Worum geht's?
Die Datensparsamkeit gehört zu den Grundsätzen des Datenschutzes. Wer sich bei der Erhebung und Verarbeitung personenbezogener Daten nicht daran hält und zum Beispiel unerhebliche Daten abfragt, begeht einen Datenschutzverstoß. Mögliche Folgen: Bußgelder und teure Abmahnungen. Doch was versteht man unter Datensparsamkeit genau? Welche Daten dürfen gespeichert werden und welche nicht? Und wie können Sie als Unternehmer Datensparsamkeit in Ihrer Firma sicherstellen? Das verraten wir jetzt.
1. Was ist Datensparsamkeit und Datenminimierung?
Der Grundsatz der Datensparsamkeit (oft auch als Datenminimierung oder Datenvermeidung bezeichnet) besagt, dass bei der Verarbeitung von personenbezogenen Daten nur die Daten erhoben und verwendet werden dürfen, die für den jeweiligen Verarbeitungszweck erforderlich sind. Im Gesetz klingt das so:
„Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
Möchte beispielsweise eine Bank die Kreditwürdigkeit einer Person beurteilen, wäre der Wohnort zwar interessant und womöglich sogar wichtig – weil er aber Rückschlüsse auf das Einkommen ermöglichen kann, ist seine Abfrage aufgrund potenzieller Diskriminierung nicht angemessen.
Fragt ein Onlineshop wiederum im Bestellprozess E-Mail-Adresse und Telefonnummer ab, so ist letztere für den Zweck unerheblich und auch nicht auf das notwendige Maß beschränkt – denn für die Abwicklung der Bestellung reicht eine Kontaktmöglichkeit für eventuelle Rückfragen vollkommen aus.
Vereinfacht gesagt geht es bei Datensparsamkeit also um das Prinzip „So viele Daten wie nötig, so wenig wie möglich.“
Wo ist der Grundsatz der Datensparsamkeit bzw. Datenminimierung geregelt?
Der Grundsatz der Datensparsamkeit bzw. Datenminimierung findet sich in unterschiedlichen Gesetzen wieder:
- Grundgesetz: Datensparsamkeit dient dem Schutz der Privatsphäre und stellt das Recht auf informationelle Selbstbestimmung sicher, das sich aus den allgemeinen Persönlichkeitsrechten des Art. 2 GG (Grundgesetz) ableitet.
- Bundesdatenschutzgesetz: Im alten Bundesdatenschutzgesetz fand sich unter § 3a BDSG das Gebot der Datenvermeidung und Datensparsamkeit. Gemeinsam mit der Datenschutzgrundverordnung (DSGVO) trat 2018 das BDSG-neu in Kraft.
- Datenschutzgrundverordnung: Der Grundsatz der Datensparsamkeit findet sich seit 2018 unter dem Begriff „Datenminimierung“ in Art. 5 Abs. 1 DSGVO.
Genau genommen heißt es also seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) nicht mehr „Datensparsamkeit und Datenvermeidung“, sondern „Datenminimierung“. Zwar werden die Begriffe in der Rechtswissenschaft differenziert, in der Praxis spielt die Unterscheidung jedoch keine Rolle.
So oder so müssen sich alle, die personenbezogene Daten verarbeiten, an die Vorgaben der DSGVO halten. Neben der Datenminimierung nennt die DSGVO weitere Grundsätze für die Datenverarbeitung: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenrichtigkeit, Speicherbegrenzung und Integrität und Vertraulichkeit.
Für wen spielen Datensparsamkeit und Datenminimierung eine Rolle?
Sobald Unternehmen, Behörden, Praxen, Vereine, Solo-Selbstständige oder sonstige Stellen personenbezogene Daten von Dritten – z. B. von Kunden, Mitarbeitern, Patienten, Mitgliedern, Lieferanten oder Geschäftspartnern – verarbeiten, gilt für sie die DSGVO und damit auch das Prinzip der Datenminimierung.
Gut zu wissen
Nur für Privatpersonen, die ausschließlich zu privaten Zwecken handeln, spielt die DSGVO keine Rolle. Ansonsten greift sie nahezu für jeden, der nicht-privat tätig ist – denn fast immer werden im unternehmerischen oder öffentlichen Kontext personenbezogene Daten verarbeitet.
Datensparsamkeit spielt aber nicht nur für die Verarbeiter der Daten eine Rolle, sondern auch für deren „Inhaber“ – also diejenigen, von denen die Daten stammen. Betroffene sollten Daten nicht unüberlegt herausgeben, denn in Zeiten von Digitalisierung und Big Data sind diese ein mitunter unbezahlbares Kapital.
Was gehört zur Datensparsamkeit?
Im Zusammenhang mit dem Konzept der Datensparsamkeit bzw. Datenminimierung spielen das Recht auf informationelle Selbstbestimmung, die Zweckbindung und das Prinzip von Privacy by Design and Default eine Rolle:
- Recht auf informationelle Selbstbestimmung: Da personenbezogene Daten unter einem besonderen Schutz stehen, dürfen sie nur dann gespeichert, verwendet und weitergegeben werden, wenn die betroffene Person der Erhebung, Nutzung und Verarbeitung eindeutig zugestimmt hat oder es eine rechtliche Grundlage dafür gibt. Ziel ist es, das Recht auf informationelle Selbstbestimmung der Person zu wahren.
- Zweckbindung: Wer Daten verarbeiten will, braucht einen angemessenen Zweck. Nur wenn die Daten für diesen Verarbeitungszweck auch tatsächlich erforderlich sind, dürfen sie erhoben und verwendet werden. Sie müssen zweckbezogen „auf das notwendige Maß beschränkt“ sein – alle anderen Daten sind tabu.
- Privacy by Design and Default: Gemeint sind datenschutzfreundliche Voreinstellungen der IT-Systeme. Datenverarbeitungssystemen ermöglichen sie standardmäßig datensparsame Datenverarbeitungen. Sollen zusätzliche Daten erhoben werden, muss der Nutzer nach dem Prinzip Privacy by Design and Default diese Funktion explizit aktivieren.
Personenbezogene Daten dürfen Sie nur für die Dauer des Verarbeitungszwecks speichern. Ist dieser erfüllt und gibt es auch sonst keine rechtliche Grundlage für die Datenspeicherung, sollten Sie die Daten von allen Datenträgern entfernen – denn betroffene Personen haben ein Recht auf Löschung und Berichtigung.
2. Wie können Unternehmen Datensparsamkeit gewährleisten?
Unternehmen können den Grundsatz der Datensparsamkeit durch geeignete technische und organisatorische Maßnahmen sicherstellen. Dazu gehört etwa, sich bei allen freiwilligen Angaben, die nicht für den Verarbeitungszweck erforderlich sind, eine eigene Einwilligung einzuholen – oder gleich ganz auf unerhebliche Abfragen von Daten zu verzichten.
Führen Sie zum Beispiel einen Onlineshop, dürfen Sie Daten wie Name, Adresse, Zahlungsart und Kontonummer Ihrer Kunden ohne Zustimmung erheben, da diese für den Zweck der Vertragserfüllung notwendig sind. Für alle anderen Daten benötigen Sie eine Einwilligung des Kunden.
Zudem müssen Sie Ihren Informationspflichten nachkommen und Kunden unter anderem über den Verarbeitungszweck, die Rechtsgrundlage und die Kontaktdaten des Verantwortlichen aufklären. Hierfür empfehlen sich rechtssichere Onlineshop-AGB bzw. AGB für digitale Produkte und Dienstleistungen, je nachdem, was Sie verkaufen.
Haben Sie bereits Daten über eine Person gespeichert, dürfen Sie daraus keine neuen Informationen ableiten, wenn Sie dafür keine erneute Zustimmung eingeholt haben. Anhand des Namens einer Person ließe sich beispielsweise auf ihr Geschlecht schließen und auf Grundlage dessen zugeschnittene Werbeangebote ausspielen. Ohne Einwilligung der betroffenen Person verstößt ein solches Vorgehen aber gegen die Datensparsamkeit.
Sammeln Sie personenbezogene Daten zu statistischen Auswertungszwecken, kommt es nicht auf persönliche Details an. Um den Grundsatz der Datenminimierung umzusetzen, sollten Sie die Daten daher anonymisieren bzw. pseudonymisieren.
Beschäftigten Sie in Ihrem Unternehmen Mitarbeitende, sollten diese nur Zugriff auf personenbezogene Daten erhalten, wenn diese für die Erfüllung der Arbeit relevant sind. Durch die Zuweisung klarer Verantwortlichkeiten und Zugangsberechtigungen können Sie die Gefahr von Datenpannen und DSGVO-Bußgeldern minimieren und die Datensicherheit in Ihrer Firma erhöhen.
Ob Datenschutzgrundsätze wie Datensparsamkeit, Datenminimierung oder Datensicherheit, Kennzeichnungspflichten des Impressums oder die Aufklärung von Betroffenen über die Datenverarbeitung mittels Datenschutzerklärung – wer keinen Verstoß gegen die DSGVO riskieren will, muss eine Menge beachten.
Gut, wenn alles, was Sie zu Datenschutz-Vorschriften und DSGVO wissen müssen, an einem Ort gebündelt ist: bei eRecht24 Premium.
3. Datensparsamkeit aus Verbrauchersicht: So geben Sie möglichst wenig Daten preis
Nicht nur Unternehmen sind in Sachen Datensparsamkeit gefragt, sondern auch Verbraucher. In Zeiten, in denen sich die Kommunikation mehr und mehr ins Netz verlagert, sind auch diejenigen nicht weit, die eigene Interessen an den Daten haben. Um einem Datenmissbrauch vorzubeugen, sollten Sie diese nur sparsam herausgeben:
- Verzichten Sie auf die Teilnahme an Online-Gewinnspielen – hierbei handelt es sich meistens um Datenkraken, bei denen es wahrscheinlich ist, dass Ihre Angaben noch bei zig anderen Anbietern und Unternehmen landen.
- Werden Sie bei Bestell- oder Kontaktformularen nach Ihren Angaben gefragt, füllen Sie nur die aus, die auch tatsächlich erforderlich sind – machen Sie keine weiteren, freiwilligen Angaben.
- Stimmen Sie der Weitergabe Ihrer Daten in Vertragsformularen und Bestellmasken nicht zu.
- Übertragen Sie Daten nur über verschlüsselte Verbindungen – ganz besonders bei sensiblen Informationen wie Konto- oder Kreditkartennummern.
Eine gesunde Skepsis bei der Auswahl und Weitergabe Ihrer Daten schützt Sie nicht nur vor einem Datenmissbrauch durch Dritte, sondern auch vor teuren Abo- und Vertragsfallen im Internet.
4. Häufige Fragen zur Datensparsamkeit
Alles, was Sie wissen müssen