Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
30. Mai 2022

Datenminimierung: Was versteht die DSGVO darunter?

Datenminimierung gehört zu den Grundsätzen für die Verarbeitung personenbezogener Daten
4,80 (5)
drucken
Inhalte in diesem Beitrag
Grundsätze der Verarbeitung personenbezogener Daten
Die Datenminimierung bzw. die Datensparsamkeit ist ein zentraler Grundsatz der Datenverarbeitung in der DSGVO. Was bedeutet sie konkret für den Datenschutz?

Warum Datenminimierung?

Die Datenschutz-Grundverordnung (DSGVO) nennt in Art. 5 DSGVO Datenminimierung als einen der Grundsätze der Verarbeitung personenbezogener Daten: Personenbezogene Daten müssen demnach „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Eigentlich liegen die Vorteile der Datenminimierung auf der Hand: Personenbezogene Daten, die unerheblich oder unangemessen für den Zweck der Verarbeitung sind, die Verantwortliche also für die geplante Datenverarbeitung nicht brauchen, müssen sie weder erheben noch speichern und entsprechend auch nicht später löschen oder anderweitig schützen.

Was man nicht braucht, hat man dann nicht und muss man deshalb nicht schützen. Das sollte doch ein sehr gutes Argument für die Datenminimierung oder die Datensparsamkeit in Unternehmen und Behörden sein, wie das alte Bundesdatenschutzgesetz die Forderung früher nannte.

Wie lässt sich Datenminimierung umsetzen?

Damit die Praxis den Grundsatz der Datenminimierung besser umsetzen kann, schlägt zum Beispiel das Standard-Datenschutzmodell der Datenschutz-Aufsichtsbehörden einige Maßnahmen vor. Ein Datenschutzbeauftragter sollte dieses Modell auf jeden Fall kennen. Vorgeschlagene Maßnahmen sind unter anderem:

  • erfasste Attribute der betroffenen Personen reduzieren
  • Voreinstellungen festlegen, die dieVerarbeitung personenbezogener Daten auf das Maß beschränken, das für den Verarbeitungszweck notwendig ist
  • Datenmasken implementieren, die Datenfelder unterdrücken
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren vorsehen
  • Löschkonzept festlegen und umsetzen

Was sagen die Aufsichtsbehörden für den Datenschutz zur Datenminimierung?

Ein grundsätzliches Problem bei der Umsetzung rechtlicher Forderungen ist, dass es nicht leicht ist, die Vorgaben richtig oder vollständig zu verstehen. Hier versuchen die Aufsichtsbehörden für den Datenschutz, Abhilfe zu schaffen. Denn sie erklären die Forderungen der DSGVO.

So erklärt etwa der Europäische Datenschutzbeauftragte:

  • Der Grundsatz der „Datenminimierung“ bedeutet, dass ein für die Verarbeitung Verantwortlicher die Erhebung personenbezogener Daten auf die Informationen beschränken sollte, die von direkter Relevanz und für die Erfüllung eines spezifischen Zwecks erforderlich sind.
  • Außerdem sollten Verantwortliche die personenbezogenen Daten nur so lange aufbewahren, wie es erforderlich ist, um diesen Zweck zu erfüllen.
  • Anders ausgedrückt, sollten die für die Verarbeitung Verantwortlichen nur die personenbezogenen Daten erheben, die sie benötigen, und diese nur so lange aufbewahren, wie erforderlich.

Das BMJ (Bundesjustizministerium) nennt als konkretes Beispiel: „Datenminimierung heißt, dass nur die personenbezogenen Daten erhoben werden, die für den Zweck notwendig sind. Die Telefonnummer wäre für die Versendung des Buches also unerheblich und sollte daher nicht abgefragt werden.“

Aufsichtsbehörden für den Datenschutz fordern Überholspur für die Datenminimierung

In den Grundsatzpositionen der Datenschutzkonferenz (DSK) erklären die Aufsichtsbehörden, dass die Datenminimierung nach DSGVO keine Verknappung an Daten für die Wirtschaft erzeugt:

„Die DSK fordert, der Datenminimierung die ihr gemäß DSGVO gebührende Überholspur auf dem Weg der Digitalisierung frei zu räumen. (…) Hierdurch werden Innovationen nicht verhindert: Clevere Datenminimierungslösungen können das Bedürfnis zur Auswertung von Informationen und die Notwendigkeit des Datenschutzes vereinen, z. B. indem auf den Personenbezug von Daten verzichtet wird. Technologische Projekte, die Datenminimierung innovativ und intelligent umsetzen und damit erst rechtskonforme Geschäftsmodelle im Zusammenhang mit Big Data-Anwendungen und „smarten“ Lösungen ermöglichen, sollten gefördert werden.“ (siehe https://www.datenschutz-bayern.de/dsbk-ent/GRUND_01-DSK.pdf)

Was kritisieren Wirtschaftsverbände und Politiker an der Datenminimierung?

In der Praxis findet der Grundsatz der Datenminimierung trotz seiner Vorteile für den Datenschutz und trotz der logischen Begründung der Forderung nicht immer die Umsetzung, wie sie sein müsste. Stattdessen gibt es Kritik. Sie beruht mitunter aber auf einem Missverständnis der Datenminimierung.

So kommt zum Beispiel aus der Politik Kritik wie: „Datenminimierung kann Fortschritt verhindern und Wirtschaft ausbremsen: (…) Auch das Prinzip der Datenminimierung in der DSGVO kann Fortschritt verhindern, wenn beispielsweise anonymisierte Gesundheitsdaten nicht für die wichtige Gesundheitsforschung zum Vorteil aller genutzt werden können. Auch in der Wirtschaft verknappt das Prinzip der Datenminimierung unseren Rohstoff Daten künstlich und die USA und China eilen immer weiter davon.“ (https://www.cducsu.de/presse/pressemitteilungen/europas-standard-beim-datenschutz-erhalten-aber-datensouveraenitaet-anstreben)

Von den Wirtschaftsverbänden hört man Positionen wie: „Von entscheidender Bedeutung wird es daher sein, dass Prinzipien wie Datensouveränität, Datensorgfalt und Datenverfügbarkeit zum Leitbild entwickelt werden und eine Balance zu Prinzipien wie Datenminimierung hergestellt wird.“ (https://www.bitkom.org/Kurzpositionen/Datenpolitik)

Laut Wirtschaft und Politik hat die Datenminimierung also ein zu hohes Gewicht. Beobachtungen von Datenschutzbeauftragten aus der Praxis in Unternehmen und Behörden legen allerdings eher das Gegenteil nahe.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
22. November 2024
DP+
Die personenbezogenen Daten, die die Fahrzeugsysteme verarbeiten, reichen von einfachen Kontaktinformationen im Infotainmentsystem bis hin zu komplexeren Daten in der Fahrzeugtechnik, die Rückschlüsse auf die individuelle Nutzung und das Fahrverhalten zulassen
Bild: iStock.com/studio-fi

Datenschutzkontrolle im technischen Fuhrpark

Praxisbericht
22. November 2024
DP+
Neuer Microsoft-Servicevertrag: Datenschutzfragen zu Windows, Office, OneDrive und Teams im Fokus – was Nutzer jetzt wissen sollten.
Bild: iStock.com/bubaone

Viele Fragen beim Servicevertrag von Microsoft

Ratgeber
KI Microsoft 365
22. November 2024
DP+
Büroflächenverkleinerungen scheinen zunächst simpel, bieten aber hinsichtlich des Datenschutzes eine Vielzahl von Fallstricken. Vorteilhaft sind hier ein Zeitplan, eine Checkliste und eine sorgfältige Dokumentation der ergriffenen Maßnahmen.
Bild: iStock.com/onurdongel

Datenschutzfalle Büroflächenverkleinerung

Ratgeber
Checklisten
21. November 2024
DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks

Auftragsverarbeitung von Patientendaten

Ratgeber
Checklisten
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.