DS-GVO/BDSG. David Klein
Fraglich ist insbesondere, wann unter rechtlichen Gesichtspunkten bzw. anhand welcher Maßstäbe eine „Identifizierbarkeit“ der Person anzunehmen ist. Hierzu existieren im Ausgangspunkt zwei verschiedene Begründungsansätze: Ein relativer Ansatz stellt maßgeblich darauf ab, ob der für die Datenverarbeitung Verantwortliche anhand der ihm zur Verfügung stehenden Informationen und Mittel einen Personenbezug herstellen kann, während ein absoluter Ansatz es demgegenüber bereits genügen lässt, dass ein Dritter den Personenbezug herstellen könnte.[100]
36
Da weder die DS-GVO noch die ErwG in dieser Hinsicht eine eindeutige Aussage treffen, lässt sich die Frage, welches Verständnis Art. 4 Nr. 1 zugrunde liegt nur im Wege der Auslegung ermitteln: Der Wortlaut des ErwG 26 S. 3 nennt neben dem Verantwortlichen auch „andere Personen“, was für ein weites Begriffsverständnis im Sinne eines absoluten Ansatzes spricht. Einschränkend verlangt ErwG 26 S. 3 aber, dass die Nutzung der Mittel „nach allgemeinem Ermessen wahrscheinlich“ ist. Dies ist bei einem Dritten häufig dann der Fall, wenn dieser die personenbezogenen Daten selbst verarbeitet, so dass der Dritte selbst an der Identifizierung beteiligt sein muss.[101] Darüber hinaus spricht die in ErwG 26 angedeutete Notwendigkeit einer Verhältnismäßigkeitsprüfung für einen relativen Ansatz.
37
Die Art.-29-Datenschutzgruppe geht ebenfalls davon aus, dass eine „rein hypothetische Möglichkeit der Herstellung eines Personenbezugs noch nicht ausreicht, um die Person als bestimmbar anzusehen“[102] und folgt damit ebenfalls einem relativen Verständnis.
38
Unter teleologischen Erwägungen scheint eine absolute Betrachtungsweise darüber hinaus zu der widersprüchlich anmutenden Folge zu führen, dass datenverarbeitende Unternehmen grundsätzlich jegliche Daten als personenbezogen ansehen müssten, wenn es für die Identifizierbarkeit auch unter Umständen auf die (ungewisse) Kenntnis und Mittel Dritter ankäme. Eine derartige Rechtsunsicherheit in der Praxis kann im System des Datenschutzrechts nicht gewollt sein.[103] Denn in der Konsequenz würden die Unterschiede in den Begrifflichkeiten von „identifiziert“ und „identifizierbar“ faktisch eingeebnet und den Wortlaut der Verordnung sinnwidrig erscheinen lassen. Hinzu tritt, dass im Falle eines absoluten Ansatzes faktisch keine anonymisierten Daten mehr existieren könnten, so dass dieses Rechtsinstitut ebenfalls ausgehebelt würde.[104] Ergänzend lässt sich anführen, dass bei einem absoluten Verständnis des Art. 4 Nr. 1 auch rechtswidrig erlangte Kenntnisse und Mittel Dritter in die Betrachtung einbezogen würden.[105]
39
Auch der EuGH folgt in der Rechtssache Breyer gegen BRD[106] einem relativen Verständnis, indem er annimmt, dass „eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein personenbezogenes Datum [ist], soweit ein Internetzugangsanbieter über weitere zusätzliche Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen“. Gegenstand des Verfahrens war die Speicherung von IP-Adressen durch den Betreiber einer Webseite bei deren Aufruf. Der BGH hatte dem EuGH insbesondere die Frage vorgelegt, ob dynamische IP-Adressen ein „personenbezogenes Datum“ seien, wenn der Internetzugangsanbieter über Zusatzwissen verfügt, mit dem eine Identifizierung des Besuchers ermöglicht wird.[107] Schon der Generalanwalt vertrat die Ansicht, dass eine IP-Adresse für den Telemedienanbieter ein personenbezogenes Datum sei, wenn der Internetzugangsanbieter über Zusatzwissen verfüge, um den Besucher der Internetseite zu identifizieren, wobei nur solche als „Dritte“ angesehen werden könnten, an die sich der Telemedienanbieter vernünftigerweise halten könne, um mit vernünftigem Aufwand deren zusätzliche Kenntnisse zu nutzen.[108] Der EuGH ist dem Generalanwalt im Wesentlichen gefolgt, indem er betont, dass eine dynamische IP-Adresse jedenfalls dann als personenbezogenes Datum einzustufen ist, wenn der Webseitenbetreiber über die rechtlichen Mittel verfügt den Besucher der Internetseite mithilfe des Internetzugangsanbieters als Dritten zu bestimmen. Entscheidend ist somit die Perspektive des Verantwortlichen und die Identifizierbarkeit mithin danach zu bemessen, ob das Zusatzwissen Dritter für diesen zugänglich gemacht werden kann.[109]
40
Im Ergebnis ist daher eine vermittelnde Position vorzugswürdig, die eine Identifizierbarkeit maßgeblich von den Kenntnissen, Mitteln und Möglichkeiten des Verantwortlichen abhängig macht, indem dieser die Identifikation mit den ihm zur Verfügung stehenden Mitteln im Rahmen der o.g. Verhältnismäßigkeitserwägungen vornehmen kann.[110] Weil aber bei Licht betrachtet kaum Fälle denkbar sind, in denen man nach der vom EuGH aufgestellten Grundsätze die Personenbeziehbarkeit ablehnen kann, kommt dessen relativer Ansatz einem absoluten faktisch sehr nahe.
41
Auch die Datenethikkommission der Bundesregierung hat zu der Frage des Personenbezugs von Daten in ihrem Abschlussgutachten vom Oktober 2019 Stellung genommen und dabei insbesondere die Notwendigkeit zur Schaffung von mehr Rechtssicherheit betont. Dementsprechend empfiehlt sie die Entwicklung von Fallgruppen, in denen ein Personenbezug anzunehmen ist. Dementsprechend sind für die Annahme eines Personenbezugs das Herausgreifen, die Verknüpfbarkeit sowie eine Inferenz entscheidend.[111] Mit Herausgreifen ist die Möglichkeit gemeint, mithilfe singulärer Merkmale aus einem Datenbestand Datensätze zu einzelnen Personen zu isolieren.[112] Mit Verknüpfbarkeit ist die Möglichkeit gemeint mindestens zwei Datensätze, die dieselbe Person betreffen mithilfe übereinstimmender Werte zu verknüpfen.[113] Inferenz meint die Möglichkeit, den Wert eines Merkmals mit einer signifikanten Wahrscheinlichkeit von den Werten einer Reihe von anderen Merkmalen abzuleiten.[114]
42
Die Empfehlungen der Datenethikkommission bieten für Rechtsanwender eine Möglichkeit die Wahrscheinlichkeit des Vorliegens eines Personenbezugs von Daten anhand von Fallgruppen näher bestimmen und damit Risiken einer Fehleinschätzung minimieren zu können. Insofern liefern die Empfehlungen wichtige Auslegungsparameter für Schaffung von mehr Rechtssicherheit.
d) Anonyme Daten
43
Aus ErwG 26 S. 5 folgt, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann, gelten. Folglich bilden laut den Vorgaben der Verordnung das personenbezogene Datum und das anonyme Datum Gegensätze. In der Folge fallen anonymisierte Daten – anders als pseudonymisierte – aus dem Anwendungsbereich der DS-GVO heraus.[115] Ob eine Person nicht mehr identifiziert werden kann, richtet sich nach den in ErwG 26 S. 3 und 4 aufgeführten Maßstäben[116]. Hinsichtlich der Frage, welche technischen Vorgaben an eine Anonymisierung zu stellen sind, trifft die DS-GVO auch in ErwG 26 keine Aussage. Es kommen sowohl das Aggregieren von Daten, als auch eine absolute, faktische oder formale Anonymisierung etwa durch das vollkommene Verschlüsseln von Daten oder das bloße Weglassen von Informationen, so dass eine Identifizierbarkeit ausscheidet, in Betracht.[117]
e) Einzelbeispiele
44
Wie dargelegt, stellen dynamische IP-Adressen für den Internetzugangsanbieter personenbezogene Daten dar. Für den Betreiber einer Webseite gilt dies, wenn dieser über die rechtlichen Mittel verfügt, um eine Identifikation der betroffenen Person vorzunehmen, etwa weil er vernünftigerweise über die Mittel verfügt an die Daten zu gelangen (vgl. dazu die Kommentierung in diesem Kapitel unter Rn. 34).
45
Lichtbilder