NicoElNino - stock.adobe.com

Datenminimierung in der Praxis: Was Firmen oft falsch machen

Die Datenminimierung gehört zu den Grundsätzen im Datenschutz nach Datenschutz-Grundverordnung. Leider wird in der Praxis der Unternehmen vieles dabei grundsätzlich falsch gemacht.

Ein Herzstück der Datenschutz-Grundverordnung sind die sogenannten Grundsätze für die Verarbeitung personenbezogener Daten. Dazu gehört zum Beispiel die Speicherbegrenzung und damit das fristgerechte Löschen personenbezogener Daten. Bekanntlich machen viele Unternehmen Fehler in ihren Löschkonzepten. Fast könnte man sagen, man speichert gerne „auf Vorrat“, falls man später einmal die Daten gebrauchen könnte.

Doch es gibt einen weiteren Grundsatz, der häufig nicht richtig umgesetzt wird, die Datenminimierung. Die DSGVO fordert dazu, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Damit liegt die Datenminimierung logisch gesehen vor dem Löschen der Daten, denn wenn man Daten erst gar nicht speichert, muss man sie später auch nicht löschen.

Mehr noch, wenn man Daten nicht unnötig speichert, sich also an Datenminimierung oder Datensparsamkeit hält, muss man diese Daten auch gar nicht schützen. Datenminimierung ist also Datenschutz ohne viel Aufwand.

Leider machen sich viele Unternehmen aber zu wenig Aufwand mit der Datenminimierung selbst. Dies zeigen aktuelle Hinweise einer Aufsichtsbehörde.

Problemfeld „Pflichtfeld in Webshops“

Beim Einkaufen in Online-Shops darf im Rahmen eines Bestellprozesses nicht ohne Weiteres das Geburtsdatum als zwingende Angabe abgefragt werden, so die Datenschutzaufsicht in Niedersachsen. Dies wurde nun vom Niedersächsischen Oberverwaltungsgericht bestätigt. In der Rechtsauffassung und dem Urteil drückt sich der genannte Grundsatz der Datenminimierung aus, nach dem die Verarbeitung auf das notwendige Maß zu beschränken ist.

Hintergrund des gerichtlichen Verfahrens war eine Unterlassungsanordnung der Datenschutzaufsicht gegenüber einer Online-Apotheke. Diese hatte das Geburtsdatum im Bestellprozess erhoben. Die Abfrage erfolgte unabhängig von der Art der bestellten Ware, also nicht nur bei Medikamenten, sondern auch bei allgemeinen Drogerieprodukten.

Die Datenschutzaufsicht machte nun klar, dass dies für Webshops im Allgemeinen zu beachten sei. Die Verarbeitung des Geburtsdatums ist demnach datenschutzrechtlich üblicherweise nicht zur Erfüllung eines Vertrags erforderlich. Selbst für eine Prüfung, ob Minderjährige im Webshop bestellen und der Vertrag daher schwebend unwirksam sein könnte, könne der Betreiber die Volljährigkeit abfragen und benötige nicht das genaue Geburtsdatum.

Zudem könne der Verantwortliche das standardmäßige Erheben und Verarbeiten des Geburtsdatums nicht auf seine berechtigten Interessen stützen. Zwar kann die Vorsorge für ein gegebenenfalls notwendiges Eintreiben offener Zahlungen ein berechtigtes Interesse darstellen, jedoch nur, wenn überhaupt ein Ausfallrisiko hinsichtlich der Zahlung besteht. Ein solches Risiko liegt jedoch beispielsweise nicht bei der Bezahlung per Vorkasse vor, so die Datenschutzaufsicht.

„Während sich eine Anschrift durch einen Umzug verändern kann, ist das Geburtsdatum ein besonders dauerhaftes Datum. Ich begrüße daher die Klarheit, mit der die Gerichte die Argumente der Beklagten zurückgewiesen haben“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen.

Betreiber von Webshops sollten nun also überprüfen, ob sie im Bestellprozess das Geburtsdatum als zwingende Angabe abfragen, und zu welchen Zwecken und auf welcher Rechtsgrundlage dieses verarbeitet wird. Die Datenschutzaufsicht macht klar: Sollte die Abfrage nur auf die Einwilligung als Rechtsgrundlage gestützt werden können, ist das entsprechende Eingabefeld im Bestellformular eindeutig als „freiwillig“ zu kennzeichnen, und die Kundinnen und Kunden sind über die Verwendung dieses Datums umfassend zu informieren. Geben diese kein Geburtsdatum an, muss der Bestellprozess fortgesetzt werden können.

Problemfeld „Online-Formulare für eine Bewerbung“

Bei Online-Bewerbungsverfahren sind grundsätzlich umfangreiche Fragenkataloge (Web-Formulare) auszufüllen, so ein weiteres Beispiel der Aufsichtsbehörde. Oftmals wird auch angeboten, eingescannte Dokumente (zum Beispiel Zeugnisse oder Urkunden) beizufügen. Im Rahmen der auszufüllenden Fragenkataloge werden eine Vielzahl persönlicher Daten erhoben.

Doch Vorsicht, ein Unternehmen könnte es übertreiben und zu viel abfragen. Unternehmen dürfen zum Zwecke der Begründung des Beschäftigungsverhältnisses von den Bewerberinnen und Bewerbern immer nur die personenbezogenen Daten abfragen und verarbeiten, deren Kenntnis erforderlich ist, um die Eignung, Befähigung und Leistung für den ausgeschriebenen Arbeitsplatz der Bewerberinnen und Bewerber feststellen zu können, nur das dürfen „Pflichtfelder“ bei einer Online-Bewerbung sein. Auch dies ist begründet mit dem Grundsatz der Datenminimierung.

Problemfeld „Trainingsdaten für eine KI (Künstliche Intelligenz)“

Auch für KI gilt der Grundsatz der Datenminimierung, das hatten die Datenschutzaufsichtsbehörden schon vor Jahren in der sogenannten Hambacher Erklärung deutlich gemacht.

Dieser Hinweis ist heute aber aktueller denn je, denn viele Unternehmen experimentieren inzwischen mit KI oder nutzen diese sogar schon.

Das Problem aus Datenschutzsicht ist dabei, dass für KI-Systeme typischerweise große Bestände von Trainingsdaten genutzt werden. Für personenbezogene Daten gilt dabei aber auch in KI-Systemen der Grundsatz der Datenminimierung. Die Verarbeitung personenbezogener Daten muss daher stets auf das notwendige Maß beschränkt sein. Die Prüfung der Erforderlichkeit kann ergeben, dass die Verarbeitung vollständig anonymer Daten zur Erreichung des legitimen Zwecks ausreicht. Ist dies der Fall, folgt aus dem Grundsatz der Datenminimierung, dass überhaupt keine personenbezogenen Daten genutzt werden dürfen, da sie dann nicht erforderlich sind für den Zweck, also das Training der KI.

Unternehmen sollten diese Beispiele zum Anlass nehmen, den Grundsatz der Datenminimierung im eigenen Unternehmen genau zu hinterfragen, ob also personenbezogene Daten immer dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind, wie es die DSGVO verlangt.

Erfahren Sie mehr über Datensicherheit