Haben Sie bei der Aufnahme von Daten für neue oder potentielle Kunden schon einmal gedacht „Lieber ein paar mehr Infos abfragen, für den Fall, dass wir sie später noch benötigen“? Dann ist dieser Newsletter für Sie. Denn der Grundsatz der Datenminimierung (in Art. 5 DS-GVO definiert) verbietet gewissermaßen das „Sammeln“ und „Horten“ von Daten.

Die Datenverarbeitung muss immer dem vorliegenden Zweck angemessen sein und es dürfen nur dem Zweck angemessene Daten verarbeitet werden. Das heißt, Sie müssen einen Zweck benennen können, zu dem Sie die Daten verarbeiten wollen und es dürfen nicht mehr Daten abgefragt und verarbeitet werden, als zu diesem Zweck benötigt werden. Aber was heißt das jetzt konkret?

Die Datenverarbeitung soll angemessen, erheblich und auf das notwendige Maß beschränkt sein. Für den Zweck erheblich sind personenbezogene Daten, wenn sie für dessen Erfüllung notwendig sind, also der Zweck ohne dieses bestimmte Datum nicht erfüllt werden kann. Zum Beispiel ist bei einer Vertragsabwicklung die Kontonummer bzw. IBAN als personenbezogenes Datum dann erheblich, wenn beispielsweise Lastschrifteinzug vereinbart wurde. Bei einer Barzahlung wäre die IBAN nicht erheblich, da sie für die Vertragserfüllung keine Rolle spielt und dürfte daher nicht abgefragt werden.

Es gilt auch immer zu bedenken, dass eine Alternative der Datenerhebung mit geringerer Eingriffstiefe vorzuziehen ist, wenn es eine gibt. Es ist sozusagen immer das mildeste Mittel zu wählen, um den Zweck zu erfüllen, sodass dabei so wenige personenbezogene Daten verwendet werden wie möglich. Frei nach dem Motto „so viel wie nötig, so wenig wie möglich“.

Sie sollten also Prozesse implementieren, welche sicherstellen, dass nur die wirklich notwendigen Daten eingeholt und verarbeitet werden (in technikgeprägten Umfeldern durch Privacy by Design/Privacy by Default). Diese „vielleicht braucht man die ja noch“-Datensammlungen sollten ganz schnell gestrichen werden, denn Verstöße können mit Bußgeldern geahndet werden. Schützen Sie sich und Ihre Kunden, in dem Sie den Grundsatz der Datenminimierung beherzigen und nur „so viel wie nötig, so wenig wie möglich“ an personenbezogenen Daten verarbeiten.