Die Datenminimierung ist ein in der europäischen Datenschutz-Grundverordnung (DSGVO) verankertes Prinzip (Art. 5 DSGVO). Demnach sind immer so wenig wie möglich Daten zu verarbeiten, wie zur Erreichung des Zwecks notwendig sind. Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an.
Das Prinzip der Datenminimierung
Der Grundsatz der Datenminimierung des Art. 5 DSGVO entspricht teilweise dem früheren Grundsatz der Datenvermeidung des alten Bundesdatenschutzgesetzes (§ 3a BDSG a.F.). Die Datenvermeidung besagte, dass „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“ seien. Anonymisierung und Pseudonymisierung galten als geeignete Mittel zur Datenvermeidung. Hieran hat sich nach der Gesetzesänderung nichts geändert.
Im Rahmen der Datenminimierung ist insbesondere darauf zu achten, dass personenbezogene Daten dem „Zweck angemessen“ und unter Heranziehung des verfolgten Zweckes auf das „notwendige Maß beschränkt sein“ müssen. Das notwendige Maß ist erreicht, wenn der verfolgte Zweck nicht mit weniger Daten erreicht werden kann. Dies gilt nicht nur für die Menge der erhobenen Daten, sondern auch für den Umfang der Verarbeitung sowie die Dauer der Aufbewahrung und der Zugriffsberechtigung.
Datenminimierung sollte gem. Art. 25 DSGVO frühzeitig durch datenschutzfreundliche Voreinstellungen gewährleistet werden.
„Erforderlichkeit“ im Rahmen der Datenminimierung bedeutet, dass zunächst so wenig Daten wie möglich erhoben und verarbeitet werden sollen. Dabei muss der Zweck konkret vorab festgelegt werden. Eine Vorratsdatensammlung ist nämlich nicht erlaubt.
Stellt ein Arbeitgeber beispielsweise keine Arbeitskleidung, benötigt dieser weder Schuh- oder Kleidergröße seiner Mitarbeiter. Denselben Maßstab muss man etwa bei einem Kontaktformular anwenden: Wird ausschließlich per E-Mail geantwortet, ist es nicht erforderlich, die Telefonnummer zu erheben. Diese zusätzliche und nicht notwendige Information darf somit kein Pflichtfeld sein. Weiterhin ist zu bedenken, dass freiwillige Angaben, welche nicht zur Erfüllung des Auskunftsbegehrens erforderlich sind, eine zusätzliche Rechtsgrundlage, meist in Gestalt einer Einwilligung, erfordern.
Datenminimierung durch Pseudonymisierung und Anonymisierung
Zur Datenminimierung muss insbesondere überlegt werden, ob derselbe Zweck auch dann erreicht werden kann, wenn personenbezogene Daten ganz oder teilweise pseudonymisiert oder anonymisiert werden.
Eine Anonymisierung oder Pseudonymisierung von Daten ist etwa im Rahmen statistischer Auswertungen relevant. Denn dort werden zur Erlangung aussagekräftiger statistischer Ergebnisse oftmals keine oder nicht alle personenbezogenen Daten benötigt.
Ein Beispiel dafür ist der weitverbreitete Einsatz von Google Analytics zur Messung von Besucherzahlen auf Websites und Beobachtung des Verhaltens der Websitebesucher. Hierzu werden zunächst die vollständigen IP-Adressen erhoben. Für die Analysen ist die vollständige IP-Adresse jedoch nicht notwendig, weshalb für einen datenschutzkonformen Einsatz von Google Analytics eine IP-Anonymisierung implementiert werden muss.
Die Möglichkeit zur Pseudonymisierung und Anonymisierung sollte im Hinblick auf den Gedanken des Privacy by Design and Default gem. Art. 25 DSGVO insbesondere im Rahmen der technischen Lösungen berücksichtigt werden. Datenverarbeitungssysteme sollten also von Grund auf die Möglichkeit bieten, nicht mehr benötigte Daten zu pseudonymisieren oder anonymisieren.
Datenminimierung durch Zugriffsbeschränkung
Welche Daten verarbeiten werden dürfen, ist nicht nur auf die Gesamtheit eines Unternehmens zu beziehen. Vielmehr muss im Rahmen der Berechtigungsvergabe darauf geachtet werden, dass Mitarbeiter jeweils nur Zugriff auf diejenigen Daten erhalten, welche sie zur Erfüllung ihrer Aufgaben benötigen.
Datenminimierung durch zeitliche Beschränkung
Datenminimierung beschränkt sich jedoch nicht nur darauf, welche Daten verarbeitet werden, sondern regelt auch, wie lange die Datenverarbeitung zur Zweckerreichung notwendig ist. Die Erforderlichkeit der Daten ist für den gesamten Zeitverlauf eines Prozesses neu zu evaluieren. Was das genau bedeutet, wird nochmals konkret unter dem Grundsatz der Speicherbegrenzung verankert. Grundsätzlich gilt: Es ist für jeden Verarbeitungsvorgang eine individuelle Speicherfrist festzulegen.
Ein praktisches Beispiel: Im Rahmen eines Bestellvorganges in einem Onlineshop werden personenbezogene Daten zum Zwecke der Zahlung und zur Übersendung einer Bestellung erhoben. Nach Abwicklung der Bestellung dürfen die Daten für den Zeitraum bis zum Ablauf relevanter Verjährungsfristen in Bezug auf die Bestellung aufbewahrt werden. Hierbei könnten beispielsweise einige Daten der Regelverjährungsfrist von drei Jahren unterliegen. Verkürzte Fristen sind hinsichtlich vereinzelter Daten stets möglich. Nach Ablauf dieser Verjährungsfristen dürfen nur noch steuerrechtlich relevante Daten sechs bis zehn Jahre aufbewahrt werden. Somit wäre zu überlegen, welche Daten nicht steuerrechtlich relevant sind und deswegen gelöscht werden müssen.
Verstöße gegen DSGVO-Grundsätze können teuer werden
Verstöße gegen die Grundsätze des Art. 5 DSGVO gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Wer den Grundsatz der Datenminimierung missachtet, kann gemäß Art. 83 Abs. 5 lit. a DSGVO von den Aufsichtsbehörden mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belangt werden.