Grundsatz der Datenminimierung
Home » Soziale Netzwerke zu Forschungszwecken: ethische und rechtliche Anforderungen an den Datenschutz » Data Governance: Grundsätze der Minimierung, Zweckbindung und Speicherbegrenzung » Grundsatz der Datenminimierung

Laut demGrundsatz der Datenminimierung müssenpersonenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (siehe Abschnitt „Datenminimierung“ im Teil „Grundsätze“ dieser Leitlinien). Nach diesem Grundsatz sollten sich die Verantwortlichen über das Ziel im Klaren sein, das mit der Verarbeitung erreicht werden soll, um zu vermeiden, dass mehr Daten als nötig verwendet werden. Außerdem sollten die Verantwortlichen versuchen, die Verwendung besonderer Kategorien personenbezogener Daten zu vermeiden, wenn sie nicht unbedingt erforderlich sind.

Wenn Forscher/Innovatoren Daten aus sozialen Netzwerken sammeln, kann es sein, dass sie am Ende weit mehr persönliche und sensible Daten verarbeiten, als sie für die spezifischen Forschungszwecke wirklich benötigen. Es gibt einige Möglichkeiten, wie ein solches Szenario vermieden werden kann. Grundsätzlich sollten die Verantwortlichen die Verwendung von anonymisierten Daten fördern. Die Vermeidung der Identifizierung bestimmter Personen aus Big-Data-Analysen oder der Re-Identifizierung von Datennutzern, deren Daten pseudonymisiert wurden, ist eine grundlegende Schutzmaßnahme, um unangemessene Auswirkungen der Datenverarbeitung auf die betroffenen Personen zu verhindern[1]. Wenn sie keine personenbezogenen Daten benötigen, können sie das soziale Netzwerk bitten, ihnen anonymisierte Daten zur Verfügung zu stellen. Natürlich könnten sie die einmal erhobenen Daten auch anonymisieren, aber in diesem Fall sollten sie nicht vergessen, dass die Anonymisierung eine Datenverarbeitung beinhaltet und sie daher eine Rechtsgrundlage benötigen, die sie legitimiert (siehe Unterabschnitt „Identifizierung, Pseudonymisierung und Anonymisierung“, Abschnitt „Hauptkonzepte“des allgemeinen Teils dieser Leitlinien).

Außerdem sollten Forscher/Innovatoren bedenken, dass eine Anonymisierung schwer zu erreichen sein kann. Häufig können Datensätze durch Aggregation und Ableitung von Datenpraktiken leicht de-anonymisiert werden. Daher sollten die Verantwortlichen nicht davon ausgehen, dass ihre Anonymisierungsverfahren die Privatsphäre der betroffenen Personen gut schützen werden. Sie sollten Datenschutz-Folgenabschätzungenund Risikobewertungen durchführen, um sich dieser Annahme zu versichern (siehe „Rechenschaftspflicht“ in diesem Teil der Leitlinien).

Eine Alternative zur Anonymisierung als solche ist die Verwendung von aggregierten Daten. Im Zusammenhang mit dem Datenschutz müssen zwei Arten der Aggregation unterschieden werden (siehe Abschnitt „Datenminimierung“ im Teil „Grundsätze“ dieser Leitlinien):

  • Einzelne Person: Aggregation von Datenelementen, die sich auf eine einzelne Person beziehen: Nimmt man z. B. das durchschnittliche Monatseinkommen einer Person über ein Jahr, so reduziert sich der Informationsgehalt, der sich auf diese Person bezieht.
  • Mehrere Personen: Aggregation von Datenelementen, die sich auf eine Vielzahl von Personen beziehen: Nimmt man z. B. das durchschnittliche Jahreseinkommen einer Gruppe von Personen, so verringert sich auch der Gesamtinformationsgehalt (Datenminimierung). Außerdem wird dadurch der Grad der Assoziation zwischen einem Datenelement und einer bestimmten Person abgeschwächt. Diese Art der Aggregation ist daher auch für die Speicherbegrenzung relevant

Wenn der Zweck der Verarbeitung unter Verwendung aggregierter Daten erreicht werden kann, ist dies empfehlenswert (siehe Unterabschnitt „Grundsatz der Datenminimierung“,Abschnitt„Hauptgrundsätze“des allgemeinen Teils dieser Leitlinien). Unter diesen Umständen sollte niemand außer der betroffenen Person Zugang zu den Rohdaten (erhaltene oder beobachtete Daten) haben, es sei denn, es liegt ein äußerst wichtiger Grund vor (z. B. nationale Sicherheitsfragen, die restriktiv ausgelegt werden). In der Tat ist es manchmal so, dass eine spezifische Forschung nur aggregierte Daten benötigt und keinen Bedarf an den in den sozialen Netzwerken erhobenen Rohdaten hat. Daher müssen die Verantwortlichen die Rohdaten löschen, sobald sie die für ihre Datenverarbeitung erforderlichen Daten extrahiert haben. Grundsätzlich sollte die Löschung am nächstgelegenen Punkt der Datenerfassung der Rohdaten erfolgen (z. B. auf demselben Gerät nach der Verarbeitung).

 

Quellenangaben


1Die Leitlinien der Artikel-29-Datenschutzgruppe 3/2013 über Zweckbindung(S. 3) heben die Annahme von Garantien zur Vermeidung unangemessener Auswirkungen auf die betroffenen Personen als Schlüsselfaktor hervor, der bei der Bewertung der vereinbaren Weiterverwendung von Daten berücksichtigt werden muss.

Skip to content