Magazin
Datensparsamkeit & Datenminimierung

Datensparsamkeit & Datenminimierung

Letztes Update:
09
.
04
.
2021
Lesezeit:
0
Min
Im Zusammenhang mit dem Datenschutz stößt man häufig auf die Begriffe Datensparsamkeit und Datenminimierung. Doch was genau steckt dahinter und wie lassen sich diese Datenschutz-Grundsätze umsetzen?
Datensparsamkeit & Datenminimierung
Die wichtigsten Erkenntnisse
  • Datenminimierung: Verarbeitung nur notwendiger personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO.
  • Umsetzung: Technische und organisatorische Maßnahmen zur Einhaltung der Datenminimierung.
  • Pseudonymisierung vs. Anonymisierung: Personenbezug kann bei Pseudonymisierung wiederhergestellt werden, bei Anonymisierung nicht.
  • Konsequenz: Unnötige oder unrechtmäßig erhobene Daten müssen gelöscht oder anonymisiert werden.
  • Sanktionen: Verstöße gegen DSGVO können Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes nach sich ziehen.

Datensparsamkeit und -vermeidung sind die Begriffe, die im BDSG (§3a BDSG) verwendet und in der DSGVO durch den Begriff Datenminimierung ersetzt wurden. Datenminimierung ist einer der Datenschutz-Grundsätze, die in Art. 5 Abs. 1 DSGVO definiert sind und für alle Verarbeitungsvorgänge gelten. Insgesamt werden sechs Grundprinzipien für die Datenverarbeitung genannt:

  • Rechtmäßigkeit und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit der Daten
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Die Vorschrift der Datenminimierung ergibt sich aus Art. 5 Abs. 1 lit. c DSGVO: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“ Datensparsamkeit bzw. Datenminimierung stehen also in engem Zusammenhang mit der Zweckbindung von Daten.

Was bedeutet Datenminimierung in der Praxis?

Art. 25 Abs. 2 DSGVO verpflichtet den Verantwortlichen, technische und organisatorische Maßnahmen so zu treffen, dass das Prinzip der Datenminimierung eingehalten wird. Die Anforderung bezieht sich auf:

  • die Datenmenge
  • den Verarbeitungsumfang
  • die Speicherdauer
  • die Zugänglichkeit

Eine Möglichkeit diese Forderung umzusetzen, ist einen Personenbezug durch korrekte Pseudo- oder Anonymisierung auszuschließen. Der entscheidende Unterschied zwischen Pseudonymisierung und Anonymisierung ist dabei, dass:

  • … bei der Pseudonymisierung ein Personenbezug durch das Hinzuziehen gesondert aufbewahrter Informationen wiederhergestellt werden kann.
  • … bei der Anonymisierung die Re-Identifizierung einer natürlichen Person nicht mehr möglich sein darf.

Das Prinzip der Datenminimierung sorgt auch dafür, dass von bereits vorhandenen personenbezogenen Daten keine neuen abgeleitet werden dürfen, die für den Verwendungszweck nicht notwendig sind. Zum Beispiel wäre es theoretisch möglich, vom Namen einer natürlichen Person Rückschlüsse auf das Geschlecht zu ziehen und auf dieser Grundlage Werbung zu personalisieren. Dies ist jedoch nicht erlaubt, wenn der Betroffene der Verarbeitung dieser Daten nicht freiwillig zugestimmt hat und auch kein anderer Erlaubnistatbestand für die Verarbeitung vorliegt.

Liegen personenbezogene Daten vor, die mit dem Grundsatz der Datenminimierung nicht vereinbar sind (z.B., weil sie vor dem Inkrafttreten der DSGVO erfasst wurden), sind diese zu löschen oder ggf. zu anonymisieren.

Ein Teil der Verantwortung liegt jedoch auch beim Betroffenen selbst. Jeder sollte darauf achten, umsichtig mit den eigenen personenbezogenen Daten umzugehen und vor der Preisgabe zu hinterfragen, ob die Abfrage bestimmter Informationen mit dem Grundsatz der Datenminimierung vereinbar ist.

Was sind mögliche Folgen bei Zuwiderhandlung?

Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten können nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld von bis zu 20 Mio. € oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen. Unternehmen sollte also nicht nur zum Wohle des Betroffenen daran gelegen sein, das Prinzip der Datenminimierung umzusetzen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datensparsamkeit
DSGVO
Datenschutz im Unternehmen
Technisch organisatorische Maßnahmen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Was versteht man unter einer „automatisierten Verarbeitung“?
14
.
10
.
2024
Was versteht man unter einer „automatisierten Verarbeitung“?
Eine Definition für die „Verarbeitung“ von Daten findet sich in Art. 4 Nr. 2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“.
DSGVO-konforme Videokonferenzen: Datenschutz der Anbieter im Quick-Check
14
.
10
.
2024
DSGVO-konforme Videokonferenzen: Datenschutz der Anbieter im Quick-Check
Viele Unternehmen haben Videokonferenz-Tools im Einsatz. Doch welches Tool entspricht den Anforderungen der DSGVO und berücksichtigt weitere Datenschutz-Standards? Wir haben eine kurze Übersicht für Sie zusammengestellt.
Schutz vor Datenklau durch Mitarbeiter: Strategien für Unternehmen
13
.
12
.
2023
Schutz vor Datenklau durch Mitarbeiter: Strategien für Unternehmen
In der heutigen digitalen Ära sind Cyberangriffe von außen auf Unternehmen nicht mehr ungewöhnlich und ein bekanntes Risiko. Bei aller berechtigter Furcht vor externen Angriffen gerät jedoch auch ein bislang unterschätztes Risiko immer mehr in den Fokus: Datenklau aus dem Inneren des Betriebs.
WhatsApp-Alternativen für die Kommunikation im Unternehmen
16
.
04
.
2023
WhatsApp-Alternativen für die Kommunikation im Unternehmen
WhatsApp im Unternehmen? Aus Datenschutz-Sicht keine gute Idee, denn auch App-Anbieter unterliegen der DSGVO. Wir zeigen Ihnen Gefahren auf und stellen angesagte Messenger Alternativen wie Threema und Signal vor.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!