Bundesamt für Sicherheit in der Informationstechnik

G 2.165 Fehlende oder unzureichende Datenvermeidung und Datensparsamkeit bei der Verarbeitung personenbezogener Daten

Datenvermeidung und Datensparsamkeit sind Grundanforderungen, die bei der Bestimmung der zu erhebenden, verarbeitenden oder zu nutzenden Daten nach Art, Umfang und Dauer zu beachten sind. Sie sind gleichzeitig auch Vorgaben für die technische Gestaltung und ihre Auswahl. Eine Verletzung diese Grundsatzes kann unter Anderem eintreten durch:

  • Erhebung von mehr Daten, als für den Verarbeitungszweck benötigt werden (z. B. mehr als zwei Kommunikationsadressen wie postalische Adresse, Telefonnummer und E-Mailadresse für Vertragszwecke).
  • Verarbeitung von Daten in größerer Detaillierung als benötigt (z. B. Verarbeitung von Geburtsdatum oder Kreditkartennummer, wenn nur die Bestätigung eines Alters von mehr als 18 Jahren benötigt wird).
  • Verarbeitung und Speicherung von personenbezogenen Daten über einen längeren Zeitraum als dies für den Verwendungszweck notwendig ist (z. B. Sicherheitsanalysen von Protokolldateien einer Firewall).

Von den Möglichkeiten der Anonymisierung und Pseudonymisierung ist wann immer möglich Gebrauch zu machen.

Stand: 9. EL Stand 2007