Datenminimierung – Definition und Grundsatz
19.07.2022 | J. Morelli – Online-Redaktion, Forum Verlag Herkert GmbH
Datenminimierung, Datensparsamkeit und das Recht auf Löschung gemäß DSGVO Artikel 5: was das für den Einzelfall bedeutet und wie Unternehmen ihre CRM- und ERP-Systeme entsprechend anpassen können, gehört zu den Kernproblemen der Datensicherheit. Vor allem, wenn es um die Verarbeitung von kunden-, bzw. personenbezogenen Daten geht, sollten Unternehmen nichts dem Zufall überlassen, sondern gezielt nach Datenreduzierung streben. Das wohl gängigste Mittel dafür ist die Etablierung von Löschkonzepten. Aber auf welche Weise erreichen vor allem große Unternehmen mit einer sehr ausgeprägten Dateninfrastruktur Datenminimierung, ohne die eigenen Systeme vom Kern auf umzugestalten?
Inhaltsverzeichnis
- Datenminimierung vs. Datenmaximierung
- Problemfall: CRM und ERP
- Datenminimierung und unstrukturierte Daten
- Verstöße gegen den Grundsatz der Datenminimierung
- Fazit
Datenminimierung vs Datenmaximierung
Unternehmen befinden sich entweder in einer Wachstums- oder Rückgangsphase, ein wirklicher Status Quo, in dem auch der Umfang an unternehmenseigenen und Kunden-Daten gleichbleibt, existiert hingegen nicht wirklich. Was das mit Datenverarbeitung zu tun hat? – Unternehmen planen, stets zu wachsen. Das wiederum heißt: mehr personenbezogene Kunden- und betriebseigene Daten, die es zu verarbeiten und speichern gilt.
Das führt oft dazu, dass Unternehmen einen regelrechten Datenstau oder stark veraltete Datensätze haben, die mit dem Fokus auf neue Daten in Vergessenheit geraten (sog. Datenfriedhöfe). Vor allem letzteres ist datenschutzrechtlich sehr fragwürdig und sollte unbedingt vermieden werden.
Ein probates Mittel hierfür ist die Datenreduzierung oder Datenminimierung (oft auch Dataminimierung genannt), die gleichzeitig dazu führen kann, dass Programme und Prozesse nach Reduzierung der Datenlast leistungsstärker werden. Gleichzeitig wird das Risiko eigner Datenpannen, wie Leaks, verringert.
Definition Datenminimierung und Reduzierung der Datenerhebung auf das notwendige Minimum
Früher Datensparsamkeit oder Datenvermeidung genannt, gehört Datenminimierung zu einem der Datenschutzgrundsätze der DSGVO. Danach müssen personenbezogene Daten immer zweckgebunden verarbeitet werden. So ist alles, was über den ursprünglichen Zweck der Erhebung hinausgeht, grundsätzlich nicht erlaubt.
Bereits bei der Datenerhebung kann das Prinzip der Datenminimierung erfolgreich implementiert werden – unnötige Daten weglassen, das ist hierbei die Devise.
Als Beispiel veranschaulicht die immer noch oft erhobene Information zu Geschlecht, die aber in den meisten Fällen keinem Verarbeitungszwecke dient. Und das ist nur einer von vielen Möglichkeiten Datenminimierung zu betreiben. So sollte z.B. auch nur nach der Telefonnummer der betroffenen Person gefragt werden, falls dies für die Weiterverarbeitung des Kundenanliegens unbedingt notwendig ist.
Wichtig für die Datenminimierung ist ebenfalls der DSGVO-Grundsatz der Speicherbegrenzung (Artikel 5 Absatz 1e), wonach Daten nur so lange gespeichert werden dürfen, wie zur Zweckerfüllung notwendig.
Die meist einzig logische Schlussfolgerung aus der Kombination der Grundsätze Datenminimierung und Speicherbegrenzung ist eindeutig: Datenlöschung – konkret, hat jede betroffene Person ein Recht darauf, dass die erhobenen und verarbeiteten personenbezogenen Daten nach der erlaubten Nutzung unverzüglich wieder gelöscht werden.
Datenminimierung, Pseudonymisierung und Anonymisierung
Datenminimierung lässt sich neben der begrenzen Erhebung und Löschung auch durch Anonymisierung oder Pseudonymisierung erreichen. Jedoch ist das für Unternehmen nur relevant, wenn es um statistische Auswertungen geht. Für den betriebswirtschaftlichen Ablauf im Unternehmen können entsprechend unkenntlich gemachte personenbezogene Daten nicht mehr herangezogen werden – aber, wenn es um die Vermeidung unnötiger Datenkopien geht, sind Anonymisierung und Pseudonymisierung ein probates Mittel zur Datenminimierung.
Problemfall CRM/ERP
Customer-Relationship-Management und Enterprise-Resource-Planning sind heutzutage Teil fast jeden Unternehmens. Zwar existieren diverse unterschiedliche Software-Anbieter, grundsätzlich beinhalten CRM- und ERP-Systeme aber folgende Arbeitsbereiche:
- Marketing
- Vertrieb
- Buchhaltung
- Personalverwaltung
- Warenwirtschaftssysteme etc.
Das Problem vieler derartiger Systemen ist, dass sie oft nicht für regelmäßige Löschungen und Datenminimierung ausgelegt sind. Zusätzlich ist bei besonders großen Datenbanken ein direkter Zugriff auf einzelne Datensätze technisch nicht mehr möglich, denn die meisten CRM- oder ERP-Systeme sind ausschließlich auf Datenmaximierung nicht Datenminimierung ausgelegt.
Daher sind die datenschutzrechtlichen Grundsätze – wie z.B. Datenminimierung und Speicherbegrenzung – oft nicht mit der Struktur der Datenverwaltungsprogramme vereinbar. Aber Vorsicht bei der Problemlösung: zusätzliche Software-Tools stellen oft selbst ein erhöhtes Datenschutz-Risiko dar. Deshalb sollte priorisiert auf Werkzeuge des Herstellers des Datenverarbeitungs- oder Datenarchivierungs-Programms zurückgegriffen werden.
Mit die einzige Lösung, um einer fortschreitenden Datenmaximierung durch Datenminimierung entgegenzuwirken kann ein speziell für das verwendete System angefertigtes Löschkonzept sein.
Löschkonzepte nach DSGVO
Für die Entwicklung von Archivierungs- und Löschkonzepten ist generell der Datenschutzbeauftragte verantwortlich. Dabei ist es wichtig, anhand der eigenen Geschäftsprozesse erhobene Daten in unterschiedliche Kategorien einzuteilen, um eine Löschung zu späterem Zeitpunkt zu vereinfachen. Für eine solche Löschung bedarf es einer Timeline: für unterschiedliche Datenkategorien können unterschiedliche Löschfristen festgelegt werden (z. B. für Neukunden gegenüber Bestandskunden). In einem weiteren Schritt sollten als Fristauslöser Ereignisse festgelegt werden, die zielgruppenspezifisch ausfallen können, z. B.:
- Kündigung eines Vertragsverhältnisses
- Erfüllung eines Vertrags
- Ende einer Mitgliedschaft
- Auf Kundenwunsch
Zu beachten ist aber bei der Datenlöschung, dass es durchaus der Fall sein kann, dass eine gesetzliche Aufbewahrungspflicht einzuhalten ist. Das tritt dann ein, wenn der Betroffene die gespeicherten Daten für die Geltendmachung rechtlicher Ansprüche benötigt oder die Löschung explizit untersagt hat (Schlagwort: schutzwürdige Interessen, BDSG § 35, Abs. 7).
Praxis-Tipp: Die Etablierung zeitlich wiederkehrender Löschroutinen erleichtert den Umgang mit gespeicherten Daten ungemein. Und Vorsicht: bereits das Fehlen eines entsprechenden Löschkonzeptes stellt in der Regel bereits einen Datenschutzverstoß dar.
Um auf der sicheren Seite in Sachen Datenlöschung zu sein, liefert die DIN 66399 Anhaltspunkte zur Erstellung eines Löschkonzepts.
Datenminimierung und unstrukturierte Daten
Auch durch das Aufräumen unstrukturierter Datenbanken lässt sich Datenminimierung erfolgreich betreiben. Das ist vor allem dann wichtig, wenn in Unternehmen ein und dieselben Datensätze an mehreren Orten gespeichert werden. Dementsprechend ist es bei unstrukturierten Daten fast unmöglich, diese erfolgreich zu löschen. Das Ergebnis sind sog. Datenfriedhöfe, die datenschutzrechtlich hoch riskant sind. Das Paradebeispiel hierfür sind Dateiordner, E-Mail-Postfächer oder sonstige Ablagen außerhalb von CRM- oder ERP-Systemen.
Im Zuge der Datenminimierung von unstrukturierten Daten kann die Reduzierung von Kommunikationswegen ein hilfreiches Mittel sein. Vor allem dann, wenn Mitarbeiter bislang auch private Geräte für die berufliche Tätigkeit nutzen. Deswegen gilt: keine Unternehmensdaten auf privaten Computern, Handys oder USB-Sticks (ohne Ausnahme).
Daran schließt auch das Thema Berechtigungsfreigabe an: unterschiedliche Mitarbeiter im Unternehmen benötigen einen anderen Datensatz zur Aufgabenerfüllung. Oder anders formuliert: nicht jeder Mitarbeiter muss vollumfänglich Zugang zu allen Datensätzen haben.
Verstöße gegen den Grundsatz der Datenminimierung und der Speicherbegrenzung
Wenn ein Unternehmen gegen den Grundsatz der Datenminimierung verstößt, kann gemäß DSGVO Art. 83 Absatz 5a von der staatlichen Aufsichtsbehörde mit einem Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes des Vorjahres belegt werden.
Fazit
Datenminimierung lässt sich sicherlich durch sog. Privacy by Design and Default (Art. 25 DSGVO), auch datenschutzfreundliche Voreinstellungen genannt, am einfachsten in die unterschiedlichen Workflows eines Unternehmens integrieren. Zusätzlich sollten Unternehmen dabei versuchen, ihre Datenprozesse nicht nur inhaltlich, sondern auch zeitlich zu optimieren. Das umfasst die Dauer der Datenverarbeitung ebenso wie die Begrenzung der zu erhebenden Daten selbst.
Auch handelt es sich bei Dataminimierung nicht um ein reines Quality-of-Life-Improvement für die betroffenen Personen und Kunden, sondern Datensparsamkeit lässt Kapazitäten für andere Prozesse frei werden und steigert somit die Leistungsfähigkeit des Unternehmens. Ganz davon abgesehen, dass jedes Unternehmen, das den Anspruch hat, datenschutzkonform zu handeln, auch Datenminimierung betreiben sollte.
Wird diese transparent umgesetzt, kann sie auch zur Erhöhung des Ansehens und gesellschaftlichen Rufs des Unternehmens führen, da es den sensiblen Umgang mit personenbezogenen Daten widerspiegelt.
Quellen: „Infodienst Datenschutz für Praktiker", „Löschkonzept nach DSGVO erstellen und anwenden"