Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
13. Juni 2022

Verhältnismäßigkeit: Das bedeutet der Grundsatz in der DSGVO

Die DSGVO fordert von den Verantwortlichen, den Grundsatz der Verhältnismäßigkeit zu beachten. Eine Videoüberwachung am Arbeitsplatz dürfte selten dazu gehören.
Bild: iStock.com / onurdongel
4,00 (4)
Inhalte in diesem Beitrag
Grundsätze der DSGVO
Die Maßnahmen im Datenschutz müssen laut DSGVO verhältnismäßig sein. Dabei ist es wichtig zu wissen, wie sich die Verhältnismäßigkeit bewerten lässt.

Unternehmen klagen über Aufwand im Datenschutz

4 von 10 (42 Prozent) Unternehmen geben an, dass sie seit der Einführung der Datenschutz-Grundverordnung (DSGVO) mehr Aufwand haben – und dieser auch künftig bestehen bleiben wird, so eine Umfrage des Digitalverbands Bitkom. Ein weiteres Drittel (32 Prozent) geht sogar davon aus, dass der Aufwand weiter steigen wird. Nur 19 Prozent erwarten, dass ihr gestiegener Aufwand langsam wieder sinkt, sechs Prozent haben inzwischen keinen erhöhten Aufwand mehr.

Entsprechend haben viele Unternehmen das Gefühl, der Aufwand für den Datenschutz sei einfach zu hoch, er sei unverhältnismäßig. Doch es gibt im Datenschutz den Grundsatz der Verhältnismäßigkeit – den man nicht nur kennen, sondern auch anwenden sollte.

Die Frage nach der Verhältnismäßigkeit

Allgemein stellt sich im rechtlichen Bereich oftmals die Frage, ob eine Maßnahme verhältnismäßig sei. Im Datenschutz ist dies auch so. So sagen die Erwägungsgründe zur DSGVO, dass nach dem Grundsatz der Verhältnismäßigkeit die DSGVO nicht über die Maßnahmen hinausgeht, die für die Verwirklichung des Ziels erforderlich sind.

Wichtig
Der Datenschutz verlangt also nicht mehr, als für den Schutz personenbezogener Daten notwendig ist.

Doch was bedeutet das konkret? Woher wissen Sie, ob eine Maßnahme verhältnismäßig ist, Sie den Grundsatz der Verhältnismäßigkeit also einhalten?

Was Aufsichtsbehörden zur Verhältnismäßigkeit sagen

Von den Aufsichtsbehörden für den Datenschutz hat sich beispielsweise der Europäische Datenschutzbeauftragte geäußert. Er erklärt zum Beispiel sinngemäß, dass Verhältnismäßigkeit dazu verpflichtet, ein ausgewogenes Verhältnis zwischen den eingesetzten Mitteln und dem beabsichtigten Ziel zu schaffen. Im Zusammenhang mit den Grundrechten – etwa dem Recht auf Schutz personenbezogener Daten – spiele die Verhältnismäßigkeit eine entscheidende Rolle bei jeglicher Beschränkung dieser Rechte.

Eine Vorbedingung sei, dass die Maßnahme angemessen ist, um das angestrebte Ziel zu erreichen. Ferner dürften nach dem Grundsatz der Verhältnismäßigkeit bei der Beurteilung der Verarbeitung personenbezogener Daten nur die personenbezogenen Daten gesammelt und verarbeitet werden, die für die Zwecke der Verarbeitung angemessen und erheblich sind.

Wie sich die Verhältnismäßigkeit prüfen lässt

Geht es darum, ob der Grundsatz der Verhältnismäßigkeit eingehalten ist, ob also der Datenschutz unverhältnismäßige Maßnahmen verlangt oder nicht, oder aber der Datenschutz unverhältnismäßig eingeschränkt wird oder nicht, gilt es, zuerst die geplanten Mittel, die eingesetzt werden sollen, mit dem Zweck abzugleichen.

Soll beispielsweise die Sicherheit der Verarbeitung der personenbezogenen Daten gewährleistet sein, dürfen also etwa keine unbefugten Zugriffe möglich sein, dann stellt sich die Frage nach dem Schutzbedarf. Denn die Sicherheitsmaßnahmen müssen nicht stärker sein als es notwendig ist, um die Schutzziele zu erreichen.

Praxis-Tipp
Entsprechend lässt sich sagen: Die Datensicherheit muss nicht höher sein als es der Schutzbedarf erfordert. Ein Datenschutzbeauftragter muss also bei personenbezogenen Daten, die einen geringen Schutzbedarf haben, nicht automatisch und immer eine Mehr-Faktor-Authentifizierung (MFA) fordern, um ein extremes Beispiel der Datensicherheit zu nennen.

Der Zweck heiligt nicht alle Mittel

Verhältnismäßigkeit bestimmt sich nicht nur danach, ob die Mittel zur Zielerreichung angemessen und erforderlich sind. Auch der Zweck selbst muss legitim sein. Wer eine verbotene Totalüberwachung machen wollte, müsste dafür sehr starke Sicherheitsmaßnahmen einsetzen – deswegen ist aber der Zweck noch lange nicht legitim.

Auch dürfen Verantwortliche nicht die Angemessenheit und Erforderlichkeit der Mittel dadurch verändern, indem sie die Zweckbindung missachten. Der neue Zweck könnte sonst tatsächlich unerlaubt „alle Mittel heiligen“.

Geeignet und so mild wie möglich

Zudem muss sich jeder fragen, ob denn die Mittel überhaupt geeignet sind, um die Ziele zu erreichen. Maßnahmen, die nichts für das Ziel bringen, dürfen Verantwortliche auch nicht einsetzen. Sie sind nicht erforderlich, da sie ungeeignet sind.

Gibt es mehrere Mittel, um ein Ziel im Datenschutz zu erreichen, die zudem alle geeignet sind, gilt es zu prüfen, welches die geringsten Auswirkungen auf die Privatsphäre der betroffenen Personen hat. Für viele Zwecke ist etwa eine Videoüberwachung gar nicht nötig. Es gibt mildere Mittel, je nach Schutzzweck. Nur wenn ein Unternehmen das mildeste Mittel nutzt, ist der Grundsatz der Verhältnismäßigkeit gewahrt.

Das sollten die Kritiker des Datenschutzes stärker berücksichtigen. Denn der Datenschutz verlangt nichts, das unverhältnismäßig wäre, im Gegenteil.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.