Datenminimierung ist ein Grundsatz der DSGVO (Art. 5 Abs. 1 lit. c): Personenbezogene Daten dürfen nur erhoben werden, wenn sie für den jeweiligen Verarbeitungszweck tatsächlich erforderlich sind. “So viel wie nötig, so wenig wie möglich” fasst das Prinzip zusammen.
In der Praxis bedeutet das: Formulare enthalten nur Pflichtfelder, Protokolldateien werden pseudonymisiert, und Aufbewahrungsfristen sorgen dafür, dass nicht mehr benötigte Daten gelöscht werden. Datenminimierung reduziert Angriffsfläche und Haftungsrisiko gleichzeitig. Im ISMS gehört sie zu den organisatorischen Maßnahmen, die sowohl Datenschutz als auch Informationssicherheit stärken.