Beschreibung
Home » DSGVO » Grundsätze » Speicherbegrenzung » Beschreibung

In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurde die Speicherbegrenzungg damit begründet, den Machtgewinn des Verantwortlichen auf das zur Einhaltung der erklärten rechtmäßigen Zwecke erforderliche Mindestmaß zu beschränken.Insbesondere ging es um die Minimierung des Ausmaßes, in dem die personenbezogenen Daten mit der betroffenen Person in Verbindung gebracht werden.Dies ergänzt die Minimierung des Informationsgehalts und die Begrenzung des Zugriffs auf die Macht.Siehe Minimierung der Befugnisse auf das zur Einhaltung der erklärten Zwecke erforderliche Maß.

In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:

Definitionlaut Art. 5 Absatz 1 Buchstabe eDSGVO:

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; […]

(„Speicherbegrenzung“);

Das Hauptkonzept dieses Grundsatzes bezieht sich eindeutig auf die Identifizierung, d. h. die Zuordnung der personenbezogenen Daten zu der betroffenen Person.Im weiteren Verlauf dieses Abschnitts wird daher hauptsächlich analysiert, was Identifizierung eigentlich bedeutet.

Beachten Sie, dass im obigen Definitionsfeld der ausgelassene Teil, der durch […] dargestellt wird, unter dem Grundsatz der Datenminimierung diskutiert wurde (siehe 1.3.2Verwandte Artikel und ErwägungsgründeinDatenmnimierung).Dabei geht es um die zeitliche Begrenzung der Speicherung, die wohl ein Aspekt des allgemeinen Konzepts der Begrenzung von Daten ist, das im Grundsatz der Datenminimierung zum Ausdruck kommt.

Unter diesem Gesichtspunkt ist die Bezeichnung Speicherbegrenzung irreführend, da sie nur den zeitlichen Aspekt der Datenminimierung impliziert, nicht aber die Identifizierung im Ganzen.Die Bezeichnung „Minimierung des Identifikationspotenzials“ist vielleicht klarer.

Identifizierung der betroffenen Personen

Um besser zu verstehen, was mit Identifizierung gemeint ist, verweisen wir auf Art. 4 Absatz 1DSGVO.Der zweite Halbsatz[1] lautet wie folgt:

[Als] identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Zum besseren Verständnis wird dieser Satz in die beiden folgenden Teile aufgeteilt:

Direkte Identifizierung mittels Zuordnung zu einer Kennung:

[Als] identifizierbar wird eine natürliche Person angesehen, die direkt insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung identifiziert werden kann;

Indirekte Identifizierung mittels Zuordnungzu einem oder mehrerenMerkmalen, die für die Identität einer natürlichen Person spezifisch sind:

[Als] identifizierbar wird eine natürliche Person angesehen, die indirekt insbesondere mittels Zuordnung zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Die Beispiele für Kennungen sind[2]:

  • ein Name,
  • eine Kennnummer,
  • Standortdaten,
  • eine Online-Kennung.

Besonders zu beachten sind Standortdaten, die gemeinhin nicht als Kennungen angesehen werden, die eine direkte Identifizierung ermöglichen, auch wenn ihr hochgradig identifizierender Charakter tatsächlich intuitiv ist.

Die Beispiele für Merkmale, die sich auf die Identität einer natürlichen Person beziehen, betreffen die folgenden Aspekte:

  • physisch,
  • physiologisch,
  • genetisch,
  • psychisch,
  • wirtschaftlich,
  • kulturell,
  • sozial.

Diese Unterscheidung zwischen direkter und indirekter Identifizierung ermöglicht es nun, den Begriff derForm, die die Identifizierung der betroffenen Personen ermöglicht, zu diversifizieren.

Arten von Daten, die in der DSGVO unterschieden werden

Die Datenschutz-Grundverordnung unterscheidet zwischen drei Arten von Daten, die in unterschiedlichem Maße mit den betroffenen Personen in Verbindung gebracht werden können:

  1. direkt identifizierende personenbezogene Daten[3],
  2. pseudonymisierte personenbezogene Daten, und
  3. anonyme Daten.

(i) Direkt identifizierende personenbezogene Daten: Erstere müssen natürlich Kennungen enthalten, da sie eine direkte Identifizierung der betroffenen Personen ermöglichen.Die meisten personenbezogenen Datensätze enthalten jedoch nicht nur Kennungen.Die anderen Daten müssen dann alle als Merkmalebetrachtet werden, die für die Identität einer natürlichen Person spezifisch sind, da sie alle verschiedene Aspekte beschreiben, die mit der Identität der betroffenen Person verbunden sind.

(ii) Pseudonymisierte personenbezogene Daten:Art. 4 Absatz 5DSGVO definiert das damit verbundene Konzept der „Pseudonymisierung“.Sein Wortlaut kann wie folgt angepasst werden, um pseudonyme personenbezogene Daten zu definieren:

Pseudonymisierte personenbezogene Daten sind personenbezogene Daten, die ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können.

Dies ist wie folgt zu interpretieren:

  • Pseudonymisierte personenbezogene Daten ermöglichen keine direkte Identifizierung.
  • Siedüfrendaher keine Kennungen enthalten.
  • Zusätzliche Daten sind in diesem Zusammenhang Daten, die es ermöglichen, Merkmale, die für die Identität einer natürlichen Person spezifisch sind, mit Kennungen zu verknüpfen.

(iii) Anonyme Daten:Anonyme Informationen sind in Erwägungsgrund 26 der DSGVO (fünfter Satz) definiert.Da Informationen und Daten synonym verwendet werden, kann der Wortlaut wie folgt angepasst werden:

Anonyme Daten sind entweder

  • Daten, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder
  • Anonymisierung der personenbezogenen Daten in der Weise, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.

Beachten Sie, dass „identifizierbar“ hier sowohl die direkte als auch die indirekte Identifizierung umfasst.Selbst mit zusätzlichen Informationen ist es nicht möglich, anonyme Daten einer bestimmten betroffenen Person zuzuordnen.

Beachten Sie, dass die DSGVO gemäß Erwägungsgrund 26 (Satz 6) nicht für anonyme Daten gilt.Dies ist auch klar, da sie nicht mit der Definition von personenbezogenen Daten übereinstimmen (siehe Art. 4 Absatz 1 und Erwägungsgrund 26 DSGVO).

Nachdem diese Arten von Daten unterschieden wurden, kann die Formulierung „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“ nun genauer verstanden werden, wobei auch der zeitliche Aspekt des Grundsatzes berücksichtigt wird.

Zeitlicher Aspekt

Art. 5 Absatz 1 Buchstabe e spricht eindeutig den zeitlichen Aspekt an, indem er vorschreibt, dass eine Speicherform, die eine Identifizierung ermöglicht, nicht länger zulässig ist, als es für die Zwecke erforderlich ist.Dieser zeitliche Aspekt wird hier in differenzierter Weise erörtert.Die folgenden zwei Kriterien definieren diese Diversifizierung:

  • Die Identifizierung kann entweder direkt oder indirekt erfolgen.
  • Die Identifizierung kann für jedermann oder für einen begrenzten Personenkreis zugänglich sein.

Auf der Grundlage dieser Unterscheidungen lassen sich vier verschiedene Fälle unterscheiden.Diese sind in Abbildung 4 als „Phasen“ dargestellt.Es ist möglich, von einer Phase zu einer beliebigen späteren Phase überzugehen.Dies kann entweder sequenziell oder durch Auslassen von Zwischenphasen geschehen.In jeder Phase wird der Grad der Identifizierung der Daten mit der betroffenen Person verringert.Der Grundsatz der Speicherbegrenzung besagt, dass zu jedem Zeitpunkt nur der minimale Grad der Identifizierung verwendet werden darf, der zur Einhaltung der Zwecke erforderlich ist.

Abbildung 4: Daten mit unterschiedlichen Assoziationsgraden zur betroffenen Person.

Es ist zu beachten, dass der Grundsatz der Speicherbegrenzung in seiner reinen Form dargestellt wird:Lediglich der Grad der Verknüpfung mit der betroffenen Person wird zwischen aufeinanderfolgenden Phasen reduziert.In der Praxis wird die Speicherbegrenzung in der Regel mit der Datenminimierung kombiniert.In einem kombinierten Szenario würde auch die Höhe der in der Abbildung gezeigten Kästchen reduziert werden.

Die Phasen der Abbildung werden im Folgenden näher beschrieben:

Phase 1 zeigt die Daten, die sowohl Kennungen als auch spezifische Merkmale für die Identität einer natürlichen Person enthalten.Letztere werden der Einfachheit halber als indirekt identifizierende personenbezogene Daten bezeichnet.Die Kennungen dienen der direkten Identifizierung.Sie sind für jeden zugänglich, dem die Daten offengelegt werden.

Phase 2 zeigt eine Art der Verarbeitung, die „Pseudonymisierung“[4] genannt wird.Hier werden die Kennungen zwar weiterhin gespeichert, aber getrennt aufbewahrt und so geschützt, dass der Zugriff nur unter genau festgelegten Bedingungen, mit vordefinierten Verfahren und zu genau festgelegten Zwecken möglich ist, wobei der Zugriff auf eine im Voraus festgelegte Gruppe befugter Personen[5] beschränkt ist. Diese Beschränkungen werden durch einen doppelten Rahmen um die Kennungen dargestellt.Der Zugang zur direkten Identifizierung wird somit streng kontrolliert und ist nur wenigen bestimmten Personen zugänglich.

Eine indirekte Identifizierung unter Verwendung zusätzlicher Informationen ist auf der Grundlage der indirekt identifizierenden personenbezogenen Daten weiterhin möglich.Sie erfordert jedoch zusätzliche Informationen. Der Verantwortliche ergreift Maßnahmen, um zu verhindern, dass die Personen, die während der Verarbeitung auf diese Daten zugreifen, Zugang zu diesen zusätzlichen Informationen erhalten.Dies bedeutet, dass für den größten Teil der Verarbeitungen (und eine wichtige Untergruppe von Zwecken) und die Mehrzahl der Beschäftigten eine Identifizierung nicht mehr möglich ist.

Phase 3 zeigt die Situation, in der die Zwecke nicht mehr die Möglichkeit der direkten Identifizierung der betroffenen Personen erfordern, auch nicht in Ausnahmefällen.In diesem Fall können die Kennungen, die eine direkte Identifizierung ermöglichen, vollständig gelöscht werden.Folglich ist der Verantwortliche selbst (einschließlich aller Mitarbeiter) bei Vorhandensein angemessener Garantiennicht mehr in der Lage, die betroffenen Personen zu identifizieren.Dadurch wird der Grad der Identifizierung im Vergleich zu Phase 2 weiter verringert.

Phase 4 zeigt, dass nur anonyme Daten verwendet werden.Die Abbildung impliziert, dass diese das Ergebnis einer Anonymisierung der Daten aus Phase 3 (oder früheren Phasen) sind.Anonyme Daten können per Definition[6] nicht einer betroffenen Person zugeordnet werden, auch nicht mithilfe von Zusatzinformationen.Bei diesen Daten handelt es sich daher nicht mehr um personenbezogene Daten, die somit nicht unter die DSGVO fallen (und eine erfolgreiche Anonymisierung hat daher die gleiche Wirkung wie eine Löschung).Anonyme Daten schließen also die Möglichkeit der Identifizierung vollständig aus.

Einige Leser kennen vielleicht das Konzept der „Unverknüpfbarkeit“[7], das eng mit dem der Speicherbegrenzung verbunden ist.Dies wird deutlich, wenn man bedenkt, dass die direkte Identifizierung als eine Kennung angesehen werden kann, die eine Verbindung zur betroffenen Person herstellt, und dass die Verwendung zusätzlicher Informationen für die indirekte Identifizierung die Verknüpfung von Datensätzen erfordert, die zu derselben Person in den beiden Datensätzen gehören.

 

Quellenangaben

1Ein Teil eines Satzes, der durch ein Semikolon vom Rest getrennt ist, wird hier als „Halbsatz“ bezeichnet.

2In Erwägungsgrund 30 der Datenschutz-Grundverordnung werden zusätzlich Beispiele für „Online-Kennungen“ genannt: IP-Adressen, Cookie-Kennungen oder andere Kennungen wie Funkfrequenzkennzeichnungen.

3Der Begriff „direkt identifizierende personenbezogene Daten“ wird in der Datenschutz-Grundverordnung nicht verwendet, sondern vom Verfasser geklont.

4Siehe Artikel 4 Absatz 5 der Datenschutz-Grundverordnung.

5Siehe Erwägungsgrund 29 DSGVO, Satz 2.

6Siehe Erwägungsgrund 26 der Datenschutz-Grundverordnung.

7Deutsche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, 17. April 2020, Das Standard-Datenschutzmodell, https://www.datenschutz-mv.de/static/DS/Dateien/Datenschutzmodell/SDM-Methode_V20b_EN.pdf (zuletzt besucht am 28.05.2020).

 

Skip to content