Erforderlichkeit und Datensparsamkeit

Die Datenverarbeitung ist auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Daraus folgt, dass personenbezogene Daten auch in Teilen zu löschen sind, sobald der Zweck für den sie erhoben wurden, nicht mehr besteht bzw. sie für den Zweck nicht mehr benötigt werden. In einigen Fällen sind spezielle gesetzliche Aufbewahrungsfristen zu beachten. Ggf. sind die Daten auch zu sperren (Speicherverpflichtung aus anderen Gründen). Zu beachten sind ferner die gesetzlichen Archivierungspflichten.

In allen Zusammenhängen in denen personenbezogene Daten verarbeitet werden, gilt das Gebot der Datensparsamkeit bzw. Datenvermeidung. Da das Hamburgische Datenschutzgesetz in diesem Zusammenhang keine explizite Aussage macht, sei an dieser Stelle das Bundesdatenschutzgesetz genannt: § 3a BDSG „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Beispiele: Statt der Verarbeitung von Vor- und Nachnamen sowie Geburtsdatum wird mit einer pseudonymen ID gearbeitet. Statt mit personenbezogenen Einzeldaten wird eine Statistik mit aggregierten Daten erstellt.

Handlungsgrundsatz: Immer wenn innerhalb Hamburger Hochschulen ein neues Verfahren implementiert werden soll, dass personenbezogene Daten verarbeitet, ist zu prüfen, ob die Daten zur Anwendung des Verfahrens tatsächlich benötigt werden. Weiterhin ist der/die behördliche Datenschutzbeauftragte von Projektbeginn an am Verfahren zu beteiligen.