15.01.2024

Verhältnismäßigkeit: Das bedeutet der Grundsatz in der DSGVO

Die Maßnahmen im Datenschutz müssen laut DSGVO verhältnismäßig sein. Dabei ist es wichtig zu wissen, wie sich die Verhältnismäßigkeit bewerten lässt.

Verhältnismäßigkeit: Das bedeutet der Grundsatz in der DSGVO

Was sagen Unternehmen über den Aufwand im Datenschutz?

50 Prozent der Unternehmen geben an, dass sie seit der Einführung der Datenschutz-Grundverordnung (DSGVO) mehr Aufwand haben – und dieser auch künftig bestehen bleiben wird, so eine Umfrage

des Digitalverbands Bitkom. Ein weiteres Drittel (33 Prozent) geht sogar davon aus, dass der Aufwand weiter steigen wird. Nur  zwölf Prozent erwarten, dass ihr gestiegener Aufwand langsam wieder sinkt, lediglich zwei Prozent sagen, sie hätten seit der Einführung der DSGVO keinen erhöhten Aufwand.

Entsprechend haben viele Unternehmen das Gefühl, der Aufwand für den Datenschutz sei einfach zu hoch, er sei unverhältnismäßig. Doch es gibt im Datenschutz den Grundsatz der Verhältnismäßigkeit – den man nicht nur kennen, sondern auch anwenden sollte.

Was versteht man unter der Verhältnismäßigkeit?

Allgemein stellt sich im rechtlichen Bereich oftmals die Frage, ob eine Maßnahme verhältnismäßig sei. Im Datenschutz ist dies auch so. So sagen die Erwägungsgründe zur DSGVO, dass nach dem Grundsatz der Verhältnismäßigkeit die DSGVO nicht über die Maßnahmen hinausgeht, die für die Verwirklichung des Ziels erforderlich sind.

WICHTIG

Der Datenschutz verlangt also nicht mehr, als für den Schutz personenbezogener Daten notwendig ist.

Doch was bedeutet das konkret? Woher wissen Sie, ob eine Maßnahme verhältnismäßig ist, Sie den Grundsatz der Verhältnismäßigkeit also einhalten?

Was sagen Aufsichtsbehörden zur Verhältnismäßigkeit?

Von den Aufsichtsbehörden für den Datenschutz hat sich beispielsweise der Europäische Datenschutzbeauftragte geäußert. Er erklärt zum Beispiel sinngemäß, dass Verhältnismäßigkeit dazu verpflichtet, ein ausgewogenes Verhältnis zwischen den eingesetzten Mitteln und dem beabsichtigten Ziel zu schaffen. Im Zusammenhang mit den Grundrechten – etwa dem Recht auf Schutz personenbezogener Daten – spiele die Verhältnismäßigkeit eine entscheidende Rolle bei jeglicher Beschränkung dieser Rechte.

Eine Vorbedingung sei, dass die Maßnahme angemessen ist, um das angestrebte Ziel zu erreichen. Ferner dürften nach dem Grundsatz der Verhältnismäßigkeit bei der Beurteilung der Verarbeitung personenbezogener Daten nur die personenbezogenen Daten gesammelt und verarbeitet werden, die für die Zwecke der Verarbeitung angemessen und erheblich sind.

Mit Blick auf zu ergreifende Maßnahmen für die Datensicherheit nennt die Datenschutzaufsicht von Sachsen-Anhalt ein Beispiel für Verhältnismäßigkeit: So kann bei entsprechender Rechtsgrundlage die Verarbeitung biometrischer Daten für den Zutritt ins Kraftwerk verhältnismäßig sein, nicht aber für die Zeiterfassung der Arztpraxis.

Wie lässt sich die Verhältnismäßigkeit prüfen?

Geht es darum, ob der Grundsatz der Verhältnismäßigkeit eingehalten ist, ob also der Datenschutz unverhältnismäßige Maßnahmen verlangt oder nicht, oder aber der Datenschutz unverhältnismäßig eingeschränkt wird oder nicht, gilt es, zuerst die geplanten Mittel, die eingesetzt werden sollen, mit dem Zweck abzugleichen.

Soll beispielsweise die Sicherheit der Verarbeitung der personenbezogenen Daten gewährleistet sein, dürfen also etwa keine unbefugten Zugriffe möglich sein, dann stellt sich die Frage nach dem Schutzbedarf. Denn die Sicherheitsmaßnahmen müssen nicht stärker sein als es notwendig ist, um die Schutzziele zu erreichen.

PRAXIS-TIPP

Entsprechend lässt sich sagen: Die Datensicherheit muss nicht höher sein als es der Schutzbedarf erfordert. Ein Datenschutzbeauftragter muss also bei personenbezogenen Daten, die einen geringen Schutzbedarf haben, nicht automatisch und immer eine Mehr-Faktor-Authentifizierung (MFA) fordern, um ein extremes Beispiel der Datensicherheit zu nennen.

Der Zweck heiligt nicht alle Mittel

Verhältnismäßigkeit bestimmt sich nicht nur danach, ob die Mittel zur Zielerreichung angemessen und erforderlich sind. Auch der Zweck selbst muss legitim sein. Wer eine verbotene Totalüberwachung machen wollte, müsste dafür sehr starke Sicherheitsmaßnahmen einsetzen – deswegen ist aber der Zweck noch lange nicht legitim.

Auch dürfen Verantwortliche nicht die Angemessenheit und Erforderlichkeit der Mittel dadurch verändern, indem sie die Zweckbindung missachten. Der neue Zweck könnte sonst tatsächlich unerlaubt „alle Mittel heiligen“.

Geeignet und so mild wie möglich

Zudem muss sich jeder fragen, ob denn die Mittel überhaupt geeignet sind, um die Ziele zu erreichen. Maßnahmen, die nichts für das Ziel bringen, dürfen Verantwortliche auch nicht einsetzen. Sie sind nicht erforderlich, da sie ungeeignet sind.

Gibt es mehrere Mittel, um ein Ziel im Datenschutz zu erreichen, die zudem alle geeignet sind, gilt es zu prüfen, welches die geringsten Auswirkungen auf die Privatsphäre der betroffenen Personen hat. Für viele Zwecke ist etwa eine Videoüberwachung gar nicht nötig. Es gibt mildere Mittel, je nach Schutzzweck. Nur wenn ein Unternehmen das mildeste Mittel nutzt, ist der Grundsatz der Verhältnismäßigkeit gewahrt.

Das sollten die Kritiker des Datenschutzes stärker berücksichtigen. Denn der Datenschutz verlangt nichts, das unverhältnismäßig wäre, im Gegenteil.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)