Praxistipp DSGVO #5: Festlegen des Zwecks
Die DSGVO enthält eine ganze Reihe von teilweise recht komplexen Abläufen und Strukturen, die bis Mai 2018 umsetzt sein müssen. Um den in Praxistipp DSGVO #3: IST-SOLL-Analyse empfohlenen Ist-Soll-Abgleich erfolgreich durchführen zu können, muss jedoch erst einmal bekannt sein, welche Inhalte zukünftig das „Soll“ im Datenschutz sind. Wir setzen daher die Praxistipps mit einer Übersicht über ausgewählten Punkten der DSGVO fort, deren Umsetzung zukünftig von Unternehmen sichergestellt werden muss.
Festlegen des Zwecks der Datenverarbeitung
Bei der ersten Erhebung oder sonstigen Verarbeitung personenbezogener Daten muss das Unternehmen die Zwecke festlegen, für die es die Daten verarbeitet. Die Daten dürfen nur für „festgelegte, eindeutige und legitime Zwecke“ erhoben werden (Art. 5 Abs. 1 lit. (b) DSGVO).
Beispiel: Ein Unternehmen erhebt Kundendaten im Rahmen einer neu beginnenden Geschäftsbeziehung.
Die möglichen Zwecke der Datenerhebung und -verarbeitung
– Aufbau und Durchführung einer Kundenbeziehung
– der Pflege der Kundenbeziehung
– die Durchführung eines Vertrags
…
müssen vom Unternehmen festgelegt und dokumentiert werden.
Einhaltung ist nachzuweisen
Nach Art. 5 Abs. 2 DSGVO muss das Unternehmen die Einhaltung dieser Vorgaben nachweisen können.
Außerdem ist die Dokumentation im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit c oder Art. 14 Abs. 1 lit c DSGVO erforderlich.
Als Mittel für die Umsetzung der Zweckfestlegung bietet sich das Verfahrensverzeichnis an, das in der Terminologie der DSGVO jetzt „Verzeichnis von Verarbeitungstätigkeiten“ heißt und gem. Art. 30 DSGVO auch weiterhin geführt werden muss.
Unternehmensintern ist ein Prozess zu definieren mit dem sichergestellt wird, dass vor jeder neuen Datenerhebung die Prüfung der Zulässigkeit der Zwecke stattfindet und in die Dokumentation übernommen wird.