Der Vorsatz der Datenminimierung besagt, dass nur personenbezogene Daten verarbeitet werden sollen, die für den beabsichtigten Zweck der Verarbeitung auch wirklich notwendig sind. Soll eine Kampagne also z. B. nur nach Geschlecht segmentiert werden, sind dazu keine Daten notwendig, über die sich das Alter der Zielgruppe bestimmen lässt.
Hier gibt es zwei Aspekte, die zu beachten sind.
Das Datenmodell: Es sollte möglich sein, die personenbezogenen Daten im genutzten Datenmodell durch Sammlung, Bündelung oder Entfernung von nicht benötigten persönlichen Informationen zu reduzieren. Ein Beispiel wäre das Geburtsdatum als personenbezogenes Merkmal. Für eine Segmentierung nach Alter ist es üblicherweise nicht notwendig, das genaue Geburtsdatum der einzelnen Nutzer zu kennen. Es reicht, die Geburtsdaten zu Altersgruppen zusammenzufassen.
• 01.02.1999 ◊ Unter 20 Jahre
• 12.05.1985 ◊ 30-35 Jahre
• 23.12.1941 ◊ Über 70 Jahre
Für Geburtstagsmailings hingegen werden genauere Angaben zum Geburtstag der Nutzer benötigt, aber auch hier sind Monat und Tag ausreichend. Das Geburtsjahr kann entfernt werden.
• 01.02.1999 ◊ 01.02.
• 12.05.1985 ◊ 12.05.
• 23.12.1941 ◊ 23.12.
Es gilt, das gesamte Datenmodell auf nicht zwingend benötigte Daten zu prüfen und diese ggf. auf den für den Zweck benötigten Umfang zu beschränken.
Speicherzeitraum: Ein weiterer Punkt, der bei der Datensparsamkeit zu beachten ist, ist der Zeitraum, über den die Daten gespeichert werden und die Sicherstellung, dass dieser den Berechtigungen und den zugelassenen Verwendungszwecken für die Datenverarbeitung entspricht. Es gilt, Daten nur über einen Zeitraum zu speichern, der den erhaltenen Berechtigungen auch angemessen ist. Nach Ablauf dieses Zeitraums sind die Daten zu löschen oder ggf. in einem zugriffsbeschränkten Format zu archivieren (siehe Kapitel „Vorhaltezeiten einhalten und Daten sichern“). Strittig ist die Frage, ob und wann Daten gelöscht werden müssen, die nicht genutzt werden, ob Einwilligungen also „verfallen“ können. Ein Beispiel ist ein Nutzer, der ein Opt-In zum E-Mail-Marketing gegeben hat, danach aber für einen sehr langen Zeitraum nicht angeschrieben wurde. Hier gibt es keine klaren rechtlichen Vorgaben. Auch ist dies eher eine wettbewerbsrechtliche als eine datenschutzrechtliche Frage. Empfehlenswert wäre es jedoch, den Datenbestand halbjährlich darauf zu prüfen, ob er noch verwendet wird.

Beschränkung des Datenzugriffs

Es sollte möglich sein, den Datenzugriff auf das Minimum dessen zu beschränken, was für die Datenverarbeitung im Hinblick auf den vereinbarten Verwendungszweck notwendig ist. Für die Umsetzung gibt es drei verschiedene Möglichkeiten, je nachdem wer auf die Daten zugreifen
muss und zu welchem Zweck dies geschieht.

  1. Durch das Herausfiltern der personenbezogenen Daten, bevor diese überhaupt in die Marketing-Datenbank gelangen, also noch während der Schritte in der Datenverwaltung. Siehe auch den Abschnitt zu Pseudonymisierungstechniken ab Seite 20. Dies ist wahrscheinlich die strikteste Methode.
  2. Durch eine Einschränkung des Datenzugriffs über die Nutzerrechte, um den Datenzugriff auf Nutzerebene einzuschränken. Auf diese Weise könnte z. B. ein Administrator alle Informationen sehen, während die Nutzer im Marketing nur die Daten sehen, die für sie freigegeben sind.
  3. Durch eine Definition der erlaubten Nutzung auf der Datenelement-Ebene des Analysesystems, z. B. für jedes Datenelement. Ein Datenelement kann beispielsweise ein Datenfeld sein, in welchem, numerisch oder anhand von Klassen, das Alter der Nutzer erfasst wird. Es gibt drei Arten dieser Einschränkung, die für das Marketing geeignet sind:
    1. Ist das Element auswählbar – soll es für Selektionen zur Verfügung gestellt werden oder nicht?
    2. Ist es darstellbar, kann es also angesehen werden– soll es dem Nutzer als Volltext angezeigt werden, sollte es verschlüsselt sein oder gar nicht sichtbar?
    3. Ist es exportierbar – soll es möglich sein, das Element aus dem Marketingsystem zu exportieren?


Komplexe Kombinationen, die sich daraus ergeben, sind ebenfalls möglich. So könnte ein Datenelement beispielsweise für Marketingnutzer im Rahmen einer Datensatzanzeige oder Blätterfunktion als  auswählbar, aber nicht sichtbar gesetzt werden.
Zugriffsrechte können sowohl auf Datensatzebene vergeben werden (Zeilen in der Analytics-Technologie) als auch auf Merkmalsebene (Spalten in der Analytics-Technologie).
Die abgebildete Tabelle zeigt beispielhaft, wie eine Auflistung von Datensätzen mit verschiedenen Darstellungsbeschränkungen aussehen könnte. Der Vorname wird als Klartext angezeigt. Der Nachname wird verschlüsselt. Die E-Mail-Adresse wird gar nicht angezeigt, da dem Anwender die notwendigen Berechtigungen fehlen.

Datenexport regulieren

Ein möglicher Risikobereich in jedem System, über das auf personenbezogene Daten zugegriffen werden kann, ist die Datenextraktion bzw. der Datenexport. Um sicherzustellen, dass große Mengen an personenbezogenen Daten nicht ohne Berechtigung exportiert werden, wird Folgendes empfohlen:

  1. Es sollten Einschränkungen für den Dateityp eingerichtet werden. Z. B. könnte festgelegt werden, dass personenbezogene Daten nur als CSV-Datei exportiert werden dürfen und gleichzeitig die Verwendung von CSV-Dateien für Mitarbeiter stark eingeschränkt werden (z. B. kein unverschlüsselter Upload möglich). So wird zwar ein unberechtigter Datenexport nicht verhindert, die unberechtigte Weitergabe jedoch erschwert.
  2. Es kann über sogenannte „Geschwindigkeitsbegrenzungen“ eine Maximalanzahl an Datensätzen festgelegt werden, die Anwender in einem bestimmten Zeitraum exportieren dürfen, z. B. an einem Tag oder in einer Woche. Falls z. B. jemand versucht, missbräuchlich den gesamten Datenbestand herunterzuladen, wird er so daran gehindert, ein Administrator wird über den Versuch informiert und kann ggf. weitere Schritte einleiten.
  3. Ebenso sollte die Möglichkeit, Daten zu exportieren, auf die Arbeitszeiten oder auf bestimmte Zeitfenster beschränkt werden.
  4. Der Speicherort von personenbezogenen Daten sollte beschränkt werden. So könnte z. B. verhindert werden, dass ein Anwender personenbezogene Daten lokal auf seinem Rechner speichert.