Compliance-Lexikon · DSGVO
Datenminimierung
auch: Grundsatz der Datensparsamkeit, Data Minimization
Datenminimierung ist der DSGVO-Grundsatz nach Art. 5 Abs. 1c, wonach personenbezogene Daten dem Verarbeitungszweck angemessen, erheblich und auf das notwendige Mass beschraenkt sein muessen - ein zentrales Privacy-by-Design-Prinzip, das schon bei der Systemkonzeption beruecksichtigt werden soll.
Warum Datenminimierung mehr ist als ein abstrakter Grundsatz
Datenminimierung verlangt eine konkrete Pruefung bei jeder Datenerhebung: Ist dieses Datenfeld wirklich notwendig fuer den Zweck? Viele Formulare und Systeme erheben routinemaessig mehr Daten als erforderlich - aus Bequemlichkeit oder vorausschauender Datensammlung "fuer den Fall der Faelle". Genau das widerspricht dem Grundsatz und erhoeht gleichzeitig das Risiko und den Schaden im Falle einer Datenpanne.
Wo Datenminimierung gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 5 Abs. 1c | Datenminimierung als einer der sieben Grundsaetze der Datenverarbeitung. |
| DSGVO | Art. 25 | Privacy by Design und by Default: Datenminimierung als technisches Gestaltungsprinzip. |
| EDPB | Guidelines 4/2019 | Leitlinien des Europaeischen Datenschutzausschusses zu Privacy by Design und Datenminimierung. |
| ISO 27701 | vollstaendig | Privacy Information Management System mit Datenminimierung als Kernprinzip. |
| BSI IT-Grundschutz | CON.2 | Datenschutz: Datenminimierung als Grundschutz-Anforderung bei der Systemkonzeption. |
Haeufige Fehler
- Formulare und Systeme erheben Felder "auf Vorrat" ohne aktuellen Verarbeitungszweck
- Keine systematische Pruefung bei Einfuehrung neuer Systeme oder Formulare
- Pflichtfelder ohne Begruendung der Erforderlichkeit
- Historisch gewachsene Datenfelder nie auf Aktualitaet ueberprueft
Datenminimierung in der Systemkonzeption
Privacy by Design (Art. 25 DSGVO) verlangt, Datenminimierung bereits in der Entwurfsphase neuer Systeme zu beruecksichtigen - nicht nachtraeglich zu korrigieren. Konkrete Massnahmen: Pflichtfelder auf das absolute Minimum reduzieren, optionale Felder klar kennzeichnen, voreingestellte Datenschutzfreundlichkeit (Privacy by Default) und regelmaessige Ueberpruefung bestehender Datenfelder auf fortbestehende Erforderlichkeit.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.