Datenminimierung ist ein grundlegendes Prinzip der Datenschutz-Grundverordnung und bedeutet, dass bei jeder Verarbeitung personenbezogener Daten nur so viele Informationen erhoben, gespeichert oder übermittelt werden dürfen, wie für den jeweiligen Zweck tatsächlich erforderlich sind. In sozialwirtschaftlichen Einrichtungen kommt diesem Grundsatz besondere Bedeutung zu, da hier regelmäßig mit sensiblen personenbezogenen Daten gearbeitet wird, etwa zu Gesundheit, familiären Hintergründen, biografischen Verläufen oder sozialen Problemlagen. Der Grundsatz der Datenminimierung findet sich in Art. 5 Abs. 1 lit. c DSGVO und verpflichtet alle Verantwortlichen dazu, bei jedem Verarbeitungsschritt kritisch zu prüfen, ob die erhobenen Daten wirklich notwendig sind oder ob der Zweck auch mit weniger oder anonymisierten Informationen erreicht werden kann.
In der Praxis bedeutet das beispielsweise, dass bei der Aufnahme von Klientinnen und Klienten keine Informationen erhoben werden dürfen, die mit dem Leistungsangebot nicht in direktem Zusammenhang stehen. Auch in Bewerbungsverfahren, Personalakten oder Fördermittelanträgen muss stets geprüft werden, ob Umfang und Inhalt der erfassten Daten im Verhältnis zur Notwendigkeit stehen. Werden etwa vollständige Krankenakten übermittelt, obwohl eine einfache Bestätigung des Unterstützungsbedarfs ausreichen würde, liegt bereits ein Verstoß gegen das Prinzip der Datenminimierung vor. Gleiches gilt für E-Mail-Kommunikation, in der oft unnötig viele personenbezogene Daten weitergegeben oder auch Empfänger eingebunden werden, die mit dem Vorgang nichts zu tun haben.
Einrichtungen der Sozialwirtschaft stehen häufig unter dem Eindruck, bestimmte Daten „vorsorglich“ oder zur internen Absicherung zu erheben. Diese vorsorgliche Erhebung ohne klaren Zweckbezug ist jedoch datenschutzrechtlich nicht zulässig. Auch eine spätere potenzielle Nutzung rechtfertigt nicht die Erhebung von Daten im Voraus. Daten, die für die Erbringung einer Leistung, die Abrechnung oder die gesetzlich vorgeschriebene Dokumentation nicht erforderlich sind, dürfen nicht verarbeitet werden. Dies betrifft auch die Weitergabe an Dritte, etwa an Kostenträger, Kooperationspartner oder Behörden. Die Übermittlung muss immer zweckgebunden und auf das erforderliche Maß begrenzt sein. Öffentliche Träger verlangen allerdings in der Praxis häufig zu viele Informationen, beispielsweise Klarnamen auf Rechnungen, vollständige Hilfeverläufe oder personenbezogene Protokolle. Einrichtungen müssen sich hier nicht nur schützend vor die Betroffenen stellen, sondern aktiv auf die Einhaltung des Datenminimierungsgrundsatzes hinwirken.
Die Umsetzung dieses Grundsatzes erfordert nicht nur technische Einstellungen, etwa in Formularen oder Datenbanken, sondern vor allem ein datenschutzgerechtes Bewusstsein bei den Mitarbeitenden. Dazu gehören Schulungen, regelmäßige Sensibilisierungen und klare Vorgaben in Datenschutzkonzepten und Verfahrensregelungen. Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, datenminimierte Prozesse zu gestalten, Löschfristen zu verwalten und Verarbeitungstätigkeiten systematisch zu erfassen und zu bewerten. Sie hilft dabei, konkrete Maßnahmen zu entwickeln, mit denen Datenverarbeitung reduziert und auf das tatsächlich erforderliche Maß beschränkt werden kann. Auch die Nutzung der Whistleblower-Plattform der IJOS GmbH bietet die Möglichkeit, Verstöße gegen das Datenminimierungsprinzip intern zu melden und damit die Rechte der Betroffenen zu schützen.
Datenminimierung ist kein abstraktes Ideal, sondern ein konkreter Handlungsmaßstab für jede datenverarbeitende Stelle. Wer personenbezogene Daten verarbeitet, trägt die Verantwortung dafür, dies nicht mehr als notwendig zu tun. Einrichtungen, die dies beherzigen, handeln nicht nur rechtlich korrekt, sondern stärken auch das Vertrauen der Menschen, die ihnen ihre sensibelsten Informationen anvertrauen.
PDF