DS-GVO/BDSG. David Klein
Читать онлайн книгу.
52
Gemäß Art. 5 Abs. 1 lit. c müssen personenbezogenen Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Zusammenfassend bezeichnet die DS-GVO diesen Grundsatz als „Datenminimierung“. Nach der DS-GVO unzulässig ist damit die Verarbeitung personenbezogener Daten, die für den verfolgten Zweck inadäquat, unerheblich oder entbehrlich sind. Die englische Sprachfassung verwendet an dieser Stelle die Begriffe „adequate, relevant and limited“ und beschreibt den Regelungsgehalt der Norm damit sehr genau.[62]
53
Der Grundsatz der Datenminimierung ergänzt den Grundsatz der Zweckbindung in Art. 5 Abs. 1 lit. b. Er stellt sicher, dass die Verarbeitung personenbezogener Daten durch den festgelegten Zweck begrenzt wird. Umgekehrt wird durch den Grundsatz der Zweckbindung der Orientierungspunkt für den Grundsatz der Datenminimierung festgelegt, in dem in Art. 5 Abs. 1 lit. b normative Aussagen zur Zweckfestlegung und Zweckänderung getroffen werden und damit sichergestellt wird, dass der Zweck bestimmt ist und nicht beliebig gewählt oder geändert werden darf.[63]
54
Art. 5 Abs. 1 lit. c fordert, dass personenbezogener Daten nur dann verarbeitet werden dürfen, wenn keine alternative Methode zur Verfügung steht, um den angestrebten Zweck zu erreichen. Damit entspricht diese Regelung dem § 3a BDSG a.F., der die Grundsätze der Datenvermeidung und Datensparsamkeit beinhaltet.[64] Der Grundsatz der Datenminimierung verbietet damit auch eine Erhebung personenbezogener Daten, die für den im Zeitpunkt der Erhebung festgelegten Zweck nicht erforderlich sind, um diese zusätzlichen Daten für mögliche zukünftige Zwecke zu speichern.[65] Teilweise wird gefordert, einen expliziten Grundsatz der Datenvermeidung in der DS-GVO zu normieren, um Verstöße gegen dieses Prinzip mit Sanktionen belegen zu können.[66] Dabei wird jedoch verkannt, dass der Grundsatz der Datenminimierung bereits den Grundsatz der Datenvermeidung beinhaltet. Dies ergibt sich insbesondere aus der englischen Sprachfassung, die an dieser Stelle die Begriffe „adequate, relevant and limited“ verwendet. „Adequate, relevant and limited“ kann eine Datenverarbeitung nur dann sein, wenn keine datenärmere Verarbeitung möglich ist, die den Zweck der Verarbeitung erfüllt.
55
Wesentliche Ausprägung des Grundsatzes der Datenminimierung ist die Forderung nach Pseudonymisierung oder Anonymisierung. Sind Daten anonymisiert, sind sie nicht mehr personenbezogen und somit nicht dem Grundsatz der Datenminimierung unterworfen.[67] Soweit der Verarbeitungszweck auch durch pseudonymisierte oder anonymisierte Daten erreicht werden kann, verstößt die Verarbeitung nicht-pseudonymisierter oder nicht-anonymisierter Daten gegen den Grundsatz der Datenminimierung. Eine solche Verarbeitung wäre nicht auf das notwendige Maß beschränkt.
56
Beispiel einer datenminimierenden Verarbeitung ist der Einsatz synthetischer, erforderlichenfalls pseudonymisierter Daten für Testzwecke bei der Migration auf neue Datenverarbeitungssysteme. Auch der Einsatz aggregierter Daten kann unter dem Aspekt der Datenminimierung zur Zweckerreichung ausreichend sein.[68] Ein weiteres Beispiel ist die Bereitstellung der Daten nur zum Lesen auf den Bildschirm ohne Möglichkeit des Ausdrucks.[69]
57
In der Praxis wird man die Frage stellen müssen, ob eine datenschonende Anwendung von Edge-Computing-Lösungen anstelle von cloudbasierten Anwendungen möglich ist. Bei dieser Lösung werden Anwendungen von den zentralen Knoten im Netz – zumindest soweit das möglich ist – an dessen Ränder verlagert. Die Daten werden bspw. im Endgerät oder in einer vernetzten Fertigungsanlage verarbeitet. Die verwendeten Datenverarbeitungspunkte müssen nicht dauerhaft mit dem Netz verbunden sein. Insbesondere für das Internet der Dinge bieten sich Systemarchitekturen auf dieser dezentralen Basis an.[70]
58
Der Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c wird an verschiedenen Stellen der DS-GVO aufgegriffen und damit konkretisiert. So bildet etwa Art. 25 die technische Flanke des Grundsatzes der Datenminimierung mit der Forderung nach einem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung. Auch Art. 25 nennt als Beispiel die Pseudonymisierung[71] als eine geeignete technische Maßnahme zur Umsetzung des Grundsatzes der Datenminimierung.[72] Art. 89 Abs. 1 S. 2, der Garantien und Ausnahmen in Bezug auf die Verarbeitung und im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken regelt, nimmt explizit auf den Grundsatz der Datenminimierung Bezug.[73]
V. Richtigkeit, Abs. 1 lit. d (Accuracy)
59
Gemäß Art. 5 Abs. 1 lit. d müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Der Richtigkeit der Daten kommt ein hoher Stellenwert zu.[74] Bereits das BVerfG hat im Volkszählungsurteil vor Persönlichkeitsbildern gewarnt, deren Richtigkeit die betroffene Person nur unzureichend kontrollieren kann.[75]
60
Unter dem Grundsatz der Richtigkeit sind drei Pflichten nach Art. 5 Abs. 1 lit. d zu fassen, nämlich das Verbot der unrichtigen Erhebung oder Speicherung von Daten (Hs. 1 Var. 1), das Gebot der Aktualisierung unrichtig gewordener Daten (Hs. 1 Var. 2) und das Gebot der Löschung oder Berichtigung unrichtig gespeicherter Daten (Hs. 2).[76]
61
Personenbezogene Daten müssen sachlich richtig sein. Sachlich richtig bedeutet, dass über die betroffene Person gespeicherte Daten mit der Realität übereinstimmen müssen.[77] Demgemäß unterliegt die Verpflichtung zur Richtigkeit nur Tatsachenangaben, nicht aber Werturteilen. Werturteile sind auf ihre Richtigkeit hin nicht überprüfbar, da sie subjektiver Natur sind. Im Unterschied dazu sind Tatsachenangaben dem Beweis zugänglich und damit überprüfbar.
62
Das Gebot der Aktualisierung unrichtig gewordener Daten beinhaltet nach Art. 5 Abs. 1 lit. d Hs. 1 Var. 2 Aktualisierungspflichten vor allem in den Fällen, in denen Daten aus berechtigten Gründen zulässig längere Zeit aufbewahrt werden. In Betracht kommen hier neben Behörden namentlich Unternehmen, die – wie Auskunfteien, Detekteien oder Unternehmen bei Dauerschuldverhältnissen – personenbezogene Daten längerfristig aufbewahren.[78] Im Rahmen des Profilings konkretisiert ErwG 71 das Aktualisierungsgebot. Danach hat der Verantwortliche die Aufgabe technische und organisatorische Maßnahmen zu treffen, mit denen in geeigneter Weise sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird.
63
Der Grundsatz der Richtigkeit wird jedoch relativiert durch den Zusatz „erforderlichenfalls“ in Art.