In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurde die Datenminimierung mit dem Ziel begründet, den Machtgewinn des Verantwortlichen auf das Minimum zu beschränken, das zur Einhaltung der erklärten, rechtmäßigen Zwecke erforderlich ist.Insbesondere ging es um die Minimierung des Informationsgehalts der verarbeiteten personenbezogenen Daten.Dies ergänzt die Minimierung des Grades der Assoziation, den die Daten mit der betroffenen Person haben, und die Begrenzung des Zugangs zur Macht.Siehe Minimierung der Befugnisse auf das für die Einhaltung der erklärten Zwecke erforderliche Maß für weitere Einzelheiten.
In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:
Definition laut Art. 5 Absatz 1 Buchstabe cDSGVO:
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); |
Dies ist natürlich nur möglich, wenn diese Zwecke festgelegt und ausdrücklich genannt werden (wie laut Art. 5 Absatz 1 Buchstabe bDSGVO gefordert).
Angemessen, erheblich und beschränkt
Angemessen und erheblichsind leicht zu verstehen:Daten, die unangemessen, d. h. für die Zwecke ungeeignet sind, dürfen nicht erhoben oder verarbeitet werden; die Daten müssen auch erheblich sein, d.h. den Zwecken dienen.
Um den Aspekt der Beschränkungzu verstehen, ist eine genauere Betrachtung dessen erforderlich, was Daten eigentlich bedeuten.Insbesondere ist intuitiv klar, dass es hier nicht nur um die Anzahl der Datenelemente geht, sondern um den eigentlichen Informationsgehalt der Daten.Im Folgenden soll dies in Bezug auf die Zwecke verdeutlicht werden:
- Auswahl: Wenn eine Reihe möglicher Datenelemente in Betracht gezogen wird, sind diejenigen auszuwählen, diefür die Zwecke erforderlich sind.Wenn die Daten bereits gespeichert sind, kann die Auswahl auch als Löschung unnötiger Datenelemente verstanden werden.Ansonsten handelt es sich um Daten, die tatsächlich erhoben werden.
- Auflösung: Wenn Daten in mehreren möglichen Auflösungen verfügbar sind, sollten Sie die Auflösung auf das für den Zweck erforderliche Minimum beschränken.Zum Beispiel:
- Werte: drücken Sie Werte auf der gröbsten Skala aus, die den Zweck noch unterstützt:
- Verwenden Sie beispielsweise eine Alterskategorie (40–59 Jahre alt, Auflösung von 20 Jahren) anstelle eines Geburtsdatums (Auflösung von einem Tag)
- Orte: Drücken SieOrte in der gröbsten geografischen Unterteilung aus:
- z. B. Verwaltungseinheiten wie Postleitzahlengebiete oder Provinzen oder Gitterzellen anstelle von exakten Koordinaten (mit metergenauer Auflösung)
- Zeitreihen: Stellen sieZeitreihen von Daten mit der gröbsten Abtastrate dar, die noch für den Zweck geeignet ist:
- Dies kann eine Neuabtastung der von einem bestimmten Sensor erhaltenen Daten erfordern
- Fingerabdrücke: Wenn Sie Datensätze nur auf Gleichheit vergleichen müssen, sollten Sie nur einen „Fingerabdruck“ der Daten verarbeiten:
- So kann zum Beispiel ein „kryptographischer Hash-Wert“ (auch „Digest“ genannt) der Daten ausreichen, um Änderungen[1] zu erkennen
- Werte: drücken Sie Werte auf der gröbsten Skala aus, die den Zweck noch unterstützt:
- Grad der Aggregation: Wählen Sie nach Möglichkeit eine angemessene Aggregationsebene.Bei den meisten Datenwerten, mit denen wir zu tun haben, handelt es sich um eine Form der Aggregation, auch wenn dies nicht immer offensichtlich ist, da sie möglicherweise „unsichtbar“ durch einen Sensor oder eine Datenerfassungsmethode erfolgt.Die Aggregation ist eine Möglichkeit, mehrere Datenelemente durch ein einziges zu ersetzen.Paradebeispiele kommen aus der Statistik und umfassen den Durchschnitt, den Median, das Minimum und das Maximum.Im Zusammenhang mit dem Datenschutz müssen zwei Arten der Aggregation unterschieden werden:
- Einzelne Person: Aggregation von Datenelementen, die sich auf eine einzelne Person beziehen:
- Nimmt man z. B. das Durchschnittseinkommen einer Person über ein Jahr, so verringert sich der Informationsgehalt über diese Person.
- Mehrere Personen: Aggregation von Datenelementen, die sich auf eine Vielzahl von Personen beziehen:
- Nimmt man beispielsweise das durchschnittliche Jahreseinkommen über eine Gruppe von Personen, so verringert sich auch der Gesamtinformationsgehalt (Datenminimierung). Darüber hinaus wird dadurch auch der Grad der Assoziation zwischen einem Datenelement und einer bestimmten Person abgeschwächt.Diese Art der Aggregation ist daher auch für die Speicherbegrenzung relevant (siehe Abschnitt 0)
- Einzelne Person: Aggregation von Datenelementen, die sich auf eine einzelne Person beziehen:
Zeitlicher Aspekt
Die Datenminimierung hat natürlich auch einen zeitlichen Aspekt.Vor allem bedeutet „Beschränkung auf das für die Zwecke erforderliche Maß“ auch, dass es nicht mehr gerechtfertigt ist, Daten zu speichern, wenn die Zwecke bereits erfüllt sind.Die Daten müssen daher gelöscht werden, sobald sie nicht mehr erforderlich sind.
In der Praxis kann dies sogar noch vielfältiger sein: Von den Zwecken (Plural) können einige früher erfüllt werden als andere.Auch kann nach der „Hauptverarbeitung“[2] eine „Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke“[3] erfolgen.Um dies zu modellieren, unterscheiden wir mehrere Phasen der Verarbeitung.Die folgende Abbildung versucht, diese Situation zu veranschaulichen.
Abbildung 3: Reduktion des Informationsgehalts in mehreren Schritten.
Die Abbildung zeigt insbesondere ein Beispiel mit vier Phasen.Es ist eine beliebige Anzahl von Phasen möglich.Da jede Phase mit einer Teilmenge von Zwecken verbunden ist, sind am Ende jeder Phase, wenn die jeweiligen Zwecke erfüllt sind, bestimmte Daten nicht mehr erforderlich.Folglich können am Ende jeder Phase bestimmte Daten entweder gelöscht (Auswahl) oder ihr Informationsgehalt reduziert werden (Verringerung der Auflösung oder Erhöhung des Aggregationsgrades).Es liegt auf der Hand, dass ein solcher diversifizierter Ansatz die Datenmenge weiter minimiert als ein einphasiger Ansatz, bei dem der gesamte Informationsgehalt erhalten bleibt, bis alle Zwecke erfüllt sind.
Quellenangaben
1Weitere Informationen über kryptografische Prüfsummen finden Sie z. B. unter https://en.wikipedia.org/wiki/Cryptographic_hash_function (zuletzt besucht am 15.5.2020). ↑
2Der Begriff “Hauptverarbeitung” wird hier zur Unterscheidung von “Weiterverarbeitung” verwendet. ↑
3Die Formulierung wurde direkt aus Art. 5 Absatz 1 Buchstabe bDSGVO übernommen. ↑