Was bedeutet der „Grundsatz der Datenminimierung“?

Datenminimierung bedeutet gemäß Art. 5 Abs. 1 Buchstabe c DSGVO, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Bereits vor Gültigkeit der Datenschutz-Grundverordnung galt in Deutschland gemäß § 3a BDSG das Prinzip der Datenvermeidung und Datensparsamkeit. Demgemäß hatte sich die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Dieses Prinzip spiegelt sich – wenn auch nicht deckungsgleich – nunmehr im Grundsatz der Datenminimierung des Art. 5 Abs. 1 Buchstabe c DSGVO wider, wonach personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Damit dürfen nur solche Daten verarbeitet werden, die für den konkreten Erhebungszweck von direkter Relevanz und für dessen Erfüllung erforderlich sind. Anders gesagt: Es sollten bestenfalls keine oder so wenig personenbezogene Daten wie möglich verarbeitet werden.

Angemessen sind Daten, die einen konkreten inhaltlichen Bezug zum Verarbeitungszweck aufweisen.

Erheblich sind Daten, deren Verarbeitung einen wesentlichen Betrag zur Zweckerreichung leisten und somit dafür notwendig sind.

Auf das notwendige Maß beschränkt sind nur die Daten, die zur Erreichung des Zwecks erforderlich sind, ohne deren Verarbeitung der Verarbeitungszweck also nicht erreicht werden kann. Diese Definition ergibt sich auch aus Erwägungsgrund 39 Satz 9: Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere (weniger einschneidende) Mittel erreicht werden kann. Der Eingriff in das Grundrecht auf Datenschutz ist nur zulässig, soweit er auf das geringstmögliche Maß begrenzt ist.

Vor diesem Hintergrund hat der Verantwortliche insbesondere (erstmalig vor Verarbeitungsbeginn) zu prüfen, ob ein bestimmter Verarbeitungszweck tatsächlich die Verarbeitung personenbezogener Daten (weiterhin) erfordert oder ob nicht vielmehr die Verarbeitung anonymisierter Daten ausreichend ist. Diese Überprüfung sollte aber nicht einmalig, sondern fortlaufend stattfinden.

Außerdem muss die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck also nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht (Artikel 17 Absatz 1 Buchstabe a Datenschutz-Grundverordnung) oder die Identifizierung der betroffenen Person aufgehoben werden.

Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen (Erwägungsgrund 39 Satz 10).

Personenbezogene Daten dürfen nur dann länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden (Art. 5 Abs. 1 Buchstabe e DSGVO).

Der Grundsatz der Datenminimierung wird auch im Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) angesprochen. Nach Art. 25 Abs. 1 DSGVO sind bei der Verarbeitung personenbezogener Daten durch die Ergreifung geeigneter technischer und organisatorischer Maßnahmen – wie z. B. Pseudonymisierung –, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen.

Gemäß Art. 25 Abs. 2 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Ist ein Betroffener der Meinung, dass ein Verantwortlicher gegen das Gebot der Datenminimierung verstoßen hat, kann er sich gemäß Art. 57 Abs. 1 Buchstabe f DSGVO mit einer entsprechenden Beschwerde an die zuständige Aufsichtsbehörde wenden. Diese kann dann bei einem vorliegenden Verstoß eine Geldbuße von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Verantwortlichen verhängen, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 Buchstabe a DSGVO).