Datensparsamkeit – lohnt sich auch ohne Zinsen

Der Grundsatz der Datensparsamkeit oder auch Datenminimierung verlangt, dass die Verarbeitung von Daten auf das objektiv absolut notwendige Maß beschränkt wird. Aber was heißt das eigentlich genau?

Wir schauen uns mal ein paar typische Anwendungsbeispiele an. Welche Daten dürfen in einem Kontaktformular abgefragt werden? Benötige ich bei einer Bestellung stets das Geburtsdatum der bestellenden Person?

CRM-Systeme sind hilfreiche Tools zur Verbesserung der Bindung der Kund*innen an das Unternehmen. Aber muss darin jegliche private Vorliebe der Kund*innen gespeichert werden?

Und dann werfen wir noch mal einen Blick auf das Tracking von Webseiten oder die Protokollierung von Nutzerdaten in smarten Geräten wie KFZ, modernen Fernsehern oder der per App steuerbaren Nachttischlampe.

Überall werden Daten gesammelt und man fragt sich häufig, wozu diese ganzen Daten eigentlich benötigt werden. Und Übrigens: Die Datensparsamkeit bezieht sich nicht nur auf die Frage, welche Daten gespeichert werden dürfen. Andere Verarbeitungsformen wie beispielsweise die Übermittlung müssen selbstverständlich ebenfalls dem Prinzip der Datensparsamkeit folgen.

Übrigens: Über das Thema der Datensparsamkeit haben wir neulich auch in einer Folge unseres gemeinsam mit der Mauß Datenschutz GmbH herausgegebenen Podcast gesprochen. Wer also lieber die Informationen mit den Ohren als mit den Augen aufnehmen möchte, kann sich die entsprechende Folge gerne hier anhören.

Was bedeutet (im rechtstechnischen Sinn) Datensparsamkeit bzw. Datenminimierung?

Die Datensparsamkeit bzw. Datenminimierung ist rechtstechnisch gesehen ein Grundsatz der Datenschutz-Grundverordnung (DSGVO), der in Art. 5 Abs. 1 lit. c DSGVO geregelt ist. Dieser bestimmt, dass Personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein […]“ müssen. Ansonsten ergibt sich auch aus dem Erfordernis des Art. 5 Abs. 1 lit. a DSGVO, der den sogenannten „Rechtmäßigkeitsgrundsatz“ regelt und bestimmt, dass Daten nur auf rechtmäßige Weise verarbeitet werden dürfen, was wiederum das Vorliegen einer Rechtsgrundlage voraussetzt. Typische Rechtsgrundlagen sind beispielsweise eine Einwilligung der betroffenen Person, ein Vertrag mit der betroffenen Person oder aber auch ein überwiegendes berechtigtes Interesse des Verantwortlichen. Und dabei ist zu beachten, dass die Rechtsgrundlage nicht nur für eine komplette Verarbeitungstätigkeit vorhanden sein muss, sondern gegen jeden einzelnen Datensatz oder im Extremfall sogar gegen einzelne Datenfelder geprüft werden muss.

Denn häufig ist auf der Ebene eines einzelnen Datums fraglich, ob die Rechtsgrundlage, die für eine Datenkategorie zur Verarbeitung herangezogen werden kann, im Rahmen der Verarbeitung eines konkreten Datums (immer noch) eine Rechtsgrundlage „liefert“. Beispielsweise können personenbezogene Daten im Rahmen eines Beschäftigungsverhältnisses beschäftigten Person auf der Grundlage des § 26 Bundesdatenschutzgesetz (BDSG) verarbeitet werden. Dies allerdings nur, sofern die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses stattfindet und „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“. Wenn die Erforderlichkeit gemäß § 26 BDSG nicht vorliegt, so brauchen wir für ein Datum, welches wir verarbeiten möchten, eine andere Rechtsgrundlage als den § 26 BDSG und vielfach ist dies dann eine Einwilligung der betroffenen Person gemäß Art. 7 DSGVO. Bestes Beispiel wäre hier das Führen einer Geburtstagsliste, in der das Geburtsdatum der Beschäftigten für Zwecke der Gratulation und nicht der in § 26 BDSG genannten Zwecke erfolgt. Genauso ist es im Rahmen der Bestellung von Reifen nicht erforderlich, ein Geburtsdatum abzufragen, auch wenn hier (aus einem Missverständnis heraus) oft die Prüfung der Geschäftsfähigkeit als Argument ins Feld geführt wird (siehe unseren Artikel  hier).

Kurz zusammengefasst und auf eine Faustregel reduziert heißt das, dass die Verarbeitung personenbezogener Daten auf das Nötigste zu beschränken ist und man könnte sagen:

Keine Datenverarbeitung ohne einen festgelegten, dokumentierten und zulässigen Zweck.

Was haben Verantwortliche konkret zu beachten?

Insbesondere sind jegliche Formulare darauf zu überprüfen, ob alle Daten, die dort abgefragt werden, für die jeweilige Datenverarbeitung wirklich erforderlich sind. Daten, die nicht unbedingt erforderlich sind, sind aus den Formularen und entsprechenden Eingabefeldern auf den Webseiten zu verbannen. Genauso ist im Rahmen einzelner Verarbeitungsprozesse immer zu prüfen, ob die Verarbeitung auch ohne dieses Datum möglich wäre. Beispielsweise ist sehr fraglich, ob für den Empfang eines Newsletters, die Eingabe eines Vor- und Nachnamens erforderlich ist. Zwar mag es durchaus üblich sein, in einem Newsletter den Empfänger persönlich anzusprechen, letztlich ist die Versendung eines Newsletters aber auch ohne diese persönliche Ansprache möglich.

Bei einem Kontaktformular wäre die Notwendigkeit oder zumindest ein nachvollziehbares berechtigtes Interesse an der Kenntnisnahme von Name, Vorname schon eher gegeben. Das berechtigte Interesse wäre hier, die Möglichkeit, den Kommunikationspartner bei der weiteren Kommunikation persönlich und sozialadäquat ansprechen zu können. Die als Pflichtangabe gestaltete Abfrage von Position, Abteilung oder Geburtsdatum würde aber definitiv zu weit gehen. Gleiches gilt für die zwingende Angabe von E-Mailadresse und Telefonnummer, denn für die Kontaktaufnahme ist eine der beiden Angaben ausreichend.

Auch die Forderung, im Rahmen einer Bewerbung unbedingt ein Bewerbungsfoto der Bewerbung beizufügen entspricht nicht dem Datenminimierungsgrundsatz, es sei denn, es gäbe eine Rechtfertigung, die sich aus der besonderen Art der Tätigkeit ergibt (beispielsweise bei einer Tätigkeit als Model).

Zu beachten ist, dass sofern ein Bewerbungsverfahren durchgeführt wird, nicht alle erdenklichen Daten in einem ersten Step abgefragt werden, sondern nur nach Daten gefragt wird, die für die grundsätzliche Entscheidung, ob eine Person in die engere Wahl kommt, auch erforderlich sind. Nicht erforderlich wäre in einem ersten Schritt die Abfrage von Kopien des Passes oder der Aufenthaltserlaubnis von Nicht-EU-Bürger*innen, wenn es zunächst nur darum geht, festzustellen, ob deren Qualifikation zur Ausübung der Tätigkeit überhaupt geeignet ist. Erst wenn feststeht, dass dies der Fall wäre und klar ist, dass die Person als Kandidat*in Frage kommt, darf nach den aufenthaltsrechtlichen Unterlagen gefragt werden.

Ein völliges No-Go, aber aktuell immer wieder bei uns angefragt, ist die Abfrage des Impfstatus im Zuge des Bewerbungsverfahrens. Sofern dieser nicht für die Entscheidung notwendig ist – und das ist er unseres Erachtens ausschließlich dann, wenn ein Beschäftigungsverbot für ungeimpfte Personen besteht – darf der Impfstatus nicht abgefragt werden. Es gibt auch kein berechtigtes Interesse des Arbeitgebers, dass nur geimpfte Personen bei ihm arbeiten.

CRM-Systeme = Systeme zur Datenmaximierung?

Als ein besonderes Problemfeld möchten wir beim Thema „Datenminimierung“ die CRM- und ERP-Systeme ansprechen, denn diese sind häufig eher Systeme zur Datenmaximierung als zur Datenminimierung. Und dennoch muss ein Verantwortlicher sicherstellen, dass Daten, die in einem CRM-System verarbeitet werden, nicht zum Fall einer Diskussion über Vorratsdatenspeicherung werden, denn Vorratsdatenspeicherung wäre aus datenschutzrechtlicher Sicht ein Datenschutzverstoß (da in der Regel keine rechtmäßige Verarbeitung erfolgt), so dass Bußgelder und/oder Schadensersatzforderungen vorprogrammiert sind.

Besonders problematisch sind in den CRM-Systemen die Freifelder, in denen die Beschäftigten freien Text eingeben können. Auf diesem Weg landen dort häufig Daten, die dort absolut nichts zu suchen haben und die dem Grundsatz der Datenminimierung entgegenstehen. Insbesondere werden häufig Daten in die Systeme eingegeben, die gemäß Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten gehören und für die oft keine Rechtsgrundlage zur Verarbeitung vorliegen wird. Beispielsweise landen in den Kommentarfeldern Daten über Lebensmittelallergien, die im Rahmen einer Veranstaltung, beispielsweise einem Geschäftsessen zu beachten wären. Hier wäre die Speicherung dieser Information zwar zulässig grundsätzlich, doch es wäre im Sinne des Datenminimierungsgrundsatzes sicherzustellen, dass die Angabe jeweils gelöscht wird, wenn der Verarbeitungszweck nicht mehr besteht.

Eine solche Löschung muss im Rahmen der Umsetzung des Löschkonzepts sichergestellt sein. Und dazu gehört, dass die Beschäftigten entsprechende Arbeitsanweisungen bekommen, welche Daten in die CRM-Systeme eingetragen werden dürfen und welche nicht, wann etwas wieder gelöscht werden muss, wo überall zu löschen ist und wie die Löschung zu erfolgen hat. Allein an dieser kurzen Aufzählung des letzten Satzes lässt sich ersehen, dass ein solches Löschkonzept vielleicht keine Raketenwissenschaft, aber eben auch nicht trivial ist.

Problembereich IT-Systeme als Ganzes

Als ein weiteres Problemfeld beim Thema „Datenminimierung“ ist die IT der Verantwortlichen insgesamt, denn die automatisierten Systeme loggen vielfach Daten, die einen Personenbezug ermöglichen, ohne dass für diese Log-Files wiederum eine Rechtsgrundlage und ein legitimer Zweck gegeben ist.

Hier ist zu beachten, dass ein Verantwortlicher bei Log-Dateien prüfen muss, ob er sich noch im Bereich der Umsetzung der technischen und organisatorischen Maßnahmen befindet (beispielsweise zur Vorbeugung des Missbrauchs der IT-Systeme) oder aber er diesen Bereich verlassen hat und sich in einem datenschutzrechtlichen Grau- oder sogar Schwarz-Bereich befindet. Aus der technischen und organisatorischen Maßnahme der IT-Sicherheit darf auf keinen Fall eine Totalüberwachung entstehen, bei der jeder Klick oder jede Bewegung am PC-Arbeitsplatz geloggt wird. Bei modernen Office-Systemen kann dies schnell der Fall sein und die Verantwortlichen müssen hier durch gute Konfiguration dafür sorgen, dass die standardmäßig in der Regel eingeschalteten Logging-Optionen vor der Inbetriebnahme abgeschaltet werden. Dies verlangt auch der Art. 25 DSGVO mit seinem Prinzip „privacy by default“.

Auch hierbei ist sicherzustellen, dass die Logs entweder ganz oder aber auch nur einzelne Einträge aus den Logs sukzessive gelöscht werden, soweit die Zwecke der Verarbeitung für ein Datum bzw. einen Datensatz entfallen sind. Hier verlangen die Aufsichtsbehörden, dass auch eine teilweise Löschung durchgeführt wird, so dass nicht gewartet werden darf, bis ein ganzer Datensatz oder eine ganze Datei gelöscht werden kann.

Problembereich Tracking (insbesondere bei smarten Geräten)

Auch im Rahmen des Trackings oder auch (der Produkt- und der Serviceoptimierung durch Datensammelwut) ist der Grundsatz der Datenminimierung einzuhalten. Hier sind insbesondere die (automatisch) erstellten Daten durch voll-smartifizierte KFZ oder smarte Lampen und andere kluge Geräte anzusprechen. Auch diese Daten unterliegen den Regelungen der DSGVO, was vielen Produktherstellern nicht klar zu sein scheint.

Fazit

Der Grundsatz der Datensparsamkeit bzw. der Datenminimierung ist ein sehr wichtiger datenschutzrechtlicher Grundsatz, der durch die Verantwortlichen stets einzuhalten ist. Die Geschäftsprozesse und die technischen und organisatorische Maßnahmen müssen so organisiert sein, dass die Umsetzung dieses Grundsatzes erfolgen kann, denn – man kann es nicht oft genug wiederholen – alles andere ist ein Bußgeld- und/oder Schadensersatzrisiko, welches durch recht simple, jedoch sehr wirkungsvolle Maßnahmen vermieden werden kann.

Sie benötigen Unterstützung im Rahmen der rechtskonformen Gestaltung der Geschäftsprozesse? Rufen Sie uns an, wir helfen Ihnen gerne!