Die Zweckbindung ist eines der zentralen Prinzipien der Datenschutz-Grundverordnung und bildet das Fundament jeder rechtmäßigen Datenverarbeitung. Sie besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden dürfen. In sozialwirtschaftlichen Einrichtungen bedeutet dies konkret, dass Daten ausschließlich für den jeweiligen fachlichen, rechtlichen oder organisatorischen Anlass verarbeitet werden dürfen, für den sie erhoben wurden – etwa zur Leistungsgewährung, zur pädagogischen Betreuung, zur Abrechnung oder zur rechtlich geforderten Dokumentation. Jede Nutzung darüber hinaus ist grundsätzlich unzulässig, es sei denn, es liegt eine neue Rechtsgrundlage oder eine wirksame Einwilligung der betroffenen Person vor.

Die praktische Bedeutung der Zweckbindung zeigt sich etwa darin, dass Informationen aus einem Hilfeplan nicht ohne weiteres für Personalentscheidungen, Öffentlichkeitsarbeit oder interne Evaluation verwendet werden dürfen, wenn dies nicht bereits bei der Erhebung offengelegt wurde. Auch eine spätere Weitergabe von personenbezogenen Daten an Dritte – etwa an andere Kostenträger, Forschungseinrichtungen oder politische Gremien – verstößt gegen die DSGVO, wenn sie nicht dem ursprünglich angegebenen Zweck entspricht oder keine neue Rechtsgrundlage vorliegt. Ebenso unzulässig ist es, einmal erhobene Daten zur Erleichterung anderer Prozesse „weiterzuverwenden“, wenn dadurch der ursprüngliche Zusammenhang verlassen wird.

Die Zweckbindung schützt die betroffenen Personen davor, dass ihre Daten zu anderen, möglicherweise nachteiligen oder intransparenten Zwecken eingesetzt werden. Gerade in der Sozialwirtschaft, wo es häufig um sehr persönliche, belastende oder intime Informationen geht, ist dieser Schutz besonders wichtig. Wenn beispielsweise sensible Informationen über psychische Erkrankungen, familiäre Konflikte oder Gewalterfahrungen in einem Kontext erhoben wurden, dürfen sie nicht ohne Weiteres für andere Zwecke herangezogen werden, etwa für statistische Erhebungen, Fördermittelanträge oder interne Controllingprozesse. Selbst innerhalb einer Einrichtung darf ein Datenzugriff nur erfolgen, wenn er für den definierten Zweck notwendig ist – das betrifft etwa die Weitergabe von Klienteninformationen an andere Fachbereiche, Verwaltungsmitarbeitende oder die Geschäftsführung.

In der Praxis zeigt sich immer wieder, dass öffentliche Träger die Zweckbindung missachten, indem sie pauschal umfangreiche Datenübermittlungen von freien Trägern verlangen, die mit dem konkreten Verwendungszweck nicht im Einklang stehen. Einrichtungen sollten diesen Anforderungen nicht ungeprüft nachkommen, sondern datenschutzkonform prüfen, ob die angeforderten Informationen tatsächlich zur Erfüllung des Zwecks notwendig sind. Wenn keine klare Zweckbindung besteht, ist eine Herausgabe unzulässig – auch wenn sie vom Kostenträger gefordert wird.

Für die datenschutzkonforme Umsetzung der Zweckbindung sind klar strukturierte Verzeichnisse von Verarbeitungstätigkeiten erforderlich. In diesen Verzeichnissen wird definiert, zu welchem Zweck welche Daten erhoben, verarbeitet und weitergegeben werden. Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, die jeweiligen Zwecke sauber zu dokumentieren, Änderungen zu überwachen und die Weiterverwendung von Daten an die festgelegten Grenzen zu koppeln. Darüber hinaus ermöglicht das System, Risiken zu identifizieren, die mit Zweckverfehlungen oder Zweckverlagerungen verbunden sind, und entsprechende Kontrollmechanismen einzubauen. Auch die Meldung von Zweckverstößen oder unzulässiger Datenweitergabe kann über die Whistleblower-Plattform der IJOS GmbH datenschutzkonform erfolgen.

Zweckbindung ist weit mehr als eine formale Vorgabe – sie ist Ausdruck von Respekt gegenüber der betroffenen Person und ein konkreter Schutzmechanismus gegen Missbrauch, Machtungleichgewichte und Vertrauensverluste. Einrichtungen der Sozialwirtschaft, die ihre Verantwortung ernst nehmen, müssen den Umgang mit Zwecken konsequent steuern, dokumentieren und begrenzen. Wer personenbezogene Daten erhebt, muss dabei von Anfang an klar sagen, wozu – und darf später nicht einfach umdisponieren.