Erforderlichkeit

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen

Eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur erforderlich [1], wenn die jeweilige Aufgabe ohne das konkrete Datum nicht oder nicht vollständig erfüllt werden kann. Dazu zählt auch, dass die Aufgabe auf andere Weise nur

  • unter unverhältnismäßig großen Schwierigkeiten,
  • mit einem unvertretbar höheren Aufwand oder
  • verspätet erfüllt werden könnte.

Die Eignung der Daten für die Nutzung und Verarbeitung ist die Voraussetzung für eine Erforderlichkeit. Das heißt, Daten, die zur Erreichung des Verarbeitungszieles überhaupt nicht geeignet sind, sind von daher auch nicht erforderlich. Eine Datenerhebung "auf Vorrat" ist unzulässig.

Erforderlichkeit und Verhältnismäßigkeit

Die Einhaltung des Erforderlichkeitsgrundsatzes im Einzelfall ist bereits in der Konzeptions- und Planungsphase von Anwendungen und bei der Systemauswahl zu berücksichtigen. Insofern korrespondiert die Vorgabe mit den Geboten zur Datenvermeidung und Datensparsamkeit. Das Gebot der Erforderlichkeit gilt für alle Phasen der Verarbeitung, also nicht nur für die Erhebung, sondern auch für den gesamten anschließenden Verarbeitungsprozess.


Insbesondere ist von der Möglichkeit der Anonymisierung und Pseudonymisierung Gebrauch zu machen. Systemseitig sind Vorkehrungen zu treffen, dass

  • Daten, die für den weiteren Verarbeitungsprozess ab einer bestimmten Stufe nicht (mehr) erforderlich sind zum frühestmöglichen Zeitpunkt gelöscht werden oder

wenn sie für bestimmte Kontroll- oder Nachweisfunktionen im Einzelfall noch benötigt werden

  • der Personenbezug durch Anonymisierung aufgehoben oder
  • durch Pseudonymisierung gelockert werden kann.

Diese Maßnahmen können von modernen DV-Systemen dynamisch durchgeführt werden, d.h. bei Überschreiten eines bestimmten Termins (Löschfrist, Antragsende, Ablauf der Wirkung eines Verwaltungsaktes) oder bei Eintritt eines bestimmten Ereignisses (der geforderte Nachweis wird erbracht) werden entsprechende Datenfelder gelöscht.

Anonymisieren und Pseudonymisieren

Begriffsbestimmung nach § 3 BDSG

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Empfehlungen zur Umsetzung

  • Vorab Festlegung verbindlicher Regelungen für den Umfang der personenbezogenen Daten, die erhoben, verarbeitet und genutzt werden sollen
  • Definition und Dokumentation aller Daten verarbeitenden Systeme und Teilsysteme und Arbeitsschritte einschließlich ihrer Schnittstellen, in denen
    • ohne personenbezogene Daten gearbeitet werden kann,
    • personenbezogene Daten anonymisiert werden können,
    • personenbezogene Daten pseudonymisiert werden können bzw.
    • der direkt herstellbare Personenbezug unvermeidlich ist.


  • Reduzierung der Erhebung in Formularen auf Daten, die für den jeweiligen Zweck erforderlich sind
  • Ausdrücklicher Hinweis auf die Freiwilligkeit bei der Erhebung zusätzlicher Daten („Überschussdaten“)
  • Vermeidung der Erhebung von Identifikationsdaten, die nicht benötigt werden oder wenn die Nutzung eines Angebotes ohne diese Daten möglich ist Verzicht auf eine vollständige Erfassung der IP-Adresse, sofern die IP-Adresse des Nutzers bei Internet-Angeboten nicht benötigt wird.
  • Keine Erhebung von Name und Anschrift für ein Newsletter-Abonnement; die E-Mail-Adresse ist ausreichend
  • Lediglich Protokollierung der Nutzungsvorgänge, bei denen gesetzliche Vorgaben dies erfordern (z.B. automatisierte Abrufverfahren) oder bei konkreten Anhaltspunkten für eine missbräuchliche Nutzung, soweit die Daten zur Missbrauchsaufklärung erforderlich sind. Eine Nutzung letzterer Daten für andere Zwecke ist nicht zulässig.


  • Prüfung der Erforderlichkeit, Zweckbindung und Plausibilität bei der Übernahme von Daten in andere Anwendungen (z.B. Übernahme analoger Formulare in DV-Anwendungen, Übernahme von Daten aus elektronischen Formularen in das DV-System)
  • Prüfung auf nicht sichtbare personenbezogene Daten in Dokumenten und ggf. Entfernung nicht erforderlicher Daten
  • Schutz vor Modifikationen und Einsichtnahme von versendbaren oder herunterladbaren Dokumenten, die personenbezogene Daten enthalten
  • Beschränkung der Daten verarbeitenden Stellen auf die jeweilige Aufgabe und die erforderlichen Daten; Schutz der Daten vor Kenntnisnahme durch nicht berechtigte Stellen


  • Frühestmögliche Anonymisierung oder Hyposensibilisierung (siehe hierzu auch Orientierungshilfe "Datenschutzfreundliche Technologien“ des Arbeitskreises Technik der Datenschutzbeauftragten des Bundes und der Länder).
  • Systemtechnische Unterstützung der Reduzierung des Datenumfangs bei der Datenübermittlung (Batchverfahren).
  • Einführung und Kontrolle von logischen und termingesteuerten Lösch-/Speicherfristen.
  • Überprüfung der Aktualität von Erhebungsbögen auf erforderliche Datenfelder


Weblinks

FAQ IP-Adressen und andere Nutzungsdaten
Thüringer Landesbeauftragter für den Datenschutz: Datenschutzfreundliche Technologien
Orientierungshilfe Protokollierung
Orientierungshilfe Transparente Software

Einzelnachweise

  1. ^ Handreichung "Datenschutzgerechtes eGovernment" der Arbeitsgruppe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.