DSGVO - BDSG - TTDSG. Группа авторов
zur „bloßen Einhaltung dieser Verordnung“ durch den Verantwortlichen nicht zu verarbeiten sind. Damit wird insgesamt auf die Pflichten und Rechte der DSGVO verwiesen, insbesondere die Betroffenenrechte nach Art. 12ff. DSGVO.9
12
Allerdings beschränkt sich dies nicht allein auf die Betroffenenrechte. Eine fehlende Identifizierbarkeit kann sich beispielsweise auch auf gewisse Nachweispflichten im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten sowie die Dokumentationspflichten beziehen. Eine Erstreckung auf alle Regelungen der DSGVO, wie von Weichert angedeutet, würde jedoch zu weit gehen.10 Grundsätzlich sind sinnvoller Weise allein solche Pflichten des Verantwortlichen erfasst, für deren Erfüllung die Identifizierung des Betroffenen konkret notwendig ist. Dies betrifft primär die Betroffenenrechte aus Art. 15 bis 22 DSGVO sowie die Benachrichtigungspflicht im Falle einer schwerwiegenden Datenschutzverletzung aus Art. 34 DSGVO. Unter Umständen kann sich dies jedoch auch auf die Informationspflichten aus Art. 13 und 14 DSGVO erstrecken (dazu näher unten Rn. 24). Der Verantwortliche ist nicht verpflichtet, zur bloßen Einhaltung einer Vorschrift der DSGVO, die die Identifikation eines Betroffenen voraussetzt, zusätzliche Informationen Betroffener einzuholen (ErwG 57). Für eine darüber hinausgehende Anwendung dieser Regelung, wie von Weichert gefordert, besteht kein Bedarf.
b) Fehlende Identifizierbarkeit
13
Abs. 1 setzt voraus, dass der Verantwortliche personenbezogene Daten verarbeitet und eine Identifizierung Betroffener nicht oder nicht mehr erforderlich ist. Dies ist beispielsweise der Fall, wenn personenbezogene Daten ursprünglich in nicht pseudonymisierter Form erhoben wurden, für die weitere Verarbeitung jedoch pseudonymisierte Daten ausreichend sind. Hierbei ist zu beachten, dass Art. 11 DSGVO im Falle pseudonymisierter Daten allein dann Anwendung findet, wenn der Verantwortliche selbst nicht über den Pseudonymisierungsschlüssel verfügt.11
14
Zur Herstellung der Identifizierbarkeit ist es grundsätzlich nicht zwingend nötig, über die klassischen Identifizierungsdaten wie Name, Adresse oder Geburtsdatum zu verfügen. Gerade für Online-Dienste kann die Nennung eines Benutzernamens oder weiterer Identifizierungsmerkmale wie User- oder mitunter sogar die Geräte-IDs ausreichend sein. Hierbei ist jedoch zu beachten, dass eine fehlende Identifizierbarkeit nicht angenommen werden kann, wenn der Verantwortliche zwar nicht über die notwendigen Informationen zur Identifizierung verfügt, diese aber ohne größeren Aufwand einholen könnte, beispielsweise, weil die Informationen öffentlich einsehbar im Internet zu finden sind.12 Sofern eine verantwortliche Stelle jedoch selbst mit einem gewissen technischen Aufwand Informationen nicht mehr einer konkreten Person zuordnen können, fehlt es an der Identifizierbarkeit.
15
Klassische Anwendungsfälle, bei denen der Verantwortliche nicht darauf angewiesen ist, den Betroffenen zu identifizieren und dies in der Regel auch nicht kann, sind beispielsweise Hinweisgebersysteme im Compliance-Bereich, bei denen bewusst auf eine Re-Identifizierbarkeit des Hinweisgebers verzichtet wird,13 die Einrichtung einer Whistleblowing-Hotline innerhalb eines Unternehmens, die automatische Erfassung von Kraftfahrzeugkennzeichen in Parkhäusern,14 das Anlegen großer Datenpools zum Zwecke des Ausspielens personalisierter Werbung, bei denen der Betroffene nicht konkret identifiziert werden kann, sondern allein Interessen zu einer Identifikationsnummer hinzugespeichert werden,15 die Auswertung von Markt- und Meinungsforschungsumfragen,16 die Anfertigung von Bildaufnahmen von großen Menschenmengen beispielsweise im Rahmen von Konzerten, Festivals oder öffentlichen Inszenierungen17 oder die Aufnahme von Bildmaterial für Geoinformationsdienste wie Google Streetview.18 Hierbei gilt es jedoch stets im Einzelfall zu prüfen, inwiefern die betroffenen Personen tatsächlich, selbst mit einem gewissen technischen Aufwand, nicht identifiziert werden können. Dies mag insbesondere im Bereich der personalisierten Werbung für solche (AD-)IDs zweifelhaft sein, die mehrfach und oft von verschiedenen Anbietern und Werbenden verwendet werden.
c) Rechtsfolge
16
Ist eine Identifizierung des Betroffenen für die Verarbeitung nicht (mehr) erforderlich, so ist der Verantwortliche grundsätzlich nicht verpflichtet, zur bloßen Einhaltung der DSGVO zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die Identifizierbarkeit aufrechtzuerhalten oder wiederherzustellen. Dies geht Hand in Hand mit dem Grundsatz der Datenminimierung, wonach personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Die Einhaltung der Betroffenenrechte soll demnach nicht der alleinige Zweck für das Vorhalten personenbezogener Daten sein.19
3. Regelungsgehalt von Abs. 2
a) Nachweis der fehlenden Identifizierbarkeit
17
Sofern die Voraussetzungen des Abs. 1 erfüllt sind, d.h. der Verantwortliche nicht mehr in der Lage ist, die betroffene Person zu identifizieren, hat er dies der betroffenen Person, sofern möglich, mitzuteilen. Maßgeblich ist, dass der Verantwortliche nachweisen kann, dass er aufgrund seines Wissen oder der ihm zur Verfügung stehenden Informationen nicht in der Lage ist, Einzelangaben einer bestimmten Person zuzuordnen.20
18
Unklar ist, inwiefern ein solcher Nachweis der fehlenden Identifizierbarkeit durch den Verantwortlichen zu erbringen ist. Denkbar wäre, den betroffenen Personen mitzuteilen, welche Kategorien von Daten konkret verarbeitet werden, um belegen zu können, dass die verarbeiteten Datenkategorien die Identifikation einer Person unmöglich machen. Im Falle einer vorangegangenen Anonymisierung personenbezogener Daten könnte auch die Beschreibung des Anonymisierungsverfahrens und damit verbunden die Erklärung, warum die Daten nicht de-anonymisiert werden können, ausreichen.21 Hierbei ist jedoch zu beachten, dass der Nachweis der fehlenden Identifizierbarkeit durch die Aufsichtsbehörde oder im Rechtswege überprüft werden kann.22
19
Ferner sollte davon abgesehen werden, betroffenen Personen die verarbeiteten personenbezogenen Daten pauschal als Nachweis der fehlenden Identifizierbarkeit mitzuteilen, da dies mitunter eine Verletzung des Schutzes personenbezogener Daten darstellen kann.
b) Unterrichtungspflicht
20
Die Unterrichtungspflicht des Betroffenen erscheint angesichts der fehlenden Identifizierbarkeit des Betroffenen zunächst widersinnig.23 Die Regelung erhält jedoch die Einschränkung, dass die Unterrichtung nur zu erfolgen hat, sofern dies tatsächlich möglich ist. Einer der Hauptanwendungsfälle wird daher sein, dass sich Betroffene von selbst an den Verantwortlichen wenden, um ihre Betroffenenrechte geltend zu machen. In diesen Fällen kann der Verantwortliche den betroffenen Personen im Rahmen des gewählten Kommunikationsmittels leicht mitteilen, dass eine Zuordnung der Informationen zu einer bestimmten Person nicht möglich ist.
c) Rechtsfolge
21
Der Verantwortliche, der erfolgreich den Nachweis der fehlenden Identifizierbarkeit erbracht hat, ist nicht zur Beachtung der Betroffenenrechte aus Art. 15 bis 20 DSGVO verpflichtet. Diese Ausnahme wird von Art. 12 Abs. 2 Satz 2 DSGVO aufgegriffen und auf die Art. 21 bis 22 DSGVO erweitert. Sofern der Verantwortliche glaubhaft macht, nicht in der Lage zu sein, die verarbeiteten Informationen einer betroffenen Person zuzuordnen, muss er das Widerspruchsrecht aus Art. 21 DSGVO sowie das Recht aus Art. 22 DSGVO, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, nicht beachten. In diesen Fällen kommt dem Verantwortlichen dementsprechend ein Verweigerungsrecht