Dieser Beitrag widmet sich den datenschutzrechtlichen Grundsätzen der Datenminimierung und der Datensparsamkeit. Was genau bedeutet das? Warum sind diese Prinzipien wichtig? Und welche Rolle spielt das für die Praxis? Eine Übersicht.
Der Inhalt im Überblick
Was versteht man unter dem Grundsatz der Datenminimierung?
Der Grundsatz der Datenminimierung wird in Art. 5 DSGVO legal definiert. Demnach müssen personenbezogene Daten „dem Zweck angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“ Es besteht eine Zweck-Mittel-Relation: Zur Datenverarbeitung muss ein bestimmter Zweck vorliegen, den der Verantwortliche im Rahmen des Grundsatzes der Zweckbindung vorab selbst festlegt. Für diesen dürfen die erforderliche Daten verarbeitet werden. Das ist alles bisher noch sehr abstrakt. Daher sollen die unbestimmte Rechtsbegriffe mit Beispielen weiter konkretisiert werden.
Unbestimmte Rechtsbegriffe: Angemessen, erheblich, auf das notwendige Maß beschränkt
Dem Zweck angemessen sind personenbezogene Daten, wenn sie bezogen auf den Verarbeitungszweck hinsichtlich Funktion, Inhalt und Umfang sachgerecht, sozusagen „recht und billig“ sind. Ein Beispiel: Für die Beurteilung der Kreditwürdigkeit kann der Wohnort interessant, vielleicht sogar erheblich sein, wegen der Gefahr der Diskriminierung ist dieses Datum jedoch nicht angemessen.
Für den Zweck erheblich sind die personenbezogenen Daten, wenn sie für dessen Erfüllung notwendig sind. Ein Beispiel: Die Kontonummer kann für den Zweck der Vertragsabwicklung angemessen sein. Wenn aber Barzahlung vereinbart wurde, ist das Datum der Kontonummer nicht mehr erheblich, weil es für die Vertragsabwicklung ohne Bedeutung ist.
Auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind die personenbezogenen Daten, wenn der Zweck ohne ihre Verarbeitung nicht erreicht werden kann. Gibt es im Einzelfall eine ebenso gleichwertige Alternative der Datenerhebung mit geringerer Eingriffstiefe, so ist diese Alternative zu wählen. Ein Beispiel: Wenn die Protokollierung eines Vorgangs angemessen und erheblich ist, aber keine Vollprotokollierung notwendig ist, sondern Auszüge ausreichen, darf auch nur eine auszugsweise Protokollierung erfolgen.
Es geht im Ergebnis also um eine Beschränkung der verarbeiteten personenbezogenen Daten, und die Grenzen hierfür werden durch die oben vorstehenden unbestimmten Rechtsbegriffe gezogen.
Datenvermeidung und Datensparsamkeit im BDSG
Um Datenbeschränkung geht es auch, wenn man von Datensparsamkeit spricht. Datenminimierung und Datensparsamkeit ähneln sich stark, sind aber nicht gänzlich synonym. Dabei kennen einige die Begriffe Datenvermeidung und Datensparsamkeit noch aus dem alten Bundesdatenschutzgesetz. Nach § 3a BDSG a.F. war „die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen […] an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.“
Der Grundsatz der Datenvermeidung und Datensparsamkeit erfordert also, dass der Verantwortliche schon vor Beginn Datenerhebung das geplante Verfahren so auswählt, dass möglichst wenig personenbezogene Daten erhoben werden müssen. Ein Beispiel: verfolgt man den Zweck, eine erbrachte Leistung abzurechnen, muss man nach einer Gestaltung des Abrechnungsverfahrens suchen, das diesem Zweck erfüllten aber mit so wenig personenbezogene Daten wie möglich auskommt.
Datensparsamkeit findet man heute noch als Vorgabe für staatliche Stellen oftmals in den Landesdatenschutzgesetzen oder z.B. auch bei der Umsetzung der JI-Richtlinie in § 71 Abs. 1 BDSG, wonach durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen „Datenschutzgrundsätze wie etwa die Datensparsamkeit“ umgesetzt werden müssen (privacy by design/privacy by default). Außerdem muss gemäß § 71 BDSG die Verarbeitung nach dem Ziel ausgerichtet werden, „so wenig personenbezogene Daten wie möglich zu verarbeiten.“
Wo ist nun der Unterschied zwischen Datensparsamkeit und Datenminimierung?
Der Grundsatz der Datenminimierung wurde erst mit der DSGVO eingeführt. Dabei musste die EU-Kommission und das Parlament im Rahmen des Trilogs auf die zweite Hälfte ihres Vorschlags verzichten, dass personenbezogene Daten nur verarbeitet werden dürfen, „wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können“. Das unterstreicht auch nochmal den Unterschied zur Datensparsamkeit und Datenvermeidung. Das Ziel ist nicht mehr, dass die Erhebung und Nutzung von personenbezogenen Daten so weit wie möglich vermieden wird, sondern dass sie auf das zur Erreichung des Zwecks notwendigerweise gebrauchte Maß beschränkt werden. Aufgrund der starken Ähnlichkeit und der Nähe zueinander, werden die Begriffe oft in einem Atemzug genannt. Die exakte Unterscheidung ist demnach hauptsächlich rechtswissenschaftlicher Natur.
Wie lässt sich Datenminimierung umsetzen?
Praktisch relevant ist der Grundsatz der Datenminimierung dagegen schon! Denn Datenminimierung wurde – wie alle Datenschutzgrundsätze aus Art. 5 DSGVO – als rechtsverbindliche Handlungsanweisung ausgestaltet. Es handelt sich nicht um unverbindliche Empfehlungssätze.
Welche Handlungspflichten bestehen also?
In einem technikgeprägten Umfeld wie der Verarbeitung personenbezogener Daten ist Rechtstreue am besten durch Technik umsetzbar. Wenn die Technik zur Einhaltung des Rechts zwingt und die Daten nur auf eine rechtmäßige Weise verarbeitet werden können ist das die beste und sicherste Durchsetzung der Grundsätze. Dabei spricht man von Privacy by design und Privacy by default. Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es zudem erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden (EG 78).
Die Grundsätze der Datenminimierung und Datensparsamkeit geben ein „wie“ und nicht das „ob“ der Datenverarbeitung vor (dieses bestimmt sich nach Art 6, 9 DSGVO). Wie gesehen spricht das Gesetz mittels vielen unbestimmten Rechtsbegriffen zu uns. Daraus folgt, dass immer eine Abwägung zwischen unterschiedlichen Interessen erfolgen muss. Diese Abwägung kann von Fall zu Fall unterschiedlich ausfallen. Dies ist im Hinblick auf die Rechtssicherheit problematisch. Denn es kann oft kaum eindeutig festgestellt werden, wann genau Erheblichkeit vorliegt oder die Angemessenheit der Datenverarbeitung im Rahmen der Datenminimierung erfüllt sind. Die Ziele des Gebots der Datenminimierung kann meistens auf unterschiedliche Arten mehr oder weniger gut erreicht sein. Es geht deshalb nicht um eine schlichte Befolgung eines Gebots, sondern um den Weg zur Verwirklichung des angestrebten Idealzustands.
Beispiele für ToM zum Erreichen des Gewährleistungsziels der Datenminimierung
Das Gewährleistungsziel Datenminimierung kann z.B. erreicht werden durch:
- Reduzierung von erfassten Attributen der betroffenen Personen
- Reduzierung der Verarbeitungsoptionen in Verarbeitungsprozessschritten
- Reduzierung von Möglichkeiten der Kenntnisnahme vorhandener Daten
- Festlegung von Voreinstellungen für betroffene Personen, die die Verarbeitung ihrer Daten auf das für den Verarbeitungszweck erforderliche Maß beschränken. Voreinstellungen),
- Bevorzugung von automatisierten Verarbeitungsprozessen (nicht Entscheidungsprozessen), die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen und die Einflussnahme begrenzen, gegenüber im Dialog gesteuerten Prozessen
- Implementierung von Datenmasken, die Datenfelder unterdrücken, sowie automatischer Sperr- und Löschroutinen, Pseudonymisierung- und Anonymisierungsverfahren,
- Festlegung und Umsetzung eines Löschkonzepts
- Regelungen zur Kontrolle von Prozessen zur Änderung von Verarbeitungstätigkeiten.
Durchsetzung durch Aufsichtsbehörden und Bußgelder bei Verstößen
Meint eine betroffene Person, dass ein Verstoß gegen den Grundsatz der Datenminimierung vorliegt, kann sie dies gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde durch eine Beschwerde geltend machen. Die Aufsichtsbehörde musste Beschwerden nachgehen. Das Handeln der Aufsichtsbehörde wird auch durch die Datenschutzgrundsätze geleitet. Die Aufsichtsbehörde kann Rechtssicherheit dadurch herstellen, dass sie den jeweiligen Grundsatz konkretisiert und von dem Verantwortlichen bestimmte Maßnahmen fordert.
Ein Verstoß kann mit einem Bußgeld geahndet werden. So teuer werden, wie im Beispiel von Spartoo mit 250.000 € Bußgeld wird es zwar in der Regel nicht, dennoch gilt: Datenminimierung führt zu Bußgeldminimierung. Wer sparsam mit Geld umgeht, sollte deshalb auch sparsam mit Daten umgehen.
Sinn, Unsinn oder Feinsinn?
Die Begriffe Datenminimierung und Datensparsamkeit sind nicht identisch. Aufgrund ihrer Ähnlichkeit spielt die feine Unterscheidung aber in der Praxis eine untergeordnete Rolle. Das Telos des Gesetzes ist hingegen klar: Geht sparsam mit den Daten um und haut weg, was nicht notwendig ist! Dieser Auftrag ist nicht nur an die Verantwortlichen gerichtet, sondern auch an die Personen, deren Daten erhoben und verarbeitet werden. In Zeiten, in denen mit Daten bezahlt werden kann, ohne ad hoc den genauen Wert beziffern zu können, und in Zeiten von günstiger Speicherkapazität, ist die nahezu unendliche Anhäufung von Daten verlockend. Die Gefahren, die hieraus entstehen, haben ein Potenzial, das heute regelmäßig unterschätzt wird. Deshalb ist es umso wichtiger, sich bereits heute Datenminimierung und Datensparsamkeit anzugewöhnen und den Gefahren kein Einfallstor zu gewähren. Nicht zuletzt, weil bei Verstößen tatsächlich bereits Bußgelder verhängt wurden. Diese Gefahr ist also bereits heute konkret und real.
Soweit mich meine Erinnerung nicht trügt: das Telos. Besser würde mir das Ziel gefallen. Zur Not auch denglisch goal.
Stimmt, danke, das haben wir geändert.