Der Zweck bzw. die Zwecke einer Datenverarbeitung müssen grundsätzlich vor Beginn der Datenverarbeitung festgelegt werden (Grundsatz der Zweckbindung). Dies soll sicherstellen, dass jegliche Datenverarbeitung begründungspflichtig ist und die Erforderlichkeit bestimmter Datenverarbeitungen einen klaren Bezugspunkt - also den jeweiligen Zweck - hat.

Die DSGVO erkennt gleichwohl an, dass es Situationen gibt, in denen eine Zweckänderung legitim ist, die Daten also für einen weiteren Zweck genutzt werden dürfen. Dies ist dann der Fall, wenn die folgenden Kriterien erfüllt sind:

• enge inhaltliche Verbindung zwischen dem alten und dem neu hinzugkommenen Zwecke
• Zweckänderung ist vor dem Hintergrund des Datenerhebungskontextes aus Betroffenensicht nicht fernliegend
• Kritikalität der Daten (z.B. keine Verarbeitung von Daten nach Art. 9 bzw. 10 DSGVO)
• keine negativen Folgen für den Betroffenen
• Vorhandensein von Schutzmaßnahmen wie z.B. Verschlüsselung oder Pseudonymisierung der Daten.

Ein Beispiel für eine solch legitime Zweckänderung könnte sein, dass Daten (z.B. Standortdaten), die ohnehin erhoben werden müssen, um einen von der Person gewünschten Dienst bereitstellen zu können, auch genutzt werden, um der Person ein leichteres Auffinden dieses Dienstes zu ermöglichen.

In einigen Fällen könnte eine Zweckänderung jedoch dem sogenannten Privacy-by-Default-Grundsatz widersprechen, wonach die Person und nicht das Unternehmen die erweiterte Nutzung der Daten freigeben soll.

Soll eine Zweckänderung vorgenommen werden, muss der Betroffene darüber vorab informiert werden.