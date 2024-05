Ein Herzstück der Datenschutz-Grundverordnung sind die sogenannten Grundsätze für die Verarbeitung personenbezogener Daten. Dazu gehört zum Beispiel die Speicherbegrenzung und damit das fristgerechte Löschen personenbezogener Daten. Bekanntlich machen viele Unternehmen Fehler in ihren Löschkonzepten. Fast könnte man sagen, man speichert gerne „auf Vorrat“, falls man später einmal die Daten gebrauchen könnte.

Doch es gibt einen weiteren Grundsatz, der häufig nicht richtig umgesetzt wird, die Datenminimierung. Die DSGVO fordert dazu, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Damit liegt die Datenminimierung logisch gesehen vor dem Löschen der Daten, denn wenn man Daten erst gar nicht speichert, muss man sie später auch nicht löschen.

Mehr noch, wenn man Daten nicht unnötig speichert, sich also an Datenminimierung oder Datensparsamkeit hält, muss man diese Daten auch gar nicht schützen. Datenminimierung ist also Datenschutz ohne viel Aufwand.

Leider machen sich viele Unternehmen aber zu wenig Aufwand mit der Datenminimierung selbst. Dies zeigen aktuelle Hinweise einer Aufsichtsbehörde.

Problemfeld „Pflichtfeld in Webshops“ Beim Einkaufen in Online-Shops darf im Rahmen eines Bestellprozesses nicht ohne Weiteres das Geburtsdatum als zwingende Angabe abgefragt werden, so die Datenschutzaufsicht in Niedersachsen. Dies wurde nun vom Niedersächsischen Oberverwaltungsgericht bestätigt. In der Rechtsauffassung und dem Urteil drückt sich der genannte Grundsatz der Datenminimierung aus, nach dem die Verarbeitung auf das notwendige Maß zu beschränken ist. Hintergrund des gerichtlichen Verfahrens war eine Unterlassungsanordnung der Datenschutzaufsicht gegenüber einer Online-Apotheke. Diese hatte das Geburtsdatum im Bestellprozess erhoben. Die Abfrage erfolgte unabhängig von der Art der bestellten Ware, also nicht nur bei Medikamenten, sondern auch bei allgemeinen Drogerieprodukten. Die Datenschutzaufsicht machte nun klar, dass dies für Webshops im Allgemeinen zu beachten sei. Die Verarbeitung des Geburtsdatums ist demnach datenschutzrechtlich üblicherweise nicht zur Erfüllung eines Vertrags erforderlich. Selbst für eine Prüfung, ob Minderjährige im Webshop bestellen und der Vertrag daher schwebend unwirksam sein könnte, könne der Betreiber die Volljährigkeit abfragen und benötige nicht das genaue Geburtsdatum. Zudem könne der Verantwortliche das standardmäßige Erheben und Verarbeiten des Geburtsdatums nicht auf seine berechtigten Interessen stützen. Zwar kann die Vorsorge für ein gegebenenfalls notwendiges Eintreiben offener Zahlungen ein berechtigtes Interesse darstellen, jedoch nur, wenn überhaupt ein Ausfallrisiko hinsichtlich der Zahlung besteht. Ein solches Risiko liegt jedoch beispielsweise nicht bei der Bezahlung per Vorkasse vor, so die Datenschutzaufsicht. „Während sich eine Anschrift durch einen Umzug verändern kann, ist das Geburtsdatum ein besonders dauerhaftes Datum. Ich begrüße daher die Klarheit, mit der die Gerichte die Argumente der Beklagten zurückgewiesen haben“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen. Betreiber von Webshops sollten nun also überprüfen, ob sie im Bestellprozess das Geburtsdatum als zwingende Angabe abfragen, und zu welchen Zwecken und auf welcher Rechtsgrundlage dieses verarbeitet wird. Die Datenschutzaufsicht macht klar: Sollte die Abfrage nur auf die Einwilligung als Rechtsgrundlage gestützt werden können, ist das entsprechende Eingabefeld im Bestellformular eindeutig als „freiwillig“ zu kennzeichnen, und die Kundinnen und Kunden sind über die Verwendung dieses Datums umfassend zu informieren. Geben diese kein Geburtsdatum an, muss der Bestellprozess fortgesetzt werden können.

Problemfeld „Online-Formulare für eine Bewerbung“ Bei Online-Bewerbungsverfahren sind grundsätzlich umfangreiche Fragenkataloge (Web-Formulare) auszufüllen, so ein weiteres Beispiel der Aufsichtsbehörde. Oftmals wird auch angeboten, eingescannte Dokumente (zum Beispiel Zeugnisse oder Urkunden) beizufügen. Im Rahmen der auszufüllenden Fragenkataloge werden eine Vielzahl persönlicher Daten erhoben. Doch Vorsicht, ein Unternehmen könnte es übertreiben und zu viel abfragen. Unternehmen dürfen zum Zwecke der Begründung des Beschäftigungsverhältnisses von den Bewerberinnen und Bewerbern immer nur die personenbezogenen Daten abfragen und verarbeiten, deren Kenntnis erforderlich ist, um die Eignung, Befähigung und Leistung für den ausgeschriebenen Arbeitsplatz der Bewerberinnen und Bewerber feststellen zu können, nur das dürfen „Pflichtfelder“ bei einer Online-Bewerbung sein. Auch dies ist begründet mit dem Grundsatz der Datenminimierung.