Je weniger, desto besser

Die DSGVO schreibt vor, dass der Datenbestand stets möglichst klein zu halten. Dies wirkt sich unter anderem auch auf die Speicherdauer aus. Für Unternehmen heißt das: Nur personenbezogene Daten, die wirklich gebraucht werden, dürfen gespeichert werden.

Ein wichtiger Grundsatz der DSGVO ist die Datenminimierung. Das bedeutet, dass personenbezogene Daten nur in dem für den Zweck angemessenen Umfang erhoben und verarbeitet werden dürfen (Art. 5 Abs. 1 lit. c DSGVO). Für Unternehmen heißt das: Nur die Daten, die für den definierten Zweck wirklich benötigt werden, dürfen auch vom Kunden erfragt werden. Auch für die Speicherdauer hat das Auswirkungen, denn alles, was für den definierten Zweck nicht mehr benötigt wird, muss minimiert werden, sprich: löschen!

Der Zweck bestimmt die Datenmenge

Um personenbezogene Daten zu verarbeiten, muss ein klar definierter Zweck vorliegen. Der muss auch so konkret wie möglich sein, dass heißt, Daten erst einmal auf Vorrat anzulegen, ist grundsätzlich nicht erlaubt. Der Zweck bestimmt, wie viele Daten gesammelt werden dürfen: Genau so viele, wie nötig sind, den Zweck zu erfüllen.

Beispiel Newsletter: Auf der Firmenwebseite bietet ein Unternehmen einen Newsletter an, für den sich Interessenten mit einem Formular anmelden sollen. Um einen Newsletter zu erhalten, benötigt das Unternehmen nur eine Information: die E-Mail-Adresse. Den Namen oder die Telefonnummer abzufragen, ist für diesen Zweck nicht zulässig.   

Auch bei Bewerbungen müssen HR-Abteilungen aufpassen, was sie über Bewerbungsformulare abfragen. Alles, was für die Ausübung der Tätigkeit nötig ist, darf natürlich erhoben werden. Doch Fragen nach Gewerkschaftszugehörigkeit oder private Hobbies sind für den Zweck der Stellenbesetzung nicht nötig und damit unzulässig.   

Datenminimierung durch Anonymisierung

Verantwortliche müssen immer prüfen, ob der Zweck nicht auch durch anonymisierte Daten zu erreichen ist. Ein verbreitetes Beispiel ist Google Analytics. Mit diesem Tool lassen sich viele wertvolle statistische Einsichten über die eigene Webseite gewinnen. Doch die volle IP-Adresse ist dazu nicht nötig. Daher muss für den datenschutzkonformen Einsatz von Google Analytics die IP-Anonymisierung aktiviert werden.

Zugriff beschränken

Für die Datenminimierung gilt es auch zu überprüfen, ob auch die richtigen Personen im Unternehmen Zugriff auf die Daten haben – und zwar nur auf diejenigen, die der Mitarbeiter auch wirklich benötigt. Dass nur die Mitarbeiter der Personalabteilung auf Personalakten zugreifen dürfen, ist eine Selbstverständlichkeit. Doch was ist mit Kundendaten? Muss jeder im Unternehmen auf alle Daten zugreifen können? Hier gilt es, ein funktionierendes Berechtigungskonzept aufzustellen, um die Rollen klar zu definieren. 

Tags
  • DSGVO
  • Datenschutz
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649