„Function Creep“: Ein schleichendes Risiko für den Datenschutz

Im modernen Unternehmensumfeld ist der Begriff „Function Creep“ ein wachsendes Problem. Dieser Begriff beschreibt die schrittweise und oft unbemerkte Erweiterung des Verwendungszwecks von ursprünglich erhobenen Daten. Obwohl Daten für einen bestimmten Zweck erhoben wurden, können sie über die Zeit hinweg für andere Zwecke genutzt werden, die ursprünglich nicht vorgesehen waren. Diese Praxis widerspricht jedoch einem der sieben Grundprinzipien der Datenschutz-Grundverordnung (DSGVO), nämlich dem Prinzip der Zweckbindung.

Das Wichtigste in Kürze

• „Function Creep“ beschreibt die schleichende Erweiterung des Verwendungszwecks von personenbezogenen Daten über den ursprünglich vorgesehenen Zweck hinaus, was gegen das DSGVO-Prinzip der Zweckbindung verstößt.
• Zweckbindung ist ein zentrales Prinzip der DSGVO: Daten dürfen nur für den ursprünglich festgelegten Zweck verwendet werden. Jede darüber hinausgehende Nutzung erfordert eine neue Einwilligung oder eine anderweitige Rechtsgrundlage.
• Unternehmen, die gegen das Prinzip der Zweckbindung verstoßen, riskieren empfindliche Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Was bedeutet „Function Creep“ und warum ist es problematisch? 

„Function Creep“ bezeichnet den Vorgang, bei dem Daten, die für einen bestimmten Zweck erhoben wurden, im Laufe der Zeit für zusätzliche Zwecke verwendet werden, die ursprünglich nicht vorgesehen waren. Dieser Prozess geschieht oft schleichend, ohne dass den Verantwortlichen die datenschutzrechtlichen Implikationen bewusst sind. Ein Beispiel dafür ist, wenn ein Unternehmen Kundendaten zunächst zur Vertragsabwicklung erhebt und diese später - ohne die hierfür benötigte Rechtsgrundlage - für Marketingzwecke verwendet. Ein weiteres Beispiel ist die Verwendung von GPS-Daten von Dienstfahrzeugen, die ursprünglich zur Routenplanung und Fahrzeugverwaltung erhoben wurden, aber später dazu genutzt werden, die Produktivität von Mitarbeitern zu überwachen, ohne dass hierfür eine entsprechende Einwilligung oder rechtliche Grundlage vorliegt.

Dieses Phänomen kann insbesondere in großen Datenpools entstehen, in denen personenbezogene Daten aus verschiedenen Quellen zusammengeführt und für neue, datengetriebene Geschäftsmodelle genutzt werden. Was zunächst als einmalige Erhebung mit klar definiertem Zweck beginnt, kann im Laufe der Zeit durch technische Möglichkeiten oder strategische Neuausrichtungen zu einem umfassenden Datennutzungsszenario mutieren.

Rechtliche Bewertung 

Nach der DSGVO sind personenbezogene Daten zweckgebunden zu verarbeiten. Dies bedeutet, dass bei der Datenerhebung klar definiert werden muss, für welchen Zweck die Daten verwendet werden. Artikel 5 Abs. 1 Buchst. b DSGVO hält fest, dass eine „weitergehende Verarbeitung“ nur dann zulässig ist, wenn sie mit dem ursprünglichen Zweck „vereinbar“ ist oder eine neue Rechtsgrundlage – wie etwa die Einwilligung der betroffenen Person – vorliegt.

Die DSGVO unterscheidet daher klar zwischen der ursprünglichen Zweckbindung und einer darüber hinausgehenden Nutzung. Jede Zweckänderung, die über die ursprünglichen Bestimmungen hinausgeht, gilt als Eingriff in das Grundrecht auf informationelle Selbstbestimmung. Hier entsteht das Risiko, dass Unternehmen durch „Function Creep“ in eine rechtliche Grauzone geraten, da die Verarbeitung ohne eindeutige Rechtsgrundlage stattfindet.

Ein solcher Verstoß gegen die Zweckbindung kann erhebliche Bußgelder nach sich ziehen. Die DSGVO sieht vor, dass Verstöße gegen Grundsätze wie die Zweckbindung mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden können.

Ein anschauliches Beispiel für eine Zweckänderung und deren rechtliche Folgen zeigte sich im Fall der „Luca“-App in Deutschland. Die App wurde ursprünglich zur Nachverfolgung von Kontakten im Zusammenhang mit COVID-19 entwickelt, jedoch nutzte die Polizei diese Daten später zur Identifizierung von Zeugen eines Vorfalls. Die Nutzung der Daten für diesen neuen Zweck ohne entsprechende Rechtsgrundlage führte zu einer Untersuchung durch die Datenschutzbehörden und zu erheblichem öffentlichen Aufsehen.

Ursachen in der Praxis

In der Unternehmenspraxis tritt „Function Creep“ aus unterschiedlichen Gründen auf. 

Häufige Ursachen sind:

• Technologische Entwicklungen: Mit dem Fortschritt von Big Data und der Möglichkeit, Daten aus verschiedenen Quellen zu kombinieren und zu analysieren, wächst die Versuchung, Daten auch für andere Zwecke zu nutzen, als ursprünglich vorgesehen.
• Mangelnde Kontrolle: In vielen Unternehmen fehlen klare Prozesse, die die Nutzung von Daten überwachen. Einmal erhobene Daten stehen oft verschiedenen Abteilungen zur Verfügung, was dazu führt, dass sie für andere Zwecke verwendet werden, ohne dass ein bewusstes Umdenken in der Verarbeitung stattfindet.
• Unklare Zuständigkeiten: In großen Organisationen ist oft nicht eindeutig geregelt, wer für die Datenverarbeitung verantwortlich ist. Dies führt dazu, dass Daten im Kontext der unterschiedlichen Verantwortlichen für verschiedene Zwecke genutzt werden, ohne dass eine Abwägung der datenschutzrechtlichen Konsequenzen stattfindet.

Herausforderungen und Ausblick

Die zunehmende Digitalisierung und datenbasierte Geschäftsmodelle verstärken das Problem des „Function Creep“. Unternehmen stehen vor der Herausforderung, ihre Datenverarbeitungsprozesse regelmäßig zu überprüfen und sicherzustellen, dass sie weiterhin den ursprünglichen Zwecken entsprechen. Dies setzt ein tiefes Verständnis der DSGVO und eine konsequente Umsetzung der datenschutzrechtlichen Anforderungen voraus.

Für Unternehmen bedeutet dies auch, dass sie bei der Einführung neuer Technologien oder der Ausweitung bestehender Geschäftsmodelle immer prüfen müssen, ob die bereits erhobenen Daten für den neuen Zweck verwendet werden dürfen. Ohne eine klare Rechtsgrundlage drohen empfindliche Sanktionen und Reputationsschäden. Auch regelmäßige und gezielte Mitarbeiterschulungen sind im Unternehmen unerlässlich, um „Function Creep“ wirksam vorzubeugen. Indem Mitarbeiter für die datenschutzrechtlichen Anforderungen und die strikte Zweckbindung von Daten sensibilisiert werden, schafft dies nicht nur Bewusstsein für den verantwortungsvollen Umgang mit personenbezogenen Daten, sondern minimiert zugleich rechtliche Risiken. Nur durch kontinuierliche Weiterbildung und klare interne Richtlinien kann sichergestellt werden, dass Daten stets im Einklang mit den geltenden Rechtsvorschriften verwendet werden – und somit das Vertrauen der Kunden und Geschäftspartner gewahrt bleibt.