Der Zweck bzw. die Zwecke einer Datenverarbeitung müssen grundsätzlich vor Beginn der Datenverarbeitung festgelegt werden (Grundsatz der Zweckbindung). Dies soll sicherstellen, dass Datenverarbeitungen nicht wahllos erfolgen und die zu benennende Erforderlichkeit bestimmter Datenverarbeitungen (Erforderlichkeitsprinzip) einen klaren Bezugspunkt - also den jeweiligen Zweck - hat.

Die DSGVO erkennt gleichwohl an, dass es Situationen gibt, in denen eine Zweckänderung legitim ist, die Daten also für einen weiteren Zweck genutzt werden dürfen. Dies ist der Fall, wenn die folgenden Kriterien erfüllt sind:

• enge inhaltliche Verbindung zwischen dem alten und dem neu hinzugkommenen Zweck
• Zweckänderung ist vor dem Hintergrund des Datenerhebungskontextes aus Sicht der betroffenen Person naheliegend
• Kritikalität der Daten (z.B. keine Verarbeitung besonders sensibler Daten nach Art. 9 bzw. 10 DSGVO)
• keine negativen Folgen für den Betroffenen
• Vorhandensein von Schutzmaßnahmen wie z.B. Verschlüsselung oder Pseudonymisierung der Daten.

Ein Beispiel für eine solch legitime Zweckänderung könnte sein, dass Daten (z.B. Standortdaten), die ohnehin erhoben werden müssen, um einen von der Person gewünschten Dienst bereitstellen zu können (z.B. Anmieten eines Mietfahrzeugs), auch genutzt werden, um der Person standortbezogene Sonderangebote zu diesem Dienst zuzusenden.

In einigen Fällen könnte eine Zweckänderung jedoch dem sogenannten Privacy-by-Default-Grundsatz widersprechen, wonach die Person und nicht das Unternehmen die erweiterte Nutzung der Daten freigeben soll.

Soll eine Zweckänderung vorgenommen werden, muss der Betroffene darüber vorab informiert werden.