Icon Datenschutzbeauftragter
Datenschutz

Der Grundsatz der Datenminimierung – was ist damit gemeint?

Verfasst von: Urban Zimber

Als eines der zentralen Prinzipien des Datenschutzes findet sich der Grundsatz der Datenminimierung in der DSGVO wieder. Gemäß Art. 5 Abs. 1 lit. c) DSGVO muss die Verarbeitung personenbezogener Daten „dem Zweck angemessen und erheblich sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt“ sein. Es dürfen also nur diejenigen personenbezogenen Daten verarbeitet werden, die auch wirklich notwendig sind.

In welchen einzelnen Bereichen erlangt der Grundsatz der Datenminimierung Bedeutung?

Die Anforderungen der Datenminimierung können die Datenmenge, den Verarbeitungsumfang, die Dauer der Aufbewahrung und die Zugänglichkeit betreffen. Zur Veranschaulichung hier einige Beispiele aus der Praxis:

Datenerfassungsbögen
Bei Datenerfassungsbögen geht es um die Begrenzung der Datenmenge. Es dürfen nur die notwendigen Informationen abgefragt werden – weitere Daten sind für den mit der Verarbeitung verfolgten Zweck nicht relevant. Beispielsweise kann es für die Abfrage der Religionszugehörigkeit im Erfassungsbogen an einer Rechtsgrundlage fehlen und damit gegen den Grundsatz der Datenminimierung verstoßen werden.

Scan-Ordner
Scan-Software verwendet oft einen eigenen Default-Ordner zur Speicherung der eingelesenen Dokumente – In diesem Ordner zwischengespeicherte personenbezogene Daten sind nach ihrer Zweckerfüllung unverzüglich zu löschen. Diese Speicherbegrenzung stellt ein wirksames Mittel zur Datenminimierung dar.

Kontaktformulare und Cookies auf Webseiten
Werden Kontaktformulare auf Webseiten eingebunden, sollte berücksichtigt werden, dass nur die für den Verarbeitungszweck (die Kontaktaufnahme) zwingend erforderlichen Daten bei den betroffenen Personen abgefragt werden. Für die Zuordnung und Unterscheidung aller Anfragen ist in der Regel der vollständige Name erforderlich, zur Kontaktaufnahmemöglichkeit mit Anfragenden E-Mail, Telefon oder postalische Anschrift. Beim Erstkontakt wird die Erhebung des Geburtsdatums dagegen normalerweise nicht erforderlich sein.
Der Grundsatz der Datenminimierung schränkt den Einsatz von Cookies zunächst auf die Verwendung der für den Betrieb der Website unbedingt erforderlichen „funktionalen Cookies“ ein. Für andere Cookies ist die Einholung einer Einwilligung der Nutzenden mittels einer sogenannten „Consent Management Platform“ (CMP) erforderlich. Im Zuge dessen wird ein weiterer Zweck für die Verarbeitung festgelegt.

Zugriffsbeschränkungen
Im Rahmen der Berechtigungsvergabe muss darauf geachtet werden, dass Mitarbeitende jeweils nur Zugriff auf diejenigen Daten erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen. Selbstverständlich müssen aber auch etwaige erforderliche gegenseitige Vertretungen möglich sein. Ein Arbeiten am PC mit Administrationsrechten wird für Mitarbeitende hingegen in der Regel nicht erforderlich sein und sollte zudem auch aus Sicherheitsgründen unbedingt vermieden werden.

Warum ist die Orientierung am Verarbeitungszweck unerlässlich?

Der Zweck der Verarbeitung bestimmt die Datenmenge, denn grundsätzlich dürften nur so viele Daten verarbeitet werden, wie nötig sind, um den Zweck der Datenverarbeitung zu erfüllen. Oder anders ausgedrückt: Die Verarbeitung personenbezogener Daten wird immer durch den festgelegten Zweck begrenzt. Man ist also gut beraten, genau zu ermitteln, welche Daten wirklich benötigt werden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.