Datenminimierung: Wie ein Verstoß zum teuren Verhängnis werden kann
Neben den im Datenschutz bekannten Prinzipien, wie beispielsweise die Zweckgebundenheit oder auch das Kopplungsverbot, gibt es auch noch die nicht minder wichtigen Prinzipien der Datensparsamkeit und der Datenminimierung. Doch was verbirgt sich genau hinter diesen beiden Prinzipien und wann kann ein Verstoß so teuer werden wie im Beispiel von Spartoo mit 250.000€ Bußgeld?
Datensparsamkeit
Der Grundsatz der Datensparsamkeit ist ein noch alter Begriff aus dem BDSG-alt. Dort war er in Art. 3a BDSG-alt normiert, zusammen mit dem Grundsatz der Datenvermeidung.
Die Unterschiede zwischen dem „alten“ Begriff Datensparsamkeit und dem „neuen“ Begriff Datenminimierung sind marginal. Die Datensparsamkeit orientiert sich ausdrücklich auf die Anonymisierung und Pseudonymisierung als Mittel der Datenvermeidung bzw. -sparsamkeit.
Datenminimierung
Das Prinzip der Datenminimierung ist in Art. 5 Abs. 1 li. c EU-DSGVO schriftlich fixiert. Danach hat die Datenverarbeitung personenbezogener Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt zu sein, vgl. Art. 5 Abs. 1 lit. c EU-DSGVO.
Im Gegensatz zur oben beschriebenen Datensparsamkeit nach dem alten Recht, orientiert sich die Datenminimierung nach EU-DSGVO ausdrücklich am Verarbeitungszweck. Darüber hinaus ergänzt der Grundsatz der Datenminimierung zusätzlich noch den in Art. 5 Abs. 1 lit. b normierten Grundsatz der Zweckbindung dahingehend, dass er sicherstellt, dass die Verarbeitung personenbezogener Daten durch den festgelegten Zweck begrenzt wird. Umgekehrt ergänzt der Grundsatz der Zweckbindung den Grundsatz der Datenminimierung dadurch, dass er normativen Aussagen zur Zweckfestlegung und Zweckänderung trifft und damit sicherstellt, dass der „Zweck“, der den maßgeblichen Orientierungspunkt für die Datenminimierung nach Art. 5 Abs. 1 lit. c EU-DSGVO darstellt, auf bestimmte Weise fixiert ist und nicht beliebig gewählt und geändert werden kann.
Auswirkungen des Grundsatzes der Datenminimierung auf die Praxis
Die Auswirkungen des Grundsatzes der Datenminimierung sind, wie bei allen anderen Grundsätzen, die bei der Verarbeitung personenbezogener Daten zu beachten sind, fundamental. Eine Nichtbeachtung kann im Zweifel zu einer empfindlichen Bußgeldverhängung seitens der zuständigen Aufsichtsbehörde führen.
Ein gutes Beispiel dafür ist der französische Unternehmen Spartoo. Das Unternehmen zeichnete Kundengespräche zu Schulungszwecken auf, wertete aber nur sehr wenige Gespräche tatsächlich aus. Damit wurden viele Telefonate unnötig aufgezeichnet, was unter anderem von der französischen Aufsichtsbehörde bemängelt und letztlich auch bestraft wurde (Siehe Aufzeichnung von Telefongesprächen zu Schulungszwecken – Geldbuße 250.000€).
Dieses Beispiel aus der Praxis zeigt, dass alle Unternehmen bei der Verarbeitung personenbezogener Daten besondere Sorgfalt dahingehend walten lassen sollten, dass sie nur diejenigen Daten verarbeiten, die auch wirklich nötig sind.
Fazit – Was können Unternehmen aktiv zur Einhaltung des Grundsatzes der Datenminimierung tun?
Grundsätzlich wollen Unternehmen aus mehreren nachvollziehbaren Gründen möglichst viele personenbezogene Daten erfassen und verarbeiten.
Dieser Praxis wird durch die EU-DSGVO ein Riegel vorgeschoben. Unternehmen sollten nun genau prüfen, welche personenbezogene Daten wirklich für die Erfüllung der jeweils vertraglichen Leistungen benötigt werden und welche nicht. Alle nicht benötigten personenbezogene Daten, die bereits erhoben wurden, sind zu löschen und zukünftig nicht mehr zu erheben.
Alternativ ist bei der Prüfung des Grundsatzes der Datenminimierung insbesondere zu bedenken, ob der Verarbeitungszweck auch dann erreicht werden kann, wenn die Daten anonymisiert sind; denn dann sind die Daten nicht mehr personenbezogen und somit nicht dem Grundsatz der Datenminimierung unterworfen. Soweit der Verarbeitungszweck auch mit anonymisierten Daten erreicht werden kann, wäre die Verarbeitung nicht-anonymisierter Daten ein Verstoß gegen den Grundsatz der Datenminimierung, weil eine solche Verarbeitung nicht „auf das notwendige Maß beschränkt“ wäre.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!