Das Thema DSGVO ist seit 2018 für alle Unternehmen relevant und nicht mehr aus der Verarbeitung und den Speicherungsprozessen von Daten wegzudenken. Unternehmen wurden mit dem DSGVO-Gesetz in die Pflicht genommen, nicht nur verantwortungsvoll im Umgang mit personenbezogenen Daten zu sein, sondern auch den Schutz dieser zu gewährleisten.
Art. 5 DSGVO behandelt die „Grundsätze für die Verarbeitung personenbezogener Daten“ und in Absatz 1 lit c. dieses Artikels findet sich der Begriff Datenminimierung.
Datenminimierung ist einer der Grundsätze bei der Verarbeitung von personenbezogen Daten: So sieht das Gesetz vor, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen. (Quelle: Art. 5 Abs. 1 lit c.) DSGVO)
Hinter dem Begriff Datenminimierung steckt im Grund genommen, dass personenbezogene Daten immer nur dann erhoben werden dürfen, wenn sie zwingend für den jeweiligen Zweck erforderlich sind. Dabei liegen die Schwerpunkte auf den Umfang der Daten und der Art und Länge der Verarbeitung. Sind diese Punkte nicht gegeben so dürfen die Daten nicht erhoben werden. (Quelle)
Was nicht erhoben wird, muss nicht gespeichert und dementsprechend nicht geschützt oder gelöscht werden! Klingt komisch, ist aber so! – Das ist der auf der Hand liegende Vorteil von Datenminimierung. Durch diesen Gesetzesabschnitt wird das “unnötige“ Erheben nichtrelevanter Daten verhindert bzw. untersagt. Ziel ist es somit, nur „reine“ Datensätze zu haben, ohne beispielsweise Attribute, die nicht für den Datenverarbeitungsprozess relevant sind - Stichwort Datenmüll.
Wenn man dies am Bespiel von Online-Shops veranschaulicht, so dürfen diese z.B. nur personenbezogenen Daten erheben, die für den Bestellprozess unbedingt notwendig sind.
Als Nutzer erkennt man diese Daten daran, dass sie als Pflichtfeld gekennzeichnet sind. Alle anderen Angaben müssen für den Kunden freiwillig sein. Sobald das nicht der Fall ist und die Daten nicht relevant für den Bestellprozess sind, liegt ein Datenschutzverstoß vor und das Unternehmen macht sich strafbar. Dies ist ein gängiges Beispiel für die Datenminimierung im Sinne der DSGVO.
Generell sollte man immer hinterfragen, wenn viele Daten erhoben werden (z.B. durch Umfragen) und ob dieser Fragenkatalog sowie die Erfassung der Daten noch DSGVO-konform sind. In diesen Fall muss ein Unternehmen sich immer die Frage stellen: “Fällt die Erhebung schon unter das Datenminimierungsgesetz?”.
In der Praxis können folgende Punkte helfen:
✅ Reduzierung der zu erfassenden Attribute der betroffenen Personen
✅ Festlegung von Beschränkungen als Voreinstellung - welche die Verarbeitung von personenbezogenen Daten nur mit entsprechendem Verwendungszweck möglich macht
✅ Datenfelder mit Hilfe einer Datenmasken unterdrücken
✅ Automatisierte Verfahren und Routinen zum Sperren, Pseudonymisieren und Anonymisieren
✅ Festlegung und Umsetzung eines Löschkonzepts (Quelle)
Bei der Erhebung großer Datenmengen stellt sich immer die Frage, wie das Vorhaben mit dem Grundsatz der Datenminimierung in Einklang gebracht werden kann. Hier setzen Unternehmen meist auf die Anonymisierung oder Pseudonymisierung personenbezogener Daten. Auf diesem Wege können Daten verarbeitet werden, ohne dass sie Rückschluss auf konkrete Personen erlauben. Somit werden personenbezogenen Daten geschützt und DSGVO-konform verarbeitet.
Was sind hinter Anonymisierung und Pseudonymisierung verbirgt, haben wir in einen anderen Blogbeitrag genauer beleuchtet.
Die Libelle IT Group hat hier mit Libelle DataMasking eine Lösung für die erforderliche Anonymisierung und Pseudonymisierung entwickelt. Konzipiert wurde die Lösung zur Herstellung anonymisierter, logisch konsistenter Daten auf Entwicklungs-, Test- und QS-Systemen über alle Plattformen hinweg.
Die eingesetzten Anonymisierungsverfahren liefern realistische, logisch korrekte Werte, mit denen relevante Geschäftsfälle beschrieben und sinnvoll Ende-zu-Ende getestet werden können. Des Weiteren steht Entwicklern sowie Anwendern eine „saubere“ Datenbasis zur Verfügung, mit der sie sich keine Sorgen um den Datenschutz machen müssen.