Datenminimierung nach DSGVO — Das Gebot der Stunde

Datenschutz beginnt bei der Überlegung, welche Daten für die erfolgreiche Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt beim Erheben, Speichern, Verarbeiten und ggf. der Verwertung geboten ist.

Nicht wenige Unternehmen stehen allerdings auf dem verbreiteten Standpunkt, dass mehr besser ist als weniger, selbst dann, wenn es für das Mehr keine wirkliche Notwendigkeit gibt. Sie sammeln Daten und jagen hinter ihnen her.

Hier wird das Prinzip der Datenminimierung schlagend, als Datensparsamkeit und Datenvermeidung orientiert am Kriterium der Erforderlichkeit.

Die EU Datenschutz Grundverordnung wird in Österreich sehr viele Unternehmen zwingen, dem Prinzip der Datenminimierung zu folgen. In Deutschland wird den meisten Unternehmen die Anpassung an die EU DSGVO leichter fallen, da dort diesbezüglich bereits strengere Datenschutzvorschriften (BDSG) bestehen.

Datenminimierung im Sinne der DSGVO

Datensparsamkeit und Datenvermeidung - Kriterium Erforderlichkeit

Bietet beispielsweise ein Unternehmen oder eine Organisation einen Newsletter an, so ist im Grunde nur die E-Mail Adresse erforderlich, um den angebotenen Service regelmäßiger Mailings leisten zu können. Wer damit argumentiert, dass bestimmte Informationen abgefragt werden müssten, um ein treffsicheres Dynamic Content Management sicherzustellen, muss sich eben umstellen. Das mag aus Sicht von Unternehmen unbequem sein, aber Bequemlichkeit stellt kein berechtigtes Interesse dar ;-)

Wollen sie aus Gründen der personalisierten Ansprache auch Anrede, Titel, Vorname und Nachname erfassen, benötigen sie nicht nur die ausdrückliche Einwilligung zur Speicherung und Verarbeitung der Daten, sondern es ist auch erforderlich, dass sie angeben zu welchem Zweck dies erfolgt und wie lange (Dauer) die Daten gespeichert werden. (Sollten Sie allerdings personenbezogene Daten im Zusammenhang mit einer Bestellung oder einem Auftrag erheben, so liegen berechtigte Interessen vor, weswegen in diesem Fall keine Einwilligung erforderlich ist, sofern ausschließlich erforderliche Daten erhoben werden.)

Sie dürfen jedoch die Anrede nicht dazu nutzen, um davon das Geschlecht für eine Profilverdichtung abzuleiten, z.B. um mittels dynamischer Content Generierung verstärkt spezifische Produkte bewerben zu können (wie  z.B. Kosmetik oder Rasierwasser). Wenn Sie Daten so nutzen wollen, dann müssen Sie dies anführen und dafür die Einwilligung einholen. Ohnehin dürfen Sie ohne Einwilligung keine Daten, die Sie bspw. über Abos eines Newsletters generieren, für andere als die vereinbarten Zwecke nutzen, was personalisierte Werbung im Newsletter einschließt.

Sollten Sie für die im Newsletter integrierte Werbung einen externen Service nutzen (z.B. Adserver), dann ist dies ebenso zu benennen wie möglicherweise ein externer Mailservice (z.B. Mailchimp). Sie haben die Informationspflicht, Auftragsverarbeiter zu benennen, insbesondere dann, wenn Daten „durchgereicht” werden, wobei für die Weitergabe der Daten an Dritte wiederum ein Einverständnis eingeholt werden müsste. Im Fall von Mailchimp gelten zudem die Regelungen der DSGVO für Drittländer (vgl. Art. 45 DSGVO).

Zweckgebundene Einwilligung zur Speicherung und Verarbeitung

Wenn Sie bspw. einen Webshop betreiben und nicht, bzw. nur teilweise digitalisierte Produkte vertreiben, dann benötigen Sie die Anschrift des Bestellers, um das Produkt ausliefern zu können, ggf. eine Telefonnummer. Im Grunde empfiehlt es sich, den Kunden zu fragen, ob die Daten über die konkrete Bestellung hinaus gespeichert werden dürfen. Aber selbst in diesem Fall ist eine konkrete Löschfrist mitzuteilen. (S. Informationspflichten bei der Verarbeitung personenbezogener Daten). Ansonsten wäre diese Daten nach der Nutzung zu löschen.

Im Sinne der sog. berechtigten Interessen können Sie Liefer- und Rechnungsadresse speichern und und für den konkreten Fall der Bestellung verarbeiten: Sie dürfen  diese Daten jedoch nicht ohne ausdrückliche freiwillige Einwilligung für Werbung verwenden.  (An dieser Stelle ist ein Hinweis angebracht: Sollten Sie auf den Einfall kommen, diese Einwilligung mit Rabatten zu verknüpfen, um einen Anreiz zu geben, so würden sie sich strafbar machen. Das Kopplungsverbot in Art. 7 Abs. 4 DSGVO lässt dies nicht zu - siehe Das Kopplungsverbot nach DSGVO)

Konsequenzen

Verantwortliche, also alle, die im Sinne der DSGVO personenbezogene Daten speichern und verarbeiten, sehen sich der Herausforderung gegenüber, die bisherige Praxis rechtskonform zu konsolidieren.

Zunächst gilt es zu überprüfen, ob für alle gespeicherten personenbezogenen Daten ausdrückliche Einwilligungen und wenn ja für welchen Zweck vorliegen, sofern keine im Sinne der DSGVO berechtigten Interessen gegeben sind (s. Berechtigte Interessen - Was ist damit in der DSGVO gemeint?) Sofern beides nicht zutrifft, bedeutet das entweder die Daten zu löschen oder die Einwilligungen bis spätestens 25.5.2018 nachzuholen und dabei darauf zu achten, dass diese für jeden Zweck der Verarbeitung vorliegen.

Dabei ist zu fragen, ob nicht zu viele Daten entgegen der Vorgabe zur Datenminimierung gespeichert sind. Alle Daten, für die es keine Erfordernis gibt, wären zu löschen, was auch die Daten in Backups einschließt. 

Sofern Sie mehr zu diesem Thema wissen wollen oder Beratung dazu benötigen,
erreichen Sie uns telefonisch unter

0699/15 31 67 76   oder   per E-Mail

 

Datenminimierung im Sinne der EU E-Privacy Verordnung

Vorweg sei kurz erwähnt, warum es zur EU DSGVO zusätzlich eine EU E-Privacy VO geben wird, warum nicht alles in der DSGVO geregelt wurde? Die DSGVO ist die Datenschutz-Grundverordnung, in der die Grundsätze geregelt werden. Die E-Privacy Verordnung ergänzt und präzisiert die DSGVO ( für den Bereich  personenbezogener Daten in der elektronischen Kommunikation. Diese Verordnung soll nach Möglichkeit zugleich mit der DSGVO am 25.5.2018 wirksam werden, da sich manche Schutzbereiche überschneiden.)

ErwG 15 formuliert: Elektronische Kommunikationsdaten sollten vertraulich behandelt werden. Das bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob unmittelbar durch menschliches Zutun oder mittelbar durch eine automatische Verarbeitung durch Maschinen, ohne Einwilligung aller an der Kommunikation Beteiligten untersagt sein sollten. Das Verbot des Abfangens von Kommunikationsdaten sollte während ihrer Übertragung gelten, d. h. bis zum Empfang der Inhalte der elektronischen Kommunikation durch den bestimmungsgemäßen Empfänger

Die EU-E-Privyacy Verordnung enthält daher u.a. besondere Regelungen zum E-Mail-Marketing und will eine Einwilligungspflicht für Tracking- und Targeting-Cookies sowie vergleichbare Fingerprintingverfahren einführen. Die bisherige Richtlinie 2002/58/EG (e-Privacy-Richtlinie), die sich nicht bewährt hat, soll gemäß ErwGr. 173 zu Art. 95 DSGVO überprüft werden. Ziel ist es, die Kohärenz der Richtlinie mit der DSGVO zu gewährleisten.

So ist das „Abfangen von Kommunikation” verboten: Ein Abfangen der elektronischen Kommunikation kann dann vorliegen, wenn beispielsweise andere als die an der Kommunikation Beteiligten Anrufe mithören oder den Inhalt der elektronischen Kommunikation oder die damit zusammenhängenden Metadaten zu anderen Zwecken als dem Kommunikationsaustausch lesen, scannen oder speichern. Ein Abfangen liegt auch vor, wenn Dritte ohne Einwilligung des betreffenden Endnutzers besuchte Websites, den Zeitpunkt der Besuche, die Interaktion mit anderen usw. beobachten. (ErwG 15)

Mit anderen Worten, sie dürfen nicht alles tun, was technisch möglich ist, auch wenn Sie der Auffassung sind, dass es dem Betroffenen gar nicht auffallen wird. Das Prinzip der Einwilligungserfordernis gilt für diesen Bereich. (Art. 9 E-Privacy-VO). Sie sollten daher auch Daten, die nicht E-Privacy-VO konform sind spätestens bis zum Zeitpunkt der Wirksamkeit der Verordnung gelöscht haben.

Die Strafandrohungen entsprechen denen der DSGVO, bis zu 20 Millionen Euro oder 4 Prozent des vorjährigen weltweiten Konzernumsatzes. Gerade diese Strafdrohung macht die Verordnung derart brisant.

Zur EU E-Privacy-VO werde ich in diesem Blog ausführlicher berichten, sobald der Gesetzestext verabschiedet und promulgiert wurde.

Dr. Conrad Lienhardt
Unternehmensberater
Schwerpunkt: Kundenzentriertes, rechtskonformes Marketing

Sie erreichen mich zu Fragen zur DSGVO und E-Privacy VO unter
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76
E-Mail

Der Gesetzestext der DSGVO, EU-Lex

Webtipps

• zum Kopplungsverbot (spez. BRD): Kopplungsverbot bei Online-Gewinnspielen nach DSGVO  
• Die DSGVO fordert das Marketing heraus