Die Daten nicht länger als unbedingt nötig speichern (Speicherbegrenzung)
Home » Standort- und Nachverfolgungsdaten » Daten minimimeren » Die Daten nicht länger als unbedingt nötig speichern (Speicherbegrenzung)

Die Geräte sollten so programmiert werden, dass die Zeit, in der sie die Daten speichern, so kurz wie möglich ist: Sie sollten die Daten nur so lange speichern, wie es unbedingt notwendig ist, um ihr Ziel zu erreichen (siehe Unterabschnitt Speicherbegrenzung in den Grundsätzen). Dies hängt natürlich von dem Ziel ab, das die Anwendung verfolgt. Eine Speicherung ist nur dann akzeptabel, wenn sie notwendig ist, um das Ziel des Tools zu erreichen. Wenn beispielsweise eine App dazu dienen soll, eine an Alzheimer erkrankte Person zu überwachen, falls sie aufgrund der Auswirkungen der Krankheit umherirrt, müssen die Daten wahrscheinlich sehr oft gelöscht werden. Bei einem Gerät, mit dem Nutzer ermitteln sollen, ob sie in der Nähe einer Person waren, die an einer Infektionskrankheit leidet, müssen die Daten Tage oder Wochen lang gespeichert werden.

Vergessen Sie nicht, dass ein wahllos zugewiesener Unique Device Identifier (UDID) wie z. B. eine eindeutige Nummer, nur für Betriebszwecke gespeichert werden sollte, und zwar nur so lange, wie es für die Zwecke der Verarbeitung erforderlich ist. „Nach diesem Zeitraum sollte die UDID weiter anonymisiert werden. Dabei muss berücksichtigt werden, dass eine wahre Anonymisierung in zunehmendem Maße schwieriger wird und dass die kombinierten Standortdaten dennoch zu einer Identifizierung führen könnten. Eine solche UDID sollte weder mit früheren noch zukünftigen UDIDs des Endgeräts verknüpft werden können noch sollte sie mit einem festen Kennzeichen des Nutzers oder des Telefons (wie die MAC-Adresse, IMEI oder IMSI-Nummer oder einer sonstigen Kontonummer) verknüpfbar sein.“[1]

Checkliste:

 Die auf dem Zentralserver gespeicherten Kontakthistorien- oder Standortdaten werden gelöscht, sobald sie für die Zwecke der Verarbeitung nicht mehr benötigt werden.

 Das Verfahren zur Datenlöschung ist angemessen gestaltet und dem Verantwortlichen und den Nutzern gut bekannt.

 Jede in der lokalen Historie enthaltene Kennung wird nach X Tagen nach ihrer Erfassung gelöscht (der X-Wert wird durch den Zweck der Verarbeitung definiert).

 Die Daten in den Serverprotokollen werden auf ein Minimum reduziert und entsprechen den Anforderungen des Datenschutzes.

 Wenn es einen Zentralserver gibt und dieser Datenkennungen speichern muss, müssen diese gelöscht werden, sobald sie an die anderen Anwendungen verteilt wurden, es sei denn, ein rechtlichertechnischer Grund spricht dagegen.

 

Quellenangaben

1Artikel-29-Datenschutzgruppe, Stellungnahme 13/2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endgeräten, unter: https://www.apda.ad/sites/default/files/2018-10/wp185_en.pdf

 

Skip to content