Es ist verlockend, die Datenschutz-Grundverordnung als ein langes, lästiges und manchmal verworrenes Kontrollkästchen zur Einhaltung der Vorschriften zu betrachten. Doch die DSGVO soll eher ein Modell für eine gute Datenverwaltung sein als eine bloße Auflistung von rechtlichen Geboten und Verboten. Sie können sich jeden einzelnen Artikel ansehen, sicherstellen, dass Sie die Vorschriften einhalten, und dann weitermachen. Oder Sie können sich von der Verordnung zu Strategien inspirieren lassen, die nicht nur den Vorschriften entsprechen, sondern auch nützlich sein können.
Letzte Woche haben Miloš Novović und Rie Aleksandra Walle in ihrem großartigen Grumpy GDPR-Podcast einige wichtige Regeln für eine gute Datenverwaltung angesprochen, darunter die Datenminimierung. Ihre Diskussion hat uns dazu inspiriert, ebenfalls darüber zu schreiben.
Wir möchten zeigen, wie die Datenminimierung die Grundlage für intelligente Data-Governance-Strategien bilden kann, die Datenschutz, Compliance und solide Geschäftsentscheidungen zusammenbringen.
- Was ist Datensparsamkeit?
- Kann weniger mehr sein?
- Daten sind nicht das neue Öl, sondern die neuen Aktien
- Wie kann ich meine Daten minimieren?
- Schlussfolgerungen
Tauchen wir ein!
Was ist Datensparsamkeit?
Artikel 5(1)(c) GDPR lautet: "Personenbezogene Daten müssen (...) den Zwecken entsprechen, für die sie verarbeitet werden, dafür erheblich sein und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt werden". Mit einem Wort: Sie sollten nur die Daten erheben und verarbeiten, die Sie benötigen. Das ist es, was Datenrechtler meinen, wenn sie von Datenminimierung sprechen.
Die Datenminimierung ist einer der Kerngrundsätze der DSGVO und steht in engem Zusammenhang mit anderen Grundsätzen wie der Zweckbindung und der Speicherbegrenzung. Die Datenminimierung spielt eine entscheidende Rolle bei der Einhaltung der Vorschriften, aber es gibt noch mehr Gründe, diesen Grundsatz ernst zu nehmen.
Kann weniger mehr sein?
Die meisten Unternehmen behandeln Daten wie einen Vermögenswert: Sie wollen so viel wie möglich davon haben. Es ist leicht, sich dieser allgemeinen Einstellung anzuschließen und zu vergessen, dass Daten ihren Preis haben. Es liegt auf der Hand, dass die technischen Kosten mit dem Datenvolumen steigen, unabhängig davon, ob die Verarbeitung intern erfolgt oder an einen Verarbeiter ausgelagert wird.
Aber die Betriebskosten sind nicht die einzigen, die berücksichtigt werden sollten. Die Kosten für die Einhaltung der Vorschriften bei der Verarbeitung personenbezogener Daten sind hoch. Die für die Datenverarbeitung Verantwortlichen haben zahlreiche Verpflichtungen: Sie müssen auf Anfragen der betroffenen Personen reagieren, für die Cybersicherheit und die organisatorische Sicherheit sorgen und so weiter. Wenn sie sich auf einen Auftragsverarbeiter verlassen, müssen sie auch sicherstellen, dass dieser die DSGVO einhält. Nichts davon ist einfach, und es wird teurer und komplizierter, wenn Sie mehr Daten verarbeiten.
Die Kosten und Risiken für die Einhaltung der Vorschriften hängen nicht nur von der Menge der Daten ab, sondern auch von ihrer Art. Als Faustregel gilt: Je sensibler die Daten sind, desto höher sind die Kosten. Standortdaten sind sensibler als Kontaktinformationen, daher müssen Sie robustere Sicherheitssysteme einrichten, um Risiken zu vermeiden. Dies gilt insbesondere für bestimmte Datenkategorien, die nach der DSGVO einem besonderen Schutz unterliegen, wie z. B. Gesundheitsdaten, sexuelle Orientierung und politische Überzeugungen. Durch die Verarbeitung dieser Datenarten wird die Einhaltung der Vorschriften für den für die Verarbeitung Verantwortlichen auch aufwändiger, da strengere Regeln gelten.
Und je mehr Daten Sie verarbeiten, desto wahrscheinlicher ist es, dass irgendwann etwas schief geht, und desto schlechter ist Ihre Position, wenn das passiert. Angenommen, gegen Ihr Unternehmen wird aus irgendeinem Grund ermittelt. In diesem Fall ist das Letzte, was Sie wollen, dass eine Datenschutzbehörde herausfindet, dass Sie Daten verarbeitet haben, die Sie nicht wirklich brauchen, da die Datenschutzbehörden den Grundsatz der Datenminimierung sehr ernst nehmen. Und natürlich bedeutet die Speicherung größerer Datenmengen, dass Sie eine größere Datenpanne riskieren, die schwerwiegende Folgen haben und viel unerwünschte Medienaufmerksamkeit auf Ihr Unternehmen lenken kann.
Daten sind nicht das neue Öl, sondern die neuen Aktien
"Daten sind das neue Öl" ist mittlerweile ein gängiger Ausdruck, aber Aktien sind wohl eine bessere Metapher. Mit Aktien kann man viel Geld verdienen oder viel verlieren. Erfolgreiche Anleger haben eine klare Strategie im Kopf und sind sich der Risiken bewusst, die sie eingehen.
Daten sollten mit der gleichen Denkweise angegangen werden. Man sollte nicht einfach Daten sammeln, nur weil man es kann. Sie sollten sich fragen: Welches Ziel will ich mit der Verarbeitung von Daten erreichen? Welche Daten brauche ich wirklich, um dieses Ziel zu erreichen? Ist das Ziel das Risiko wert? Brauche ich wirklich alle Daten, die ich bereits habe, oder kann ich von der Löschung einiger Daten profitieren?
Eine auf Datenminimierung ausgerichtete Denkweise kann Ihnen Geld und Probleme mit der Einhaltung von Vorschriften ersparen, die technische Seite Ihres Unternehmens vereinfachen und Ihrem Unternehmen dabei helfen, sich einen guten Ruf für gute Datenverwaltung und Datenschutzfreundlichkeit zu erwerben. Nicht zuletzt kann sie dazu beitragen, ein besseres Internet zu schaffen, in dem nicht mehr jede einzelne Kommunikation, jeder einzelne Klick und jede einzelne Interaktion aus hirnloser Gier verfolgt wird.
Wie kann ich meine Daten minimieren?
Hier gibt es keine allgemeingültige Antwort, aber sich die richtigen Fragen zu stellen, kann ein guter Ausgangspunkt sein:
- Welche personenbezogenen Daten verarbeite ich?
- Zu welchem Zweck verarbeite ich sie?
- Verarbeite ich sie in einer Weise, die diesen Zweck erfüllt?
- Wie lange speichere ich meine Daten? Und wie lange muss ich sie speichern?
Natürlich verarbeiten Sie wahrscheinlich verschiedene Arten von personenbezogenen Daten - zum Beispiel Analysedaten für Ihre Website, Kontaktinformationen für Ihren Newsletter, Mitarbeiterdaten und Zahlungsinformationen Ihrer Kunden. Es ist besser, an jede dieser Daten einzeln zu denken, als sie alle zusammen zu speichern.
Die erste Frage ist wahrscheinlich die schwierigste, denn die Definition von personenbezogenen Daten im Rahmen der DSGVO ist schwierig. Personenbezogene Daten sind mehr als nur Informationen, die jemanden identifizieren, wie z. B. ein Name oder eine E-Mail-Adresse. Wir haben dieses Thema vor nicht allzu langer Zeit in unseren FAQ zur Datenschutz-Grundverordnung angeschnitten, aber wir haben dort kaum an der Oberfläche gekratzt.
Keine der Fragen ist einfach, und es ist in Ordnung, wenn Sie noch nicht alle Antworten kennen. Sie im Hinterkopf zu behalten, kann Ihnen dennoch helfen, Ihre Datenverarbeitungsvorgänge besser zu verstehen, was ein Ausgangspunkt für die Minimierung Ihrer Daten ist. Sobald Sie ein einigermaßen klares Bild haben, werden Sie wahrscheinlich einige Möglichkeiten zur Verbesserung finden.
Beispielsweise verwenden einige APIs Cookies und andere nicht. Vielleicht können einige APIs auf Ihrer Website leicht durch weniger invasive ersetzt werden, die keine oder nur geringe Nachteile mit sich bringen. Aber das wird vielleicht erst deutlich, wenn Sie ein umfassendes Bild von den Daten haben, die Ihre Website sammelt.
Schlussfolgerungen
Wir haben Simple Analytics als Antwort auf die Eingriffe in die Privatsphäre durch Google Analytics entwickelt. Wir glauben an ein unabhängiges, besucherfreundliches Web. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.