Datenminimierung nach DSGVO — Das Gebot der Stunde
Datenschutz beginnt bei der Überlegung, welche Daten für die erfolgreiche Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt beim Erheben, Speichern, Verarbeiten und ggf. der Verwertung geboten ist.
Nicht wenige Unternehmen stehen allerdings auf dem verbreiteten Standpunkt, dass mehr besser ist als weniger, selbst dann, wenn es für das Mehr keine wirkliche Notwendigkeit gibt. Sie sammeln Daten und jagen hinter ihnen her.
Hier wird das Prinzip der Datenminimierung schlagend, als Datensparsamkeit und Datenvermeidung orientiert am Kriterium der Erforderlichkeit.
Die EU Datenschutz Grundverordnung wird in Österreich sehr viele Unternehmen zwingen, dem Prinzip der Datenminimierung nach Artikel 5 Absatz 1 lit c zu folgen. In Deutschland wird den meisten Unternehmen die Anpassung an die EU DSGVO leichter fallen, da dort diesbezüglich bereits strengere Datenschutzvorschriften (BDSG) bestanden.
Datenminimierung im Sinne der DSGVO
Datensparsamkeit und Datenvermeidung - Kriterium Erforderlichkeit
Bietet beispielsweise ein Unternehmen oder eine Organisation einen Newsletter an, so ist im Grunde nur die E-Mail Adresse erforderlich, um den angebotenen Service regelmäßiger Mailings leisten zu können. Wer damit argumentiert, dass bestimmte Informationen abgefragt werden müssten, um ein treffsicheres Dynamic Content Management sicherzustellen, muss sich eben umstellen. Das mag aus Sicht von Unternehmen unbequem sein, aber Bequemlichkeit stellt kein berechtigtes Interesse dar ;-)
Wollen sie aus Gründen der personalisierten Ansprache auch Anrede, Titel, Vorname und Nachname erfassen, benötigen sie nicht nur die ausdrückliche Einwilligung zur Speicherung und Verarbeitung der Daten, sondern es ist auch erforderlich, dass sie angeben zu welchem Zweck dies erfolgt und wie lange (Dauer) die Daten gespeichert werden. (Sollten Sie allerdings personenbezogene Daten im Zusammenhang mit einer Bestellung oder einem Auftrag erheben, so liegen berechtigte Interessen vor, weswegen in diesem Fall keine Einwilligung erforderlich ist, sofern ausschließlich erforderliche Daten erhoben werden.)
Sie dürfen jedoch die Anrede nicht dazu nutzen, um davon das Geschlecht für eine Profilverdichtung abzuleiten, z.B. um mittels dynamischer Content Generierung verstärkt spezifische Produkte bewerben zu können (wie z.B. Kosmetik oder Rasierwasser). Wenn Sie Daten so nutzen wollen, dann müssen Sie dies anführen und dafür die Einwilligung einholen. Ohnehin dürfen Sie ohne Einwilligung keine Daten, die Sie bspw. über Abos eines Newsletters generieren, für andere als die vereinbarten Zwecke nutzen, was personalisierte Werbung im Newsletter einschließt.
Sollten Sie für die im Newsletter integrierte Werbung einen externen Service nutzen (z.B. Adserver), dann ist dies ebenso zu benennen wie möglicherweise ein externer Mailservice (z.B. Mailchimp). Sie haben die Informationspflicht, Auftragsverarbeiter zu benennen, insbesondere dann, wenn Daten „durchgereicht” werden, wobei für die Weitergabe der Daten an Dritte wiederum ein Einverständnis eingeholt werden müsste. Im Fall von Mailchimp gelten zudem die Regelungen der DSGVO für Drittländer (vgl. Art. 45 DSGVO).
Zweckgebundene Einwilligung zur Speicherung und Verarbeitung
Wenn Sie bspw. einen Webshop betreiben und nicht, bzw. nur teilweise digitalisierte Produkte vertreiben, dann benötigen Sie die Anschrift des Bestellers, um das Produkt ausliefern zu können, ggf. eine Telefonnummer. Im Grunde empfiehlt es sich, den Kunden zu fragen, ob die Daten über die konkrete Bestellung hinaus gespeichert werden dürfen. Aber selbst in diesem Fall ist eine konkrete Löschfrist mitzuteilen. (S. Informationspflicht nach DSGVO). Ansonsten wäre diese Daten nach der Nutzung zu löschen.
Im Sinne der sog. berechtigten Interessen können Sie Liefer- und Rechnungsadresse speichern und und für den konkreten Fall der Bestellung verarbeiten: Sie dürfen diese Daten jedoch nicht ohne ausdrückliche freiwillige Einwilligung für Werbung verwenden. (An dieser Stelle ist ein Hinweis angebracht: Sollten Sie auf den Einfall kommen, diese Einwilligung mit Rabatten zu verknüpfen, um einen Anreiz zu geben, so würden sie sich strafbar machen. Das Kopplungsverbot in Art. 7 Abs. 4 DSGVO lässt dies nicht zu - siehe Das Kopplungsverbot nach DSGVO
)
Konsequenzen
Verantwortliche, also alle, die im Sinne der DSGVO personenbezogene Daten speichern und verarbeiten, sehen sich der Herausforderung gegenüber, die bisherige Praxis rechtskonform zu konsolidieren.
Zunächst gilt es zu überprüfen, ob für alle gespeicherten personenbezogenen Daten ausdrückliche Einwilligungen und wenn ja für welchen Zweck vorliegen, sofern keine im Sinne der DSGVO berechtigten Interessen gegeben sind (s. Berechtigte Interessen - Was ist damit in der DSGVO gemeint?
) Sofern beides nicht zutrifft, bedeutet das entweder die Daten zu löschen oder die Einwilligungen bis spätestens 25.5.2018 nachzuholen und dabei darauf zu achten, dass diese für jeden Zweck der Verarbeitung vorliegen.
Dabei ist zu fragen, ob nicht zu viele Daten entgegen der Vorgabe zur Datenminimierung gespeichert sind. Alle Daten, für die es keine Erfordernis gibt, wären zu löschen, was auch die Daten in Backups einschließt.
Sofern Sie mehr zu diesem Thema wissen wollen oder Beratung dazu benötigen,
erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Datenminimierung im Sinne der EU E-Privacy Verordnung
Vorweg sei kurz erwähnt, warum es zur EU DSGVO zusätzlich eine EU E-Privacy VO geben wird, warum nicht alles in der DSGVO geregelt wurde? Die DSGVO ist die Datenschutz-Grundverordnung, in der die Grundsätze geregelt werden. Die E-Privacy Verordnung ergänzt und präzisiert die DSGVO ( für den Bereich personenbezogener Daten in der elektronischen Kommunikation. Diese Verordnung soll nach Möglichkeit zugleich mit der DSGVO am 25.5.2018 wirksam werden, da sich manche Schutzbereiche überschneiden.)
ErwG 15 formuliert: Elektronische Kommunikationsdaten sollten vertraulich behandelt werden. Das bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob unmittelbar durch menschliches Zutun oder mittelbar durch eine automatische Verarbeitung durch Maschinen, ohne Einwilligung aller an der Kommunikation Beteiligten untersagt sein sollten. Das Verbot des Abfangens von Kommunikationsdaten sollte während ihrer Übertragung gelten, d. h. bis zum Empfang der Inhalte der elektronischen Kommunikation durch den bestimmungsgemäßen Empfänger
Die EU-E-Privyacy Verordnung enthält daher u.a. besondere Regelungen zum E-Mail-Marketing und will eine Einwilligungspflicht für Tracking- und Targeting-Cookies sowie vergleichbare Fingerprintingverfahren einführen. Die bisherige Richtlinie 2002/58/EG (e-Privacy-Richtlinie), die sich nicht bewährt hat, soll gemäß ErwGr. 173 zu Art. 95 DSGVO überprüft werden. Ziel ist es, die Kohärenz der Richtlinie mit der DSGVO zu gewährleisten.
So ist das „Abfangen von Kommunikation” verboten: Ein Abfangen der elektronischen Kommunikation kann dann vorliegen, wenn beispielsweise andere als die an der Kommunikation Beteiligten Anrufe mithören oder den Inhalt der elektronischen Kommunikation oder die damit zusammenhängenden Metadaten zu anderen Zwecken als dem Kommunikationsaustausch lesen, scannen oder speichern. Ein Abfangen liegt auch vor, wenn Dritte ohne Einwilligung des betreffenden Endnutzers besuchte Websites, den Zeitpunkt der Besuche, die Interaktion mit anderen usw. beobachten.
(ErwG 15)
Mit anderen Worten, sie dürfen nicht alles tun, was technisch möglich ist, auch wenn Sie der Auffassung sind, dass es dem Betroffenen gar nicht auffallen wird. Das Prinzip der Einwilligungserfordernis gilt für diesen Bereich. (Art. 9 E-Privacy-VO). Sie sollten daher auch Daten, die nicht E-Privacy-VO konform sind spätestens bis zum Zeitpunkt der Wirksamkeit der Verordnung gelöscht haben.
Die Strafandrohungen entsprechen denen der DSGVO, bis zu 20 Millionen Euro oder 4 Prozent des vorjährigen weltweiten Konzernumsatzes. Gerade diese Strafdrohung macht die Verordnung derart brisant.
Zur EU E-Privacy-VO werde ich in diesem Blog ausführlicher berichten, sobald der Gesetzestext verabschiedet und promulgiert wurde.
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
DSGVO Assessment
Reduzieren Sie Ihr Risiko. Sorgen Sie vor und nutzen Sie unser Angebot eines
Für weitere Auskünfte und Informationen erreichen Sie uns telefonisch unter
0699/15 31 67 76 oder per E-Mail
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
Webtipps
- zum Kopplungsverbot (spez. BRD): Kopplungsverbot bei Online-Gewinnspielen nach DSGVO
- Die DSGVO fordert das Marketing heraus
4 Kommentare
Kommentar von: Cookie-Freiwilligkeit
Interessant ist doch, dass Sie einen Beitrag zur Daten-Minimierung veröffentlichen, auf Ihrer Seite aber lediglich auf Cookies hinweisen und die Nutzung der Seite abhängig von der Zustimmung zum Setzen von Cookies machen möchten. Hinzu kommt, dass beim Nachprüfen der bereits gesetzten Cookies auf meinem Computer auffällt, dass Sie bereits drei Cookies auf meinem Computer gespeichert haben, ohne dass ich der Verwendung Ihrer Coockies zugestimmt habe.
Dazu hätte ich zwei Fragen:
1. Wie ist dieses Vorgehen im Sinne der DSGVO Ihrerseits einzuschätzen?
2. Sie schreiben: “Diese Seite verwendet Cookies, um ein besseres Browsing-Erlebnis zu bieten […]". In wiefern bitet mir das setzen von Tracking-Cookies und die Erstellung von Websitestatistiken ein besseres Browsing-Erlebnis?
Kommentar von: cal
Eine kurze Ergänzung:
Ich habe gerade die Webseite der Datenschutzbehörde in Österreich auf Cookies hin abgefragt. Auch hier werden automatisch einige Cookies gesetzt und das gänzlich ohne Cookie Banner (zumindest wird beim Test keiner gefunden). Das könnte darauf hindeuten, dass es in Fällen, in welchen Cookies aus berechtigtem Interesse gesetzt werden, gar kein Cookiebanner bracht. Ob diese möglicherweise österreichische Sicht auch beispielsweise für Deutschland gilt, müsste erst geklärt werden.
Hier ist das Ergebnis des Cookie-Checks von dsb.gv.at:
Benutztes Tool: KI-Software für Webseiten
Kommentar von: Conrad Lienhardt
Vielen Dank für Ihren Kommentar.
Zunächst bezieht sich dieser Artikel „Datenminimierung nach DSGVO — Das Gebot der Stunde” auf die DSGVO, speziell auf Artikel 5 Abs. 1 lit c und den Schutz personenbezogener Daten. Die Verwendung von Cookies wird in der DSGVO nur insoweit geregelt, sofern damit personenbezogenen Daten verarbeitet werden. Zwar wird in diesem Beitrag Datenminierung im Zusammenhang der E-Privacy Verordnung angesprochen, allerdings eher als Ausblick, da um die E-Privacy Verordnung immer noch gerungen wird. (Siehe https://fokus.genba.org/e-privacy-verordnung-epvo)
Um es vorweg zu nehmen: Auf fokus.genba.org werden via Cookies keine personalisierbaren personenbezogenen Daten verarbeitet.
Der spezielle Umgang mit Cookies sollte in der schon seit 2018 erwarteten, aber immer wieder verschobenen EU-ePrivacy Verordnung (ePVO) als lex specialis zur DSGVO geregelt werden. Insofern gilt hier derzeit noch die EU Cookie Richtlinie von 2009 (Richtlinie 2009/136/EG siehe: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32009L0136) Dabei ist zu berücksichtigen, dass es sich hier um keine EU Verordnung handelt, sondern um eine EU Richtlinie, die erst, nachdem sie in nationales Recht umgewandelt wurde, Gültigkeit erlangt. Dabei kommt es z.T. zu doch erheblichen Unterschieden in der Gesetzesausgestaltung zwischen den EU Mitgliedsstaaten.
Nach bisheriger Rechtsauffassung sind sog. Session Cookies, soweit diese technisch erforderlich sind unproblematisch, da viele Webseiten ansonsten nicht, bzw. nur eingeschränkt funktionstüchtig wären. (In der Sprache der DSGVO - dafür gibt es berechtigte Interessen. In der Sprache der Cookie Richtlinie - dafür gibt es legitime Gründe) Wenn Sie das Session Cookie von fokus.genba.org auslesen, werden sie feststellen, dass keinerlei personalisierbare personenbezogene Daten enthalten sind. Sofern Sie der Verwendung von Cookies zustimmen, wird selbstverständlich auch dieses Cookie gespeichert und idR archiviert, um ggf. die Einwilligung nachweisen zu können.
Auf fokus.genba.org werden, wie in der Datenschutzerklärung ausgeführt auch Cookies durch Matomo zur Webastatistik gesetzt. Dabei wird die IP Adresse soweit anonymisiert, dass kein direkter Rückschluss auf die jeweiligen Nutzer möglich ist. Matomo ist bzgl. Datenschutz eine der führenden Webstatistik Anwendungen. Zudem wird Matomo am selben Server (in Österreich) gehostet, wie die Webseite fokus.genba.org. Es werden also auch die anonymisierten Daten nicht an Dritte weitergeleitet.
In Summe: Es werden auf dieser Seite von fokus.genba.org folgende Cookies gesetzt:
Name, Anbieter, Pfad, Lebensdauer, Anzahl
_pk_ixxxxxxx. Matomo,fokus.genba.org, 1 Jahr, 1
_pk_sxxxxxxxx, Matomo, fokus.genba.org, 30 Minuten, 1
sessixxxxxxx, .genba.org,, 10 Jahre, 1
Sie können Matomo durch einen einfachen Click auf den entsprechenden Link in der Datenschutzerklärung deaktivieren. Ich nehme Ihre Frage aber zum Anlass, erneute zu versuchen, ob ich das ggf. bereits im Cookie-Banner integrieren kann. Bislang gelang es mir nicht. Die Entwickler der CMS Software.stellen kein entsprechendes Feature zur Verfügung.)
Zu ihrem zweiten Punkt:
Die Auswertung zeigt mir beispielsweise, welche Artikel und damit Themen von besonderem Interesse für die Besucher*innen sind (Eindeutige Benutzer, Nutzungsdauer). Die Angaben zur Länder- Herkunft geben mir Hinweise darauf, ob bei bestimmten Themen z.B. die bundesdeutsche neben der österreichischen Rechtslage stärker berücksichtigt werden sollte. Sie wissen, dass bzgl Öffnungsklauseln den Mitgliedsstaaten der EU nationale Anpassungen eingeräumt wurden, die teilweise weitgehend sind (BDSG, DSG) usf. . Das sind redaktionell hilfreiche Informationen. Die Daten der Webstatistik liefern auch Informationen, die Länder bezogen Rückschlüsse auf die allgemeine Nachfrage nach Informationen zur DSGVO geben können. So hat sich bspw. in Österreich nach dem Regierungsbeschluss (Verstöße gegen die DSGVO sollen zunächst nicht bestraft werden) die Zahl der Nutzer*innen aus Österreich innerhalb weniger Tage um fast 90 Prozent verringert. Das sind wichtige Informationen, die aber keinerlei personenbezogene Relevanz besitzen.
Ich kann Sie daher beruhigen. Es werden hier via Cookies keine personalisierbaren personenbezogenen Daten verarbeitet. (Siehe Datenschutzerklärung)
Sofern Sie Firefox als Browser nutzen, können Sie dort einstellen, dass Sie grundsätzlich, von welcher Seite auch immer, keine Cookies zulassen wollen. Dann werden by default keine Cookies mehr auf ihrem Gerät gespeichert. Soweit ich gelesen habe, wird Chrome nachziehen. Insgesamt schreibt die DSGVO vor, dass der Datenschutz nach dem Prinzip Privacy by Design & Privacy by Default bereits vom Hersteller von Browsern, Software etc. berücksichtigt werden müsste. Das setzt sich allerdings erst langsam durch. Es ist daher davon auszugehen, dass sich bzgl. Cookie Banner in den nächsten Jahren einiges tun wird.
Ich hoffe, Ihnen mit dieser ausführlichen Antwort weiter geholfen zu haben.
Kommentar von: Michael Hettwer
Vielen Dank für diesen Blogeintrag. Die Datenminierung wird einen Größteil der Anpassung ausmachen. Wir haben als Provider seit über einem Jahr an diesem Problem gearbeitet und wir sind sehr zufrieden mit den kommenden Änderungen. Immer wieder haben Datenschützer die nicht vorhandene Grundordnung krisitiert - zu recht! Ob es jetzt einen Sinn macht Gurken zu regulieren - das entscheidet die EU -in Punkto Datenschutzz ist dieser Entscheid ist deutlich zu begrüßen.
Formular wird geladen...