Kategorien
Neueste Beiträge
So viele Daten wie nötig verarbeiten
Wann immer ein Verantwortlicher eine Verarbeitungstätigkeit, die personenbezogene Daten betrifft, plant, gibt es mehrere Aspekte zu beachten. Schließlich ist es wichtig, diese Verarbeitung im Einklang mit der DSGVO umzusetzen. Der Verantwortliche muss also prüfen, welche Daten er verarbeitet und um welche Art Verarbeitungstätigkeit es sich dabei handelt. Daraus ergibt sich möglicherweise die Notwendigkeit, eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen. Natürlich muss er auch darauf achten, die Grundsätze der Verarbeitung personenbezogener Daten einzuhalten. Einer dieser Grundsätze ist die Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO. Ein Verantwortlicher darf also so viele Daten wie nötig verarbeiten, um den jeweiligen Zweck einer Verarbeitung zu erreichen. Umgekehrt wird verlangt, dass der Verantwortliche so wenig Daten wie möglich verarbeitet.
Die einfache Logik dahinter ist, dass Daten, die ein Verantwortlicher erst gar nicht erhebt, speichert oder auf sonstige Weise verarbeitet, auch nicht missbraucht werden können.
Art. 5 Abs. 1 lit. c) DSGVO
Der Grundsatz der Datenminimierung lautet wie folgt: „Personenbezogene Daten müssen […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein […]“
Um diesen Grundsatz einhalten zu können, kommt ein Verantwortlicher gar nicht umhin, die Verarbeitungstätigkeit an sich näher zu analysieren. Schließlich muss er einerseits wissen, welche Daten er benötigt, um den Zweck zu erfüllen. Möglicherweise gibt es auch eine rechtliche Verpflichtung, bestimmte Daten dabei zusätzlich zu verarbeiten.
Beispiele für eine über die Zweckerfüllung hinausgehende Datenverarbeitung
Mit Sicherheit fallen jedem Leser dieses Artikels mehrere Beispiele ein für Fälle, in denen ein Verantwortlicher mehr Daten verarbeitet, als er tatsächlich benötigt. Um das Konzept der Datenminimierung besser zu verstehen, machen wir dies an folgenden Beispielen deutlich.
Newsletter-Abonnement
Wer einen Newsletter per E-Mail anbietet, möchte möglicherweise nicht nur seine Marketing-Botschaft verbreiten oder den Umsatz erhöhen, sondern gern auch mehr über die Abonnenten des Newsletters erfahren. Die Formulare zum Abonnement eines E-Mail-Newsletters sehen dann oft neben der E-Mail-Adresse noch einige weitere Informationen vor, die der Verantwortliche gern erheben möchte, wie z. B. Name, Anrede, produktspezifische Interessen, Alter etc. Dabei wird für die Zusendung eines Newsletters nur die E-Mail-Adresse benötigt. Nur die E-Mail-Adresse als das einzige für den Newsletter-Erhalt notwendige Datum abzufragen, ist Datenminimierung. Alle anderen Daten können nur als freiwillige Angabe mit einer Information darüber, dass die Angabe dieser freiwillig ist, abgefragt werden.
Überwachung der Beschäftigtenaktivität
Im Zuge eines Arbeitsverhältnisses veranlasst der Arbeitgeber, dass auf den IT-Geräten der Beschäftigten eine Software zur (Video-)Überwachung der Aktivität installiert wird und aktiv ist. Zusätzlich wertet diese Software automatisch am Ende des Tages die Ergebnisse aus.
Hier zeigt sich eindeutig, dass diese tiefgreifende Auswertung der Beschäftigtenaktivität nicht notwendig ist, damit das Beschäftigungsverhältnis an sich durchführbar ist. Des Weiteren ist dies als tiefer Eingriff in die Persönlichkeitsrechte einer Person (Art. 2 GG) und in das Datenschutzgrundrecht (Art. 8 EU-Grundrechte-Charta) zu verstehen. Weiterführend hat eine betroffene Person gemäß Art. 22 DSGVO das Recht, nicht einer automatisierten Entscheidungsfindung, inklusive Profiling, unterworfen zu sein. Nimmt ein Verantwortlicher also möglicherweise die automatisiert erstellten Aktivitätsprofile eines Mitarbeiters als alleiniges Kriterium dafür, dass ein Mitarbeiter während der Arbeitszeit möglicherweise nicht oder nicht im vereinbarten Maß arbeitet, ist dies datenschutzwidrig.
Erfassung von Personalausweisdaten beim Konzertkartenkauf
Im nächsten Beispiel verlangt der Verkäufer beim Verkauf von Tickets für ein Konzert Personalausweisdaten, insbesondere die Personalausweisnummer.
Hierbei handelt es sich ebenfalls um ein Beispiel für eine Verarbeitung personenbezogener Daten, die über das eigentliche Ziel hinausgeht. Dieses besteht darin, die für den Kartenkauf notwendigen Daten zu erheben. Dazu gehören beispielsweise der Name und die Adresse des Käufers, um sie der Person postalisch zuzustellen und die Bankdaten, um die Zahlung abzuwickeln. Natürlich wird ein Verkäufer nun argumentieren, dass er mithilfe der Erhebung der Ausweisdaten Betrug vermeiden möchte. Als Gegenargument lässt sich aber anführen, dass es hierfür andere, weniger tiefgreifende Maßnahmen gibt. Zumal der Verkäufer dann zusätzlich die Verantwortung hat, dafür sorgen zu müssen, dass diese hochsensiblen Daten eines Personalausweises vor unbefugtem Zugriff sicher sind!
Abfrage der beruflichen Tätigkeit beim Arztbesuch
So mancher Patient muss bei einem Arztbesuch einen Fragebogen ausfüllen. Verständlicherweise möchte der Arzt sich damit einen Überblick oder eine Aktualisierung über die gesundheitliche Geschichte einer Person machen (Anamnese). Welche Relevanz aber dabei Fragen zur beruflichen Tätigkeit haben, ist näher zu betrachten. Fragt ein Arzt also nach der beruflichen Tätigkeit, hilft es, die Frage ggf. anders zu formulieren oder in mehrere Fragen aufzubrechen. So kann er beispielsweise Fragen, ob eine Person im beruflichen Umfeld mit eventuell gesundheitsgefährdenden Stoffen in Berührung kommt. Eine weitere Fragen könnte sein, ob die berufliche Tätigkeit viel Stehen oder Sitzen nach sich zieht.
Wenn die körperliche (In-)Aktivität oder die Haltung sowie mögliche Umwelt- oder Giftstoffe, denen der Patient im Rahmen seiner beruflichen Tätigkeit ausgesetzt ist, für die körperlichen oder psychischen Beschwerden eines Patienten von Relevanz sein können, ist auch die Frage danach für den Arzt eine erforderliche Information. So kann er die Ursachen der gesundheitlichen Probleme besser einschätzen. Abstrakt ausgedrückt dürfen nach dem Grundsatz der Datenminimierung nur Fragen gestellt werden, deren Antwort für den Behandlungsvertrag erforderlich sind. Gerade im medizinischen Kontext ist diese Eingrenzung aber schwierig, da auch der Aufbau einer guten und vertrauensvollen Arzt-Patienten-Beziehung den Heilerfolg maßgeblich beeinflusst. Dazu kann eine Konversation auf Small-Talk-Ebene abseits der Schulmedizin im engeren Sinne erforderlich sein.
Auswahl bisheriger Fälle
Natürlich haben auch die Datenschutzaufsichtsbehörden, darunter auch die deutschen, wie die drei folgenden Beispiele zeigen, verschiedene Fälle auf die Einhaltung des Grundsatzes der Datenminimierung geprüft:
Geschlecht und Transaktionsdaten auf E-Tickets
2022 prüfte der Bayerische Landesbeauftragte für den Datenschutz (kurz: BayLfD) ein Unternehmen des öffentlichen Personennahverkehrs und deren angebotenen E-Tickets. Auf diesen wurden personenbezogene Daten des Kunden gespeichert wie der maskierte Vor- und Nachname, Geburtsdatum, Geschlecht, gewähltes Tarifprodukt sowie die letzten zehn Transaktionen sowie ein Portraitfoto. Die Prüfung ergab, dass es an einer Rechtsgrundlage für die Erhebung der Information zum Geschlecht fehlte. Als Folge wurde vereinbart, dass die Chipkarten sukzessive und zeitnah gegen datensparsamere Chip-Karten auszutauschen waren. Als problematisch betrachtete der BayLfD auch die Speicherung der Transaktionsdaten (Zeitpunkt, Ort, Fahrt und Linie), da sich daraus ein Bewegungsprofil ergeben kann. Der Verantwortliche sicherte zu, auch dies in Zukunft zu ändern, sodass diese Daten ebenfalls nicht mehr auf den Karten gespeichert würden.
Genauere Informationen hierzu finden Sie in seinem 32. Tätigkeitsbericht 2022 unter Punkt 5.2.
Pflichtangabe der Telefonnummer
Eine betroffene Person reichte bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit (kurz: BlnBDI) eine Beschwerde ein. Bei dieser ging es um die Pflichtangabe einer Telefonnummer im Rahmen des Abschlusses eines kostenpflichtigen Abonnements. Dies begründete das Unternehmen einerseits mit der Erforderlichkeit der Erhebung der Telefonnummer zur Vertragsabwicklung, andererseits aber auch seinem berechtigten Interesse. Das Unternehmen wolle telefonische Unterstützung anbieten und Missbrauch und Betrug vermeiden.
Die BlnBDI stimmte mit den vom Verantwortlichen gewählten Rechtsgrundlagen nicht überein und sprach eine Verwarnung aus. Die Datenschutzaufsichtsbehörde führte an, dass zur Durchführung des Kunden-Service und zur Missbrauchs- und Betrugsprävention auch andere Kommunikationskanäle ausreichten. Als Folge dieses Vorganges löschte das Unternehmen die Telefonnummer des Beschwerdeführers. Des Weiteren teilte es mit, die Telefonnummer zukünftig nicht mehr als Pflichtangabe zu erheben.
Die Einzelheiten hierzu nachlesen können Interessenten im Jahresbericht 2022 unter Punkt 13.4.
Verpflichtende Angaben bei Intranet-Registrierung
Der Beauftragte für Datenschutz der Evangelischen Kirche in Deutschland (kurz: DSB EKD) befasste sich mit mehreren Beschwerden, u. a. zur Pflichtangabe des Geburtsdatums sowie der privaten Adresse bei Registrierung im Firmen-Intranet. Bei der Untersuchung der Beschwerden konnte der DSB EKD vom Verantwortlichen keine Rechtsgrundlage für die Erhebung dieser Daten erfahren. Folglich beanstandete er diese Datenerhebung. Daher war der Registrierungsprozess durch den Verantwortlichen zu überarbeiten und auf die erforderlichen Daten zu beschränken.
Mehr dazu erfahren Sie im 4. Tätigkeitsbericht für den Berichtszeitraum 2021 und 2022 auf Seite 46.
Fazit
Wie die Beispiele und auch die von den Datenschutzaufsichtsbehörden untersuchten Fälle zeigen, gibt es unterschiedliche Situationen, in denen ggf. zu viele personenbezogene Daten verarbeitet werden. In den oben genannten Fällen wurden unseren Informationen nach keine Bußgelder verhängt. Bei einem Verstoß gegen den Grundsatz der Datenminimierung wäre dies jedoch möglich. Auszuschließen sind aber sowohl diese als auch Schadenersatzansprüche Betroffener oder Abmahnungen nicht. Um einen Verstoß gegen den Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO zu vermeiden, kann es helfen, den Datenschutzbeauftragten zur Untersuchung der Verarbeitungsvorgänge heranzuziehen. Sie haben keinen Datenschutzbeauftragten? Kein Problem! Kontaktieren Sie uns gern für ein kostenfreies und unverbindliches Angebot für die Stellung eines Datenschutzbeauftragten oder auch „nur“ für die Prüfung konkreter Verarbeitungsprozesse: Wir würden uns freuen, Sie dabei zu beraten, nur so viele personenbezogene Daten wie nötig zu verarbeiten.