Verhältnismäßigkeit in der DSGVO

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft, doch der Aufwand, den sie Unternehmen bereitet, bleibt unverändert hoch. Das belegen zahlreiche Umfragen. So gaben etwa in einer Bitkom-Studie aus dem Jahr 2023 rund 50 Prozent der Befragten an, dass der Aufwand für den Datenschutz seit Einführung der Verordnung gestiegen ist und voraussichtlich auch auf diesem Niveau bleiben wird. Weitere 33 Prozent erwarten sogar, dass der Aufwand in Zukunft noch zunehmen wird. Eine Umfrage der IHK Baden-Württemberg untermauert diese Ergebnisse: Über 80 Prozent der befragten Betriebe bewerten den durch die DSGVO verursachten Aufwand als „extrem hoch“. Dabei gilt im Datenschutz doch der Grundsatz der Verhältnismäßigkeit.

Was versteht man unter Verhältnismäßigkeit?

Der Grundsatz der Verhältnismäßigkeit ist ein zentrales Prinzip im EU-Recht (EU-Vertrag Art. 5 (4)) und wird auch in Erwägungsgrund 170 der DSGVO aufgegriffen. Er sorgt dafür, dass Behörden und Organisationen ihre Befugnisse nicht einfach grenzenlos ausüben können. Stattdessen müssen sie immer ein ausgewogenes Verhältnis zwischen dem, was erreicht werden soll, und den Mitteln, die dafür eingesetzt werden, schaffen, so der Europäische Datenschutzbeauftragte.

Gerade wenn es um Grundrechte wie den Schutz personenbezogener Daten gehe, sei Verhältnismäßigkeit besonders wichtig. Jede Einschränkung eines Grundrechts müsse gerechtfertigt sein. Dabei gilt, „dass die Vorteile aufgrund der Beschränkung eines Rechts nicht durch die Nachteile der Ausübung des Rechts aufgewogen werden“.

In der Praxis bedeutet das, eine Balance zu finden: Einerseits müssen die Rechte und Interessen der betroffenen Personen geschützt werden, andererseits gibt es oft berechtigte Ziele, die eine Datenverarbeitung erforderlich machen. Verhältnismäßigkeit bedeutet hier, mit Augenmaß vorzugehen und die Auswirkungen auf alle betroffenen Personen so gering wie möglich zu halten.

Wichtige Aspekte der Verhältnismäßigkeit in der DSGVO

Das Prinzip der Verhältnismäßigkeit spiegelt sich in mehreren Grundsätzen der DSGVO wider:

1. Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO)

Nach dem Prinzip der Datenminimierung dürfen bei der Verarbeitung immer nur so viele Daten erhoben werden, wie wirklich nötig sind, um den vorgesehenen Zweck zu erreichen. Alles, was nicht unbedingt erforderlich ist, hat in der Datensammlung nichts zu suchen. Der Grundgedanke dahinter: Weniger Daten, weniger Risiko.

Lesetipp zum Thema „Datensparsamkeit“:

• Geburtsdatum als Pflichtfeld in Onlineshops: Ist das zulässig?

2. Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO)

Personenbezogene Daten dürfen nur „für festgelegte, eindeutige und legitime“ Zwecke gesammelt und genutzt werden – und dieser Zweck muss den betroffenen Personen klar und transparent kommuniziert werden. Die Daten später für etwas zu verwenden, das nicht zum ursprünglichen Zweck passt, sieht die DSGVO nicht vor.

Werden also beispielsweise Daten für die Anmeldung zu einer Veranstaltung gesammelt, ist es nicht erlaubt, diese später ohne Einwilligung für Werbung oder andere, nicht vorher angekündigte Zwecke zu nutzen.

3. Abwägung der Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)

Wenn personenbezogene Daten auf Grundlage eines berechtigten Interesses des Verantwortlichen verarbeitet werden, muss sorgfältig geprüft werden, ob dieses Interesse nicht die Grundrechte und Freiheiten der betroffenen Person unverhältnismäßig beeinträchtigt. Es geht also darum, zwischen den Interessen des Verantwortlichen und den Schutzrechten der betroffenen Person eine faire Balance zu finden.

4. Technische und organisatorische Maßnahmen (Art. 25 DSGVO)

Der Schutz personenbezogener Daten muss durch geeignete Maßnahmen sichergestellt werden, die den jeweiligen Risiken und dem Schutzbedarf entsprechen. Ziel ist es, die Daten so zu verarbeiten, dass sie vor unbefugtem Zugriff, Missbrauch oder Verlust geschützt sind.

Mögliche Maßnahmen:

1. Datenverschlüsselung: Sensible Daten werden so verschlüsselt, dass sie selbst bei unbefugtem Zugriff nicht lesbar sind.
2. Pseudonymisierung: Die Daten werden so verarbeitet, dass sie nicht mehr direkt einer Person zugeordnet werden können, es sei denn, es liegt zusätzliches Wissen vor.
3. Zugriffsbeschränkungen: Nur autorisierte Personen erhalten Zugang zu den Daten, und dieser Zugang wird auf das notwendige Minimum begrenzt.

Durch diese und ähnliche Maßnahmen wird gewährleistet, dass die Verarbeitung personenbezogener Daten den Anforderungen des Datenschutzes entspricht und die Risiken für die betroffenen Personen auf ein Minimum reduziert werden. Das richtige Maß an Schutz hängt dabei von der Art der Daten und dem potenziellen Risiko ab – je sensibler die Daten, desto höher die Anforderungen.

5. Rechte der betroffenen Person (z. B. Art. 15–21 DSGVO):

Die Rechte betroffener Personen, wie das Recht auf Auskunft oder das Recht auf Löschung, müssen vom Verantwortlichen oder Datenverarbeiter effektiv umgesetzt werden. Dabei ist sicherzustellen, dass der Aufwand zur Erfüllung dieser Rechte in einem angemessenen Verhältnis steht.

Was bedeutet das konkret? Ein Verantwortlicher darf die Umsetzung dieser Rechte nicht mit der Begründung verweigern, dass der Aufwand oder die Kosten zu hoch seien, sofern diese als zumutbar gelten. Selbst wenn die Bearbeitung einer Anfrage zeit- oder ressourcenintensiv ist, steht dies in keinem Verhältnis dazu, die Rechte der betroffenen Personen zu ignorieren.

Beispielsweise:

1. Eine betroffene Person fordert die Löschung ihrer Daten gemäß Art. 17 DSGVO. Der Verantwortliche kann dies nicht ablehnen, nur weil die Daten in mehreren Systemen gelöscht werden müssen.
2. Ebenso kann das Recht auf Auskunft (Art. 15 DSGVO) nicht aus Kostengründen verweigert werden, da die betroffene Person ein berechtigtes Interesse daran hat, zu wissen, welche Daten verarbeitet werden. Das bestätigte auch der Bundesfinanzhof.

Ausgewogener Datenschutz ohne übermäßige Belastung für Unternehmen

Obwohl die DSGVO Unternehmen einiges zum Schutz personenbezogener Daten vorschreibt, verlangt sie dennoch keine unverhältnismäßigen Aufwände. Dies wird in Erwägungsgrund 4 der Datenschutz-Grundverordnung deutlich: „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“

Gleichzeitig spielt sich dieser Ansatz auch in verschiedenen Paragrafen wieder. So etwa in Art. 14 Abs. 5, der regelt, wann die Informationspflicht entfällt. Dort heißt es ausdrücklich, dass die Informationspflicht nicht gilt, wenn „die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde“. Ebenso können Berufsgeheimnisse oder satzungsmäßige Geheimhaltungspflichten schwerer wiegen als die Informationspflicht.

Ähnliche Formulierungen finden sich beispielsweise auch in Art. 19 und Art. 34.

Der risikobasierte Ansatz im Datenschutz

Ein weiterer Mechanismus, um vor unverhältnismäßigen Aufwänden zu schützen ist der sogenannte risikobasierte Ansatz. Demzufolge müssen die technischen und organisatorischen Maßnahmen in einem angemessenen Verhältnis zu den Risiken stehen, die mit der Verarbeitung personenbezogener Daten verbunden sind.

So heißt es sowohl in Art. 25 Abs. 1 DSGVO als auch in Art. 32 Abs. 1 DSGVO, dass bei der Implementierung von Sicherheitsmaßnahmen „der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade der Risiken für die Rechte und Freiheiten natürlicher Personen“ zu berücksichtigen sind.

Folglich verlangt das Gesetz nicht, dass alle theoretisch denkbaren Sicherheitsmaßnahmen getroffen werden, sondern nur, dass die wirtschaftlich zumutbaren und an die Größe, Art und den Umfang ihrer Geschäftstätigkeit angepassten Maßnahmen implementiert werden.

Während ein kleines Café, das lediglich eine einfache Kundendatenbank führt, also geringere Anforderungen erfüllen muss, sieht sich ein globaler Technologiekonzern mit weitaus höheren Verpflichtungen konfrontiert, um den Schutz der betroffenen Personen sicherzustellen.

Überprüfung und Dokumentation der Verhältnismäßigkeit nach DSGVO

Das Prinzip der Verhältnismäßigkeit in der DSGVO fordert Unternehmen demnach dazu auf, eine ausgewogene Balance zwischen Datenschutzanforderungen und Geschäftsinteressen zu finden. Daher ist essenziell, einerseits den Umfang der verarbeiteten Daten kritisch zu betrachten. Andererseits die zu ihrem Schutz getroffenen Maßnahmen zu hinterfragen und anzupassen, um weder die Rechte der betroffenen Personen zu gefährden noch die betrieblichen Interessen unverhältnismäßig einzuschränken.

Doch wie lässt sich das in der Praxis umsetzen?

1. Risikoanalyse durchführen

Art. 32 Abs. 1 DSGVO verlangt, dass Unternehmen eine Bewertung der Risiken vornehmen, die mit der Verarbeitung personenbezogener Daten verbunden sind. Hierbei sollten folgende Faktoren berücksichtigt werden:

• Art, Umfang, Umstände und Zweck der Verarbeitung
• Eintrittswahrscheinlichkeit und Schwere potenzieller Risiken

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ (Art. 35 DSGVO) Oder kurz: Sind die Datenschutzrechte der Betroffenen durch die Verarbeitung potenziell gefährdet, müssen Verantwortliche eine Datenschutz-Folgeabschätzung durchführen.

Lesetipp:

• Datenschutz-Folgenabschätzung bei KI-Systemen
• Schwellwertanalyse: Musterformular
• Die Pflicht zur Risikobewertung und wie sie sich umsetzen lässt

2. Maßnahmen zur Risikominderung definieren

Basierend auf der Risikoanalyse müssen Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen. Dies schließt gemäß Art. 32 Abs. 1 Buchst. a-d DSGVO insbesondere ein:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Systeme
• Regelmäßige Tests und Bewertungen der Maßnahmen

3. Kosten-Nutzen-Verhältnis bewerten

Art. 32 DSGVO erwähnt ausdrücklich, dass bei der Auswahl von Maßnahmen auch die Implementierungskosten zu berücksichtigen sind. Unternehmen müssen abwägen, ob die geplanten Maßnahmen sowohl effektiv als auch wirtschaftlich vertretbar sind.

4. Kontinuierliche Überprüfung der Maßnahmen

Gemäß Art. 32 Abs. 1 Buchst. d DSGVO müssen Unternehmen ihre Maßnahmen regelmäßig testen, bewerten und aktualisieren. Technologische Fortschritte oder Änderungen in der Risikolandschaft können dazu führen, dass bestehende Maßnahmen angepasst werden müssen.

5. Rechenschaftspflicht sicherstellen

Die DSGVO fordert in Art. 5 Abs. 2, dass Unternehmen nachweisen können, dass sie die Anforderungen der Verordnung erfüllen („Rechenschaftspflicht“). Dies bedeutet, dass alle Entscheidungen zur Verhältnismäßigkeit, einschließlich der Abwägung zwischen Datenschutz und wirtschaftlichen Interessen, dokumentiert werden müssen. Dieser Pflicht kommen Unternehmen u.a. durch folgende Dokumente nach:

• Risikobewertungen und Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Protokolle der technischen und organisatorischen Maßnahmen (Art. 30 DSGVO)
• Berichte über regelmäßige Tests und Überprüfungen

Transparenz durch systematische Dokumentation

Die Überprüfung und Dokumentation der Verhältnismäßigkeit nach DSGVO verlangt von Unternehmen, systematisch vorzugehen. Die Einhaltung dieser Anforderungen stellt nicht nur sicher, dass die Daten der betroffenen Personen geschützt sind, sondern reduziert auch das Risiko von Sanktionen im Falle von Prüfungen durch Datenschutzbehörden. Durch die umfassende Dokumentation ihrer Entscheidungen und Maßnahmen können Unternehmen ihre Compliance gemäß den Anforderungen der DSGVO transparent nachweisen.

Natalie Ziebolz