dass der Umfang der verarbeiteten personenbezogenen Daten für den jeweiligen Zweck angemessen, erheblich und auf das notwendige Maß beschränkt ist. Die Anzahl der Verarbeitungsvorgänge ist hiernach aber nicht notwendigerweise zu beschränken.
Praxishinweis
Für die Überprüfung, ob die Verarbeitung dem Grundsatz der Datenminimierung gerecht wird, bietet sich eine vierstufige Prüfung an:31
– Ist die Verwendung anonymisierter Daten möglich?
– Sind die Daten dem Zweck angemessen?
– Sind die Daten für den Zweck erheblich?
– Sind die Daten auf ein notwendiges Maß beschränkt worden?
Die Datenmenge sollte auf das Maß beschränkt werden, das für die Zweckerreichung notwendig ist. Zudem sollte darauf geachtet werden, dass die Begrenzung auf ein notwendiges Maß auch die Genauigkeit personenbezogener Daten umfasst. Soweit also der Zweck der Verarbeitung durch aggregierte Daten erreicht werden kann, sollte dies auch geschehen.
5. Datenrichtigkeit
17
Das Gebot der Datenrichtigkeit ist in Art. 5 Abs. 1 lit. d DSGVO verankert. Danach muss der Verantwortliche darauf achten, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind, damit sie die Realität repräsentieren.32 Die personenbezogenen Daten sollen so den Betroffenen und dessen Verhältnisse korrekt widerspiegeln.33
18
Aus dem Grundsatz folgen unterschiedliche Gebote, abhängig von der einzelnen Verarbeitungsphase (erstmalige Erhebung und Speicherung oder die spätere Kontrolle):34 Bereits bei der erstmaligen Speicherung muss der Verantwortliche die personenbezogenen Daten aktiv35 auf Richtigkeit überprüfen.36 Dies beinhaltet eine der üblichen Sorgfalt entsprechende Prüfung, ob Gesichtspunkte gegen die Richtigkeit sprechen.37
19
Wird zu einem späteren Zeitpunkt die Unrichtigkeit ersichtlich, muss der Verantwortliche die betroffenen Daten löschen oder korrigieren.38 Art. 5 Abs. 1 lit. d DSGVO verlangt den Einsatz angemessener Überprüfungsmittel.39 Im Falle einer längerfristigen Verarbeitung nehmen die Anforderungen an die Prüfung der sachlichen Richtigkeit zu, da das Risiko für eine Änderung des tatsächlichen Zustands steigt.40
20
Auch aus der eigenen Perspektive des Verantwortlichen ist die Richtigkeit der Daten in zweierlei Hinsicht bedeutsam: Einerseits können oft nur korrekte Daten den gewünschten wirtschaftlichen Erfolg und die pflichtgemäße Aufgabenerfüllung herbeiführen.41 Anderseits steigern unrichtige Daten die Gefahr, dass Betroffene ihren Anspruch auf Berichtigung und Vervollständigung gemäß Art. 16 DSGVO geltend machen.42 Zudem kann der Betroffene die Richtigkeit der Daten gemäß Art. 18 Abs. 1 lit. a DSGVO bestreiten und die Einschränkung der Datenverarbeitung i.S.d. Art. 4 Nr. 3 DSGVO verlangen, bis dieser die Richtigkeit der Daten nachweist.43
Praxishinweis
Soweit Daten sich auf einen bestimmten Zeitpunkt beziehen, werden sie nicht zwangsläufig dadurch falsch, dass sich die Verhältnisse des Betroffenen geändert haben.44 Es sollte im Hinblick auf den Verarbeitungszweck differenziert werden:45 Dies wird im Zusammenhang etwa mit Gesundheitsdaten, die bei einer Untersuchung gespeichert werden, deutlich. Dort ist es denkbar, dass es der Verarbeitungszweck gebietet, diese Daten trotz Veränderung des Gesundheitszustands nicht zu korrigieren. Umgekehrt kann der Verarbeitungszweck die Aktualität der Daten aber auch wesensnotwendig voraussetzen, wie etwa bei der Speicherung von Zutrittsberechtigungen oder finanziellen Verhältnissen in Hinblick auf eine Kreditgewährung.
6. Speicherbegrenzung
21
Der Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO statuiert, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Die DSGVO schreibt somit ein zeitliches Limit für die Speicherung personenbezogener Daten bis zur Zweckerreichung vor.46 Die Speicherbegrenzung und der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO greifen ineinander. Der bereits angelegte Zweck bekommt eine Art „Haltbarkeitsdatum“.47 Jedenfalls bereits anonymisierte Daten sind – schon denklogisch aufgrund des Anwendungsbereichs in Art. 2 Abs. 1 DSGVO – von der Speicherbegrenzung ausgenommen. Eine Identifizierung Betroffener ist hierdurch ohnehin ausgeschlossen.48
Praxishinweis
Verantwortliche sollten deshalb für alle personenbezogenen Daten oder Datenkategorien eine Speicherfrist festlegen. Differenziert werden sollte zwischen einerseits der Zweckerreichung und andererseits den gesetzlich statuierten Aufbewahrungsfristen. Im Falle einer Aufbewahrung ausschließlich aus Gründen von Aufbewahrungsfristen empfiehlt es sich, technische und organisatorische Maßnahmen zu ergreifen, die eine anderweitige Verarbeitung verhindern.49 Zudem sollte der Verantwortliche Fristen oder iterative Zeiträume für eine Überprüfung der Daten implementieren.50 In der Regel erfolgt dies im Rahmen eines übergreifenden Löschkonzepts.51
22
Die Speicherbegrenzung bedingt u.a. die folgenden weiteren Pflichten des Verantwortlichen: die Pflicht zur (aktiven) Aufklärung des Betroffenen über die jeweilige Verarbeitungsdauer gemäß Art. 13 Abs. 2 lit. a bzw. 14 Abs. 2 lit. a DSGVO, die Pflicht auf Antrag zur erneuten, ggf. konkretisierten Benennung der Verarbeitungsdauer gemäß Art. 15 Abs. 1 lit. d DSGVO, die Pflicht zur Löschung gemäß Art. 17 Abs. 1 lit. a DSGVO oder Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 DSGVO nach entsprechendem Verlangen des Betroffenen.
23
Ausnahmen vom Grundsatz normiert Art. 5 Abs. 1 lit. e Hs. 2 DSGVO, der Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für Zwecke der wissenschaftlichen und historischen Forschung und statistische Zwecke privilegiert. Bei einem entsprechenden Zweck ist weder dem Speicherbegrenzungs- noch dem Zweckbindungsgrundsatz Rechnung zu tragen.
7. Integrität und Vertraulichkeit
24
Nach dem Grundsatz der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. f DSGVO müssen personenbezogene Daten zur Abwendung bestimmter Risiken in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Der Grundsatz hängt deshalb eng mit Art. 24 und Art. 32 DSGVO zusammen und verlangt vom Verantwortlichen entsprechende technische und organisatorische Maßnahmen.52
25
Die Maßnahmen sollen insbesondere folgende zwei Kategorien von Risiken verhindern:53 Zum einen soll eine unbefugte oder unrechtmäßige Verarbeitung verhindert werden. Eine unbefugte Verarbeitung liegt insbesondere dann vor, wenn die Verarbeitung durch unbefugte Dritte gemäß Art. 4 Nr. 10 DSGVO erfolgt; eine unrechtmäßige Verarbeitung ist etwa im Falle eines Verstoßes gegen den Rechtmäßigkeits- und Zweckbindungsgrundsatz gegeben. Zum anderen soll ein unbeabsichtigter Verlust, die unbeabsichtigte Zerstörung und Schädigung verhindert werden. Ein Verlust, die Zerstörung oder Schädigung ist gegeben, wenn personenbezogene Daten „[...] abhandenkommen oder derart geändert werden, dass sie nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können“.54
26
Weiterhin soll der Grundsatz