Definitionen Was ist das Prinzip der Datenminimierung?

Von Chiara Maurer

Im Jahr 2018 wurde die europäische Datenschutzgrundverordnung eingeführt, die den Schutz sowie den Umgang mit personenbezogenen Daten reguliert. Einer ihrer Grundsätze ist das Prinzip der Datenminimierung. Aber was bedeutet das?

Anbieter zum Thema

Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an
Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an
(© aga7ta – stock.adobe.com)

Das Prinzip der Datenminimierung folgt teilweise dem Grundsatz der Datenvermeidung des alten Bundesdatenschutzgesetzes. Dieser besagte, dass „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen sind“.

Seitdem im Jahr 2018 die neue Datenschutzgrundverordnung (DSGVO) der EU in Kraft trat, die regelt, wie Unternehmen, Konzerne, Behörden, Praxen oder Vereine mit den personenbezogenen Daten ihrer Kunden und Mitarbeiter bzw. Mitglieder umzugehen haben, ist die Datenminimierung fest verankert in Artikel fünf. Sie sorgt dafür, dass Daten nur im Maße und für die Dauer eines vorher definierten Zwecks genutzt werden dürfen.

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein

Art. 5 DSGVO

Das Prinzip der Datenminimierung reguliert somit also sowohl den Umfang der erhobenen Daten als auch die Art und die Länge der Verarbeitung. Das notwendige Maß an Daten ist dann erreicht, wenn der verfolgte Zweck, der vorab konkret festgelegt werden muss, mit weniger Daten nicht erreicht werden kann. Grundsätzlich sollten also nicht mehr Daten als erforderlich erhoben werden. „Erforderlichkeit“ im Rahmen der Datenminimierung bedeutet, dass stets so wenige Daten wie möglich erhoben und verarbeitet werden sollen; eine Vorratsdatensammlung ist somit nicht erlaubt.

Um im Umgang mit personenbezogenen Daten DSGVO-konform zu agieren, können verschiedenen Methoden angewandt werden.

Datenminimierung durch Pseudonymisierung und Anonymisierung

Vor der Datenerhebung ist zu prüfen, ob derselbe Zweck auch mit pseudonymisierten oder anonymisierten Daten erreicht werden kann. Bereits im alten Bundesdatenschutzgesetz galten diese als geeignete Methoden der Datenvermeidung, und auch in der DSGVO ist dies noch immer gültig.

So werden viele Daten oftmals nicht als Klartext benötigt und können deswegen verfremdet werden. Das ist beispielsweise bei statistischen Auswertungen der Fall. Die Anonymisierung und Pseudonymisierung von personenbezogenen Daten erlaubt somit eine Verarbeitung dieser, ohne dass Rückschlüsse auf konkrete Personen gezogen werden können.

Die Datenminimierung steht in diesem Punkt in engem Zusammenhang mit Artikel 25 der DSGVO. Dieser verpflichtet Unternehmen dazu, die von ihnen verwendete IT und Software hinsichtlich datenschutzrechtlicher Anforderungen zu prüfen und zu berücksichtigen, dass diese nach Datenschutzmaßstäben entwickelt wurden. Dieser Ansatz nennt sich Privacy by Design and Default. Im Hinblick auf die Datenminimierung sollte also darauf geachtet werden, dass verwendete Lösungen wie Datenverarbeitungssysteme die Möglichkeit bieten, nicht mehr benötigte Daten zu pseudonymisieren oder anonymisieren.

Datenminimierung durch zeitliche Beschränkung

Auch die Dauer der Datennutzung und -verarbeitung ist durch die Datenminimierung geregelt. So dürfen Daten lediglich für die zur Erreichung des Zwecks notwendigen Zeit gespeichert werden. Der Zeitverlauf eines Prozesses ist dabei jeweils neu zu evaluieren.

Dieses Prinzip ist zudem im Grundsatz der Speicherbegrenzung verankert, sodass für jeden Verarbeitungsvorgang eine individuelle Speicherfrist festgelegt werden muss. Wurde ein Prozess vollständig abgewickelt und der Zweck erfüllt, müssen die erhobenen Daten vollständig gelöscht werden.

Im Beispiel einer Online-Bestellung ergeben sich für verschiedene Daten unterschiedliche Speicherzeiträume. Nachdem der Bestellvorgang abgeschlossen ist, dürfen personenbezogene Daten bis zum Ablauf relevanter Verjährungsfristen im Bezug auf die Bestellung aufbewahrt werden. Einige Daten hierbei können der Regelverjährungsfrist von drei Jahren unterliegen. Steuerrechtliche Daten hingegen können sogar sechs bis zehn Jahre lang im Speicher eines Unternehmens lagern.

Datenminimierung durch Zugriffsbeschränkung

Im Rahmen der Datenminimierung spielen außerdem nicht nur die Dauer und der Umfang personenbezogener Daten eine Rolle, sondern auch der Umgang mit diesen durch Mitarbeiter eines Unternehmens. So erhalten diese nur Zugriff auf Daten, die sie zur Erfüllung der eigenen Aufgaben benötigen.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48283346)