DS-GVO/BDSG. David Klein
lässt diese Frage offen.[84] Da aber im Fokus der DS-GVO insbesondere die Betroffenenrechte stehen, deren Ausübung nur durch einen bereits lebenden im Sinne von geborenen Menschen erfolgen kann, liegt – unabhängig von der Frage der fehlenden Rechtssubjektivität – die Annahme nahe, dass Daten ungeborener Kinder noch keinen Personenbezug aufweisen.[85]
a) Information
26
Ausweislich des Normtextes des Art. 4 Nr. 1 umfasst der Begriff der personenbezogenen Daten auf den ersten Blick „alle Informationen“. Voraussetzung ist dabei, dass diese Informationen Personenbezug aufweisen. Insoweit ist der Begriff grundsätzlich weit zu verstehen und erfasst sowohl persönliche Informationen wie etwa den Namen oder die Anschrift, als auch äußere Merkmale wie Geschlecht, Größe oder Gewicht. Darüber hinaus zählen hierzu auch weitere Informationen wie etwa Meinungen, Vermögensverhältnisse oder bestehende vertragliche Beziehungen.[86]
27
Unerheblich ist demgegenüber in welcher Form die Informationen verkörpert oder ausgestaltet sind. Sie können in jedem Format oder auf jedem Datenträger verkörpert und auf beliebigen Datenträgern gespeichert und abrufbar sein.[87]
28
Unklar ist, ob die Information eine persönlichkeitsrechtliche Implikation aufweisen muss, also ob der Datenschutz ausschließlich an das personenbezogene Datum anknüpft oder auch andere Schutzgüter wie das Persönlichkeitsrecht maßgeblich sind. In diesem Zusammenhang betonen manche[88], dass eine Entpersonalisierung des Datenschutzes drohe, wenn dieser ausschließlich an das Datum als solches anknüpfe, während andere[89] mit Blick auf die Rechtsprechung des BVerfG[90] davon ausgehen, dass es im Rahmen einer automatisierten Datenverarbeitung grundsätzlich kein „unerhebliches“, weil nicht personenbezogenes Datum geben könne.
b) Personenbezug der Information
29
Der Wortlaut des Art. 4 Nr. 1 besagt, dass sich die Information auf eine natürliche Person beziehen muss. Der Personenbezug macht die Person somit zur „betroffenen“ Person und eröffnet ihr die Betroffenenrechte der DS-GVO. Aus dem Wortlaut der Verordnung ergibt sich darüber hinaus zum einen, dass der Personenbezug ein eigenständiges Tatbestandsmerkmal darstellt, dass unabhängig von einer Identifizierung bzw. Identifizierbarkeit zu prüfen ist, sowie, dass ein nicht-personenbezogenes Datum nicht dem Anwendungsbereich der DS-GVO unterfällt.[91]
30
Keinen Personenbezug weisen demzufolge Sachdaten auf, wie z.B. die Aussage „Der Kölner Dom ist rund 157 Meter hoch“. Andererseits ist stets zu beachten, dass auch bei Sachdaten ein Personenbezug angelegt sein kann. Dies ist bspw. bei Anruflisten der Fall, weil diese Daten (Telefonnummer, Anrufzeit) Informationen über die beteiligten Personen, wie etwa deren Privatleben, soziale Beziehungen oder unter Umständen sogar den Wohnort, enthalten.[92] Grundsätzlich muss die Abgrenzung zwischen einem Sachdatum und einem personenbezogenen Datum einem kontextbezogenen Ansatz folgen: So hat die Art.-29-Datenschutzgruppe festgestellt, dass ein personenbezogenes Datum dann vorliegen kann, wenn in dem Datum ein „Inhaltselement“ („dann vorhanden, wenn (…) Informationen über eine bestimmte Person gegeben werden, und zwar unabhängig vom Zweck aufseiten des für die Verarbeitung Verantwortlichen oder eines Dritten oder von den Auswirkungen dieser Information auf die betroffene Person“), ein „Zweckelement“ („gegeben, wenn die Daten unter Berücksichtigung aller Begleitumstände mit dem Zweck verwendet werden bzw. verwendet werden könnten, eine Person zu beurteilen, in einer bestimmten Weise zu behandeln oder ihre Stellung oder ihr Verhalten zu beeinflussen“) oder ein „Ergebniselement“ (dann gegeben, wenn „ihre Verwendung unter Berücksichtigung aller jeweiligen Begleitumstände auf die Rechte und Interessen einer bestimmten Person auswirken könnte“) vorhanden ist.[93] Grenzfälle ergeben sich in datenschutzrechtlicher Hinsicht insbesondere bei Wearables, wo tragbare und an das Internet angeschlossene Computersysteme Daten, wie Laufwege einer Person, generieren.[94] Insofern ist stets sorgsam zu prüfen, ob einem Datum ein Personenbezug innewohnt. Faktisch wird es im Ergebnis nur wenige Daten geben, die sich einer Auswertung mit Blick auf den Personenbezug entziehen. Auch der durch einen Regensensor ohne menschliches Zutun in Gang gesetzte Scheibenwischer eines Fahrzeugs lässt Rückschlüsse über die vom Fahrer bestimmte Fahrstrecke zu, die durch den Regen geführt hat. Im Zeitalter des Internet of Things und Internet of Services werden darüber hinaus vermehrt Datenzugangsdebatten jenseits des Personenbezugs geführt.[95] Hierbei geht es insbesondere um die Frage, wie eine datenwirtschaftliche Wertschöpfung von nicht-personenbezogenen Daten (etwa Maschinendaten) im Rahmen digitaler Geschäftsmodelle gefördert werden kann, um auch die Potenziale nicht-personenbezogener Daten für Wissenschaft, Wirtschaft und Gesellschaft nutzbar zu machen. Konkrete Vorschläge und Handlungsempfehlungen finden sich dazu insbesondere im Gutachten der Datenethikkommission der Bundesregierung, die ihren Abschlussbericht im Oktober 2019 vorlegte.[96]
c) Identifizierte oder identifizierbare Person
31
Die Information muss sich nach Art. 4 Nr. 1 auf eine „identifizierte oder identifizierbare“ Person beziehen. Für die rechtliche Beurteilung ist es im Rahmen von Art. 4 Nr. 1 ohne Belang unter welchen Begriff sich ein Tatbestand subsumieren lässt. Während die DS-GVO den Begriff der identifizierbaren Person ausführt, wird der Begriff der identifizierten Person nicht näher erläutert.
32
Grundsätzlich ist daher davon auszugehen, dass eine Person dann i.S.d. Art. 4 Nr. 1 identifiziert ist, wenn ohne Schwierigkeiten die Identität der Person aus der Information selbst ermittelt werden kann, etwa weil der Name oder die Anschrift bekannt sind. Insgesamt kann eine Person daher dann als identifiziert gelten, wenn keine zusätzlichen Informationen mehr notwendig sind, um die Person zu identifizieren.[97]
33
Hinsichtlich der Frage, wann eine Person als identifizierbar einzustufen ist, äußert sich die DS-GVO in Art. 4 Nr. 1 demgegenüber ausdrücklich: Dies ist dann der Fall, wenn die Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Entscheidend für das Merkmal einer Identifizierbarkeit ist somit, dass eine vorhandene Information als solche für eine Identifizierung nicht ausreicht, sondern diese vielmehr erst durch die Zuhilfenahme und Verknüpfung mehrerer Informationen miteinander ermöglicht wird.[98]
34
Um festzustellen, ob eine Person identifizierbar ist, sind laut ErwG 26 S. 3 alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei diesen Mitteln sind nach ErwG 26 S. 4 alle Faktoren, wie Kosten und Zeitaufwand der Identifizierung sowie verfügbare Technologien und technologische Entwicklungen zu berücksichtigen, wobei dieser Katalog nicht abschließend ist. Daraus folgt, dass nach den Vorgaben der DS-GVO eine Abwägung erforderlich ist, bei der die Erfolgsaussichten