Ein wichtiger Grundsatz der DSGVO ist die Datenminimierung. Das bedeutet, dass personenbezogene Daten nur in dem für den Zweck angemessenen Umfang erhoben und verarbeitet werden dürfen (Art. 5 Abs. 1 lit. c DSGVO). Für Unternehmen heißt das: Nur die Daten, die für den definierten Zweck wirklich benötigt werden, dürfen auch vom Kunden erfragt werden. Auch für die Speicherdauer hat das Auswirkungen, denn alles, was für den definierten Zweck nicht mehr benötigt wird, muss minimiert werden, sprich: löschen!
Der Zweck bestimmt die Datenmenge
Um
personenbezogene Daten zu verarbeiten, muss ein klar definierter Zweck
vorliegen. Der muss auch so konkret wie möglich sein, dass heißt, Daten erst
einmal auf Vorrat anzulegen, ist grundsätzlich nicht erlaubt. Der Zweck
bestimmt, wie viele Daten gesammelt werden dürfen: Genau so viele, wie nötig
sind, den Zweck zu erfüllen.
Beispiel
Newsletter: Auf der Firmenwebseite bietet ein Unternehmen einen Newsletter an,
für den sich Interessenten mit einem Formular anmelden sollen. Um einen
Newsletter zu erhalten, benötigt das Unternehmen nur eine Information: die
E-Mail-Adresse. Den Namen oder die Telefonnummer abzufragen, ist für diesen
Zweck nicht zulässig.
Auch
bei Bewerbungen müssen HR-Abteilungen aufpassen, was sie über Bewerbungsformulare
abfragen. Alles, was für die Ausübung der Tätigkeit nötig ist, darf natürlich
erhoben werden. Doch Fragen nach Gewerkschaftszugehörigkeit oder private
Hobbies sind für den Zweck der Stellenbesetzung nicht nötig und damit
unzulässig.
Datenminimierung durch Anonymisierung
Verantwortliche
müssen immer prüfen, ob der Zweck nicht auch durch anonymisierte Daten zu
erreichen ist. Ein verbreitetes Beispiel ist Google Analytics. Mit diesem Tool
lassen sich viele wertvolle statistische Einsichten über die eigene Webseite
gewinnen. Doch die volle IP-Adresse ist dazu nicht nötig. Daher muss für den
datenschutzkonformen Einsatz von Google Analytics die IP-Anonymisierung
aktiviert werden.
Zugriff beschränken
Für
die Datenminimierung gilt es auch zu überprüfen, ob auch die richtigen Personen
im Unternehmen Zugriff auf die Daten haben – und zwar nur auf diejenigen, die
der Mitarbeiter auch wirklich benötigt. Dass nur die Mitarbeiter der
Personalabteilung auf Personalakten zugreifen dürfen, ist eine Selbstverständlichkeit.
Doch was ist mit Kundendaten? Muss jeder im Unternehmen auf alle Daten
zugreifen können? Hier gilt es, ein funktionierendes Berechtigungskonzept
aufzustellen, um die Rollen klar zu definieren.