Data Governance: Grundsätze der Minimierung, Zweckbindung und Speicherbegrenzung
Home » IoT » Data Governance: Grundsätze der Minimierung, Zweckbindung und Speicherbegrenzung

Minimierungsprinzip

Zweckbindung

Beschränkung der Speicherung

Der Grundsatz der Datenminimierung besagt, dass personenbezogene Daten dem Zweck entsprechen, für den sie verarbeitet werden, dafür erheblich sind und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sind. Andererseits sollten gemäß Artikel 5 Absatz 1 Buchstabe e der DSGVO personenbezogene Daten “so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht”. Schließlich bedeutet die Zweckbindung, dass personenbezogene Daten nicht für andere Zwecke verarbeitet werden dürfen als die, die in der Datenschutzerklärung bei der Erhebung der Daten festgelegt wurden, es sei denn, diese Zwecke entsprechen Archivierungsaktivitäten von öffentlichem Interesse, wissenschaftlichen und historischen Forschungszwecken oder statistischen Zwecken.

Durch die Kombination dieser drei Grundsätze entsteht ein kombiniertes normatives Instrument, das von IoT-Entwicklern streng befolgt werden muss. Im Allgemeinen müssen die für[1] die Datenverarbeitung Verantwortlichen die Zwecke der Verarbeitung explizit machen: “in verständlicher Form offenlegen, erläutern oder ausdrücken”. Im Einklang mit dem Grundsatz der Datenminimierung sollten sie auch die Mindestmenge an personenbezogenen Daten ermitteln, die zur Erreichung ihrer Ziele erforderlich ist. Darüber hinaus sollten die für die Verarbeitung Verantwortlichen im Hinblick auf den Grundsatz der Rechenschaftspflicht in der Lage sein, nachzuweisen, dass sie nur die erforderlichen personenbezogenen Daten erheben und aufbewahren und dass diese ausschließlich für die spezifischen Zwecke verwendet werden, die auf einer angemessenen Rechtsgrundlage mitgeteilt wurden.

Zusammenfassend lässt sich sagen, dass die Festlegung klarer Ziele für eine IoT-Entwicklung dazu beitragen wird, dass die zu verarbeitenden personenbezogenen Daten verarbeitet werden:

  • angemessen: ausreichend, um den angegebenen Zweck zu erfüllen;
  • sachdienlich: Sie sollten in einem vernünftigen Zusammenhang mit dem Zweck stehen;
  • auf das Notwendige beschränkt sein: Sie sollten nicht mehr Daten speichern, als für den angegebenen Zweck erforderlich sind.

Die für die Verarbeitung Verantwortlichen sollten nicht vergessen, dass, wenn die Geräte Daten für andere Zwecke als die, für die sie erhoben wurden, verarbeiten, eine Rechtsgrundlage erforderlich ist, die eine solche Verarbeitung legitimiert, es sei denn, die neue Verwendung der Daten ist mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, gemäß Artikel 6.4 DSGVO vereinbar. Die Möglichkeit, die Ausnahme von dieser Regel im Zusammenhang mit der Verarbeitung zu Forschungszwecken in Anspruch zu nehmen, sollte vor jeder Verarbeitung sorgfältig geprüft werden. Eine Rücksprache mit dem DSB wird dringend empfohlen.

  1. Es ist wichtig festzustellen, wer der “für die Datenverarbeitung Verantwortliche” ist; Entwickler sind selten der “für die Datenverarbeitung Verantwortliche”, da sie nicht für die Erreichung des Unternehmensziels verantwortlich sind; dies ist Aufgabe der Unternehmensleitung.

 

Skip to content