen Person vereinbar ist (Faktoren: Art. 6 Abs. 4 DSGVO).
  * Ausnahmen vom Unvereinbarkeitsverbot: **Einwilligung**, **gesetzliche Öffnung** und **privilegierte Zwecke** (Archiv, Forschung, Statistik).
  * Ein Verstoß macht die Verarbeitung **unzulässig** und ist als Grundsatzverstoß bußgeldbewehrt; eine Heilung über eine neue Rechtsgrundlage scheidet aus.
</Callout>

## 1 Überblick [#1-überblick]

### 1.1 Die zwei Aspekte der Zweckbindung [#11-die-zwei-aspekte-der-zweckbindung]

Art. 5 Abs. 1 lit. b Hs. 1 DSGVO zerlegt den Grundsatz in zwei Aspekte:

* **Zweckfestlegung**: Eine Verarbeitung darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen.
* **Unvereinbarkeitsverbot**: Eine Weiterverarbeitung darf nicht in einer mit dem Erhebungszweck unvereinbaren Weise erfolgen.

Art. 5 Abs. 1 lit. b Hs. 2 DSGVO enthält daneben eine **Privilegierung** für Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke.

### 1.2 Rechtsfolge und Systematik [#12-rechtsfolge-und-systematik]

Die Zweckbindung wirkt als Konstruktionsprinzip der DSGVO. Der Zweck der Verarbeitung ist der Fixpunkt, an dem sich die Erforderlichkeit der Datenverarbeitung, die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO, die Informationspflichten nach Art. 13, 14 DSGVO sowie die Lösch- und Speicherpflichten ausrichten. Ein Verstoß gegen die Zweckbindung macht die Verarbeitung unzulässig; er ist zudem als Grundsatzverstoß bußgeldbewehrt.

## 2 Zweckfestlegung [#2-zweckfestlegung]

### 2.1 Festgelegt [#21-festgelegt]

Der Verarbeitungszweck muss **festgelegt** sein, d.h. vor oder spätestens mit Beginn der Verarbeitung bestimmt werden. Schon die Grundrechtecharta verbietet in Art. 8 Abs. 2 S. 1 GRC eine Verarbeitung zu unbestimmten Zwecken. Bereits das BVerfG hat in der Volkszählungsentscheidung die Verarbeitung personenbezogener Daten „auf Vorrat" als unvereinbar mit dem Recht auf informationelle Selbstbestimmung beanstandet ([BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Volkszählung, BVerfGE 65, 1](https://www.servat.unibe.ch/dfr/bv065001.html)).

Die Festlegung des Zwecks hat für den Verantwortlichen zugleich eine Hinweis- und Warnfunktion. Sie zwingt ihn, vor der Erhebung zu prüfen, welche Ziele er mit der Verarbeitung verfolgt, und wirkt damit als Instrument der Selbstregulierung. Die DSGVO schreibt keine besondere Form vor; zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sollte die Festlegung jedoch schriftlich oder in vergleichbar dauerhafter Form dokumentiert werden. Praktisch erfolgt die Festlegung häufig im [Verzeichnis von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten) (Art. 30 Abs. 1 S. 2 lit. b DSGVO) oder in der Information nach Art. 13 Abs. 1 lit. c DSGVO.

Auch bei Verarbeitungen auf gesetzlicher Grundlage nach Art. 6 Abs. 1 lit. c oder lit. e DSGVO bleibt die Zweckfestlegung erforderlich. Zwar fordert Art. 6 Abs. 3 S. 2 DSGVO, dass der Zweck bereits in der Rechtsgrundlage festgelegt ist. Dieser gesetzliche Zweck ist aber typischerweise weiter gefasst als der konkrete Verarbeitungszweck. Der Verantwortliche muss daher für jede konkrete Verarbeitung festlegen, für welchen der möglichen Zwecke er die Daten tatsächlich verarbeitet.

### 2.2 Präzisionsgrad der Zweckbestimmung [#22-präzisionsgrad-der-zweckbestimmung]

Wie präzise der Zweck zu bestimmen ist, hängt vom Einzelfall ab. Die Präzision ist umso größer zu wählen, je sensibler die Daten, je umfangreicher die Verarbeitung und je intensiver die Folgen für die betroffene Person sind. Die Tendenz der DSGVO geht zu einer eher engen Zweckbestimmung; Erwägungsgrund 33 DSGVO lässt lediglich bei Einwilligungen zu Forschungsvorhaben eine breitere Zweckbestimmung zu.

<Callout type="warn">
  Allgemeine Bezeichnungen wie „Werbung", „Verbesserung der Leistung" oder „IT-Sicherheit" genügen nicht. Sie ermöglichen es der betroffenen Person nicht, die konkreten Verarbeitungsvorgänge nachzuvollziehen, und laufen daher dem Grundsatz der Transparenz und der Zweckbindung zuwider ([Artikel-29-Datenschutzgruppe, WP 203, Opinion 03/2013 on purpose limitation, v. 02.04.2013](https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf), S. 16).
</Callout>

### 2.3 Eindeutig [#23-eindeutig]

Das Merkmal „eindeutig" (englisch „explicit", französisch „explicites") hat neben der Klarheit des Zwecks eine **kommunikative** Dimension: Der Zweck soll der betroffenen Person **mitgeteilt** werden. Die Zweckbestimmung dient damit nicht nur der internen Bindung des Verantwortlichen, sondern zugleich der Transparenz und Voraussehbarkeit aus Sicht der betroffenen Person.

### 2.4 Legitim [#24-legitim]

„Legitim" ist weiter zu verstehen als „rechtmäßig" im Sinne des Art. 6 Abs. 1 DSGVO. Es kommt nicht darauf an, ob eine Rechtsgrundlage für die Verarbeitung besteht, sondern ob der Zweck mit der Rechtsordnung insgesamt im Einklang steht. Missbilligte Zwecke (etwa die gezielte Diskriminierung bestimmter Personengruppen aus rassistischen Motiven) sind nicht legitim. Praktisch handelt es sich um einen groben Filter; er greift erst bei krassen Verstößen.

## 3 Unvereinbarkeitsverbot [#3-unvereinbarkeitsverbot]

### 3.1 Doppelte Verneinung und Flexibilität [#31-doppelte-verneinung-und-flexibilität]

Art. 5 Abs. 1 lit. b Hs. 1 DSGVO verbietet eine Weiterverarbeitung zu Zwecken, die „nicht zu vereinbaren" sind mit den ursprünglichen Erhebungszwecken. Der Unionsgesetzgeber hat sich bewusst für die doppelte Verneinung entschieden, statt eine ausdrückliche Vereinbarkeit zu fordern. Das verschafft dem Verantwortlichen einen gewissen Spielraum: Im Zweifel ist die Weiterverarbeitung nicht verboten. Erwägungsgrund 50 S. 1 und S. 6 DSGVO beschreiben allerdings den positiven Fall der Vereinbarkeit, was zeigt, dass der Verantwortliche nicht vollkommen frei entscheiden kann.

### 3.2 Bezug auf den Erhebungskontext [#32-bezug-auf-den-erhebungskontext]

Die Vereinbarkeit ist am Erhebungskontext und an den Erwartungen der betroffenen Person zu diesem Zeitpunkt zu messen. Art. 6 Abs. 4 DSGVO listet die dabei heranzuziehenden Faktoren auf (Verbindung zwischen den Zwecken, Zusammenhang der Erhebung, Art der Daten, mögliche Folgen, Vorliegen geeigneter Garantien). Entscheidend ist zusätzlich, ob die betroffene Person die Weiterverarbeitung zum Zeitpunkt der Erhebung vernünftigerweise erwarten musste. Je stärker sich die Zweckrichtung verschiebt, desto weniger lässt sich eine Vereinbarkeit annehmen.

### 3.3 „Weise" der Verarbeitung [#33-weise-der-verarbeitung]

Art. 5 Abs. 1 lit. b Hs. 1 DSGVO stellt nicht nur auf den Zweck der Weiterverarbeitung ab, sondern auf die „Weise" der Verarbeitung. Auch bei fortbestehendem Zweck kann eine Weiterverarbeitung unzulässig sein, wenn sich wichtige Umstände (etwa technische Rahmenbedingungen oder Kreis der Empfänger) seit der Erhebung verändert haben und die Verarbeitung für die betroffene Person dadurch in einem anderen Licht erscheint.

### 3.4 Ausnahmen vom Unvereinbarkeitsverbot [#34-ausnahmen-vom-unvereinbarkeitsverbot]

<Steps>
  <Step>
    **Einwilligung**

    : Hat die betroffene Person in die Weiterverarbeitung eingewilligt (Art. 6 Abs. 4 DSGVO), ist sie nicht mehr schutzwürdig. Voraussetzung ist, dass die Einwilligung hinreichend bestimmt ist und den Zweck der Weiterverarbeitung klar erkennen lässt.
  </Step>

  <Step>
    **Gesetzliche Öffnung**

    : Eine Rechtsvorschrift des Unionsrechts oder des nationalen Rechts, die zum Schutz eines der in Art. 23 Abs. 1 DSGVO genannten Ziele notwendig und verhältnismäßig ist, kann eine inkompatible Weiterverarbeitung zulassen (Art. 6 Abs. 4 DSGVO). In Deutschland sind insbesondere §§ 23, 24 BDSG hervorzuheben.
  </Step>

  <Step>
    **Privilegierte Zwecke**

    : Nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO wird die Vereinbarkeit für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke fingiert.
  </Step>
</Steps>

<Callout type="warn">
  Die Privilegierung nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO ist eng auszulegen. Sie befreit nicht von den Anforderungen des Art. 89 Abs. 1 DSGVO an technische und organisatorische Maßnahmen und schränkt nicht die Widerspruchsrechte nach Art. 21 DSGVO vollständig aus. Ob die Weiterverarbeitung zusätzlich einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO bedarf, ist in der Literatur umstritten.
</Callout>

### 3.5 Rechtsfolge bei Unvereinbarkeit [#35-rechtsfolge-bei-unvereinbarkeit]

Ist die Weiterverarbeitung mit dem Erhebungszweck unvereinbar, ist sie unzulässig. Der Verantwortliche kann die Unvereinbarkeit nicht durch den Rückgriff auf eine neue Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO heilen; möglich bleibt nur eine neue Erhebung für den anderen Zweck. Andernfalls würde der Grundsatz der Zweckbindung leerlaufen und die speziellen Anforderungen des Art. 6 Abs. 4 in Verbindung mit Art. 23 Abs. 1 DSGVO umgangen.

## 4 Zweckänderung als Informationspflicht [#4-zweckänderung-als-informationspflicht]

Eine mit dem Erhebungszweck vereinbare Zweckänderung ist zulässig, der Verantwortliche muss die betroffene Person aber über die Änderung informieren (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO). Die Informationspflicht mildert die Schwierigkeit, die jede Zweckänderung für die Kontrolle der betroffenen Person über ihre Daten mit sich bringt.

<Cards>
  <Card title="Rechtsgrundlagen" href="/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung" description="Art. 6 DSGVO im Überblick." />

  <Card title="Datenminimierung" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.5-datenminimierung" description="Art. 5 Abs. 1 lit. c DSGVO." />

  <Card title="Transparenzpflichten" href="/docs/dsgvo-hub/einzelthemen/transparenzpflichten" description="Informations- und Transparenzpflichten nach Art. 12 bis 14 DSGVO (Datenschutzerklärung)." />

  <Card title="Volkszählungsurteil" href="/docs/dsgvo-hub/rechtsprechung/1.4.1-bverfg-volkszaehlung" description="BVerfGE 65, 1: Recht auf informationelle Selbstbestimmung." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.