Datensparsamkeit & Datenminimierung

Letztes Update:
09
.
04
.
2021
Lesezeit:
0
Min
Im Zusammenhang mit dem Datenschutz stößt man häufig auf die Begriffe Datensparsamkeit und Datenminimierung. Doch was genau steckt dahinter und wie lassen sich diese Datenschutz-Grundsätze umsetzen?
Datensparsamkeit & Datenminimierung
Die wichtigsten Erkenntnisse
  • Datenminimierung: Verarbeitung nur notwendiger personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO.
  • Umsetzung: Technische und organisatorische Maßnahmen zur Einhaltung der Datenminimierung.
  • Pseudonymisierung vs. Anonymisierung: Personenbezug kann bei Pseudonymisierung wiederhergestellt werden, bei Anonymisierung nicht.
  • Konsequenz: Unnötige oder unrechtmäßig erhobene Daten müssen gelöscht oder anonymisiert werden.
  • Sanktionen: Verstöße gegen DSGVO können Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes nach sich ziehen.

Datensparsamkeit und -vermeidung sind die Begriffe, die im BDSG (§3a BDSG) verwendet und in der DSGVO durch den Begriff Datenminimierung ersetzt wurden. Datenminimierung ist einer der Datenschutz-Grundsätze, die in Art. 5 Abs. 1 DSGVO definiert sind und für alle Verarbeitungsvorgänge gelten. Insgesamt werden sechs Grundprinzipien für die Datenverarbeitung genannt:

  • Rechtmäßigkeit und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit der Daten
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Die Vorschrift der Datenminimierung ergibt sich aus Art. 5 Abs. 1 lit. c DSGVO: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).“ Datensparsamkeit bzw. Datenminimierung stehen also in engem Zusammenhang mit der Zweckbindung von Daten.

Was bedeutet Datenminimierung in der Praxis?

Art. 25 Abs. 2 DSGVO verpflichtet den Verantwortlichen, technische und organisatorische Maßnahmen so zu treffen, dass das Prinzip der Datenminimierung eingehalten wird. Die Anforderung bezieht sich auf:

  • die Datenmenge
  • den Verarbeitungsumfang
  • die Speicherdauer
  • die Zugänglichkeit

Eine Möglichkeit diese Forderung umzusetzen, ist einen Personenbezug durch korrekte Pseudo- oder Anonymisierung auszuschließen. Der entscheidende Unterschied zwischen Pseudonymisierung und Anonymisierung ist dabei, dass:

  • … bei der Pseudonymisierung ein Personenbezug durch das Hinzuziehen gesondert aufbewahrter Informationen wiederhergestellt werden kann.
  • … bei der Anonymisierung die Re-Identifizierung einer natürlichen Person nicht mehr möglich sein darf.

Das Prinzip der Datenminimierung sorgt auch dafür, dass von bereits vorhandenen personenbezogenen Daten keine neuen abgeleitet werden dürfen, die für den Verwendungszweck nicht notwendig sind. Zum Beispiel wäre es theoretisch möglich, vom Namen einer natürlichen Person Rückschlüsse auf das Geschlecht zu ziehen und auf dieser Grundlage Werbung zu personalisieren. Dies ist jedoch nicht erlaubt, wenn der Betroffene der Verarbeitung dieser Daten nicht freiwillig zugestimmt hat und auch kein anderer Erlaubnistatbestand für die Verarbeitung vorliegt.

Liegen personenbezogene Daten vor, die mit dem Grundsatz der Datenminimierung nicht vereinbar sind (z.B., weil sie vor dem Inkrafttreten der DSGVO erfasst wurden), sind diese zu löschen oder ggf. zu anonymisieren.

Ein Teil der Verantwortung liegt jedoch auch beim Betroffenen selbst. Jeder sollte darauf achten, umsichtig mit den eigenen personenbezogenen Daten umzugehen und vor der Preisgabe zu hinterfragen, ob die Abfrage bestimmter Informationen mit dem Grundsatz der Datenminimierung vereinbar ist.

Was sind mögliche Folgen bei Zuwiderhandlung?

Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten können nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld von bis zu 20 Mio. € oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres nach sich ziehen. Unternehmen sollte also nicht nur zum Wohle des Betroffenen daran gelegen sein, das Prinzip der Datenminimierung umzusetzen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!