DSGVO - BDSG - TTDSG. Группа авторов
finanziellen Situation einer Ein-Mann-GmbH auch Rückschlüsse auf den einzigen Gesellschafter gezogen werden.30 Dies droht generell, wenn der Name der juristischen Person den Namen einer natürlichen Person enthält bzw. sich dieser davon ableiten lässt.31 Auch bei Informationen über E-Mail-Adressen, die ihren Inhaber zwar nicht namentlich ausweisen, jedoch regelmäßig vom gleichen Mitarbeiter verwaltet werden, oder Aussagen über Kleinbetriebe, die in Zusammenhang mit dem Verhalten ihres jeweiligen Eigentümers stehen, ist ein entsprechendes Durchschlagen auf die dahinterstehende natürliche Person möglich.32
bb) Verstorbene/Ungeborene
18
Ebenfalls nicht in den Schutzbereich der DSGVO fallen Daten, die sich ausschließlich auf Verstorbene beziehen.33 Hier besteht allerdings ebenfalls das Problem, dass ein Datum über einen Verstorbenen auf eine andere natürliche Person durchschlägt, z.B. auf Angehörige bezüglich Erbkrankheiten.34
19
In ErwG 27 Satz 2 findet sich eine Öffnungsklausel für die Mitgliedstaaten, um den datenschutzrechtlichen Anwendungsbereich auf mitgliedstaatlicher Ebene auch auf personenbezogene Daten Verstorbener auszuweiten, was der deutsche Gesetzgeber bisher nicht getan hat.35 Allerdings bestehen in Deutschland spezielle Gesetze zum Schutz von Informationen über Verstorbene, z.B. im Arzt-, Kunsturheber-, postmortalen Persönlichkeits-,36 Sozial-, Statistik-, Steuer- und Strafrecht.37
20
Hiermit im Zusammenhang stehen verschiedene, bislang weitestgehend ungeklärte Fragestellungen zum sog. digitalen Nachlass von Betroffenen.38 Das LG Berlin hat Facebook zugunsten der Eltern einer minderjährigen verstorbenen Tochter etwa dazu verpflichtet, den Eltern als Erben der Tochter Zugang zu dem Benutzerkonto und den Kommunikationsinhalten zur Verfügung zu stellen, weil die Gesamtrechtsnachfolge des § 1922 BGB auch beim Facebook-Nutzungsvertrag greife.39 Eine Ausübung der allgemeinen Betroffenenrechte (Art. 15–22 DSGVO) durch Erben dürfte hingegen ohne eine mitgliedstaatliche Erweiterung nicht möglich sein.40
21
Ob Informationen über ungeborenes Leben (sog. nasciturus) personenbezogene Daten sind oder nicht, lässt sich der DSGVO nicht entnehmen und ist dementsprechend in der Literatur umstritten. Zum Teil wird darauf abgestellt, dass im deutschen Recht ein noch werdendes, also nicht geborenes Kind schon erben, Schenkungen annehmen oder gar Schadensersatzansprüche geltend machen kann. Um Wertungswidersprüche zu vermeiden, sei daher eine Vorverlagerung des Rechts auf informationelle Selbstbestimmung angezeigt.41 Ferner könne man aus ErwG 27 Satz 1 (durch den Verstorbene vom Anwendungsbereich der DSGVO ausgenommen werden) den Umkehrschluss ziehen, dass der Verordnungsgeber die Geltung der DSGVO in diesem Zuge auch explizit für ungeborenes Leben ausgeschlossen hätte, wenn er dies beabsichtigt hätte.42 Demgegenüber wird angeführt, dass die DSGVO mit ihren Betroffenenrechten (Art. 15–22 DSGVO) von einer lebenden betroffenen Person ausgeht, die spezielle Rechte selbst ausüben kann, und dementsprechend Daten über ungeborene Kinder keine personenbezogene Daten darstellen.43 Ungeachtet dessen gilt jedoch auch hier wiederum die Einschränkung, dass die Informationen über ungeborene Kinder auch auf lebende Personen, insbesondere in der Regel auf die Mutter des ungeborenen Kindes,44 durchschlagen können.45
c) Identifizierte bzw. identifizierbare Person
22
Für die Qualifizierung als personenbezogene Daten nach Art. 4 Nr. 1 DSGVO müssen die Informationen nicht nur einen generellen Bezug zu einer natürlichen Person aufweisen, sondern sie müssen gerade eine spezifische natürliche Person identifizieren oder zumindest identifizierbar machen.
23
Die unterschiedliche Syntax von identifiziert/identifizierbar in Art. 4 Nr. 1 DSGVO und bestimmt/bestimmbar in § 3 Abs. 1 BDSG a.F. bzw. Art. 2 lit. a DSRl führt zu keiner inhaltlichen Änderung, denn die englische Fassung in der DSRl und der DSGVO sprechen einheitlich von „identified“/„identifiable“.46
aa) Identifizierte Person
24
Ein Datum identifiziert eine natürliche Person, wenn die Identität dieser unmittelbar aus der Information selbst hervorgeht.47 Eine natürliche Person ist dementsprechend identifiziert, wenn sie sich in einer Personengruppe von allen anderen Mitgliedern der Gruppe unterscheidet48 und sie deshalb aus der Gruppe ausgesondert werden kann („singling out“49).50 Die klassische Zuordnungsmethode ist insofern ein aussagekräftiger Name einer Person, der die Wiedererkennung der Person ermöglicht, wobei nicht stets der Name zur Identifikation benötigt wird.
25
Die Identifizierbarkeit hängt von den jeweiligen Umständen ab und ist daher kontextsensitiv zu bewerten.51 Während eine Person regelmäßig nicht durch einen Allerwelts-Nachnamen bezogen auf die gesamte Landesbevölkerung identifiziert werden kann, reicht der Nachname häufig innerhalb einer Schulklasse aus.52 Auch die Information „der Mann im schwarzen Anzug“ kann bezogen auf eine Gruppe von Passanten an einer Fußgängerampel ausreichen.53
26
Unklar ist, ob individuell, dauerhaft und in Bezug auf eine bestimmte natürliche Person vergebene Kennungen wie die Sozialversicherungsnummer und die Steueridentifikationsnummer bereits von sich aus eine Identifizierung ermöglichen oder hierzu entsprechendes Referenzwissen erforderlich ist.54 In Rekurs auf das oben genannte Beispiel einer Menschenmenge wäre insoweit erforderlich, dass eine bestimmte Person auf Grundlage der bloßen Kenntnis einer solchen Kennziffer aus einer Gruppe ausgesondert werden können müsste. Hierzu wird es maßgeblich auf den jeweiligen organisatorischen Zusammenhang ankommen.55 In aller Regel wird sich eine Zuordnung jedoch nur anhand entsprechenden Referenzwissens über den Träger der Kennung herstellen lassen; folglich ist zu prüfen, ob die jeweilige datenverarbeitende Stelle über das nötige Zusatzwissen verfügt oder ihr entsprechende Mittel vernünftigerweise zur Verfügung stehen, dieses Zusatzwissen zu erhalten (dazu unten Rn. 33).56
27
Online-Kennungen (z.B. IP- und MAC-Adressen, Smartphone-IDs, Cookie-IDs oder andere ähnliche Technologien wie Device-Fingerprinting) identifizieren für sich allein genommen regelmäßig keine Person, da sich aus ihnen unmittelbar weder die Identität der natürlichen Person, der der Computer gehört, von dem aus eine Website aufgerufen wurde, noch die Identität einer anderen Person, die diesen Computer benutzen könnte, ergibt.57 Insofern ermöglichen solche Kennungen isoliert allenfalls ein individuelles Ansprechen der jeweils sich hinter der Kennung befindlichen bzw. agierenden natürlichen Person. Eine solche Individualisierung erfolgt jedoch nicht in Ansehung dieser Personen und führt daher nicht zu deren Identifizierung. So statuiert der EuGH, dass IP-Adressen isoliert betrachtet gerade kein personenbezogenes Datum darstellen (obwohl sie eine solche individuelle Ansprache ermöglichen).58 Daraus folgt, dass der Gerichtshof es für eine Identifizierung als nicht ausreichend zu erachten scheint, eine Person auf sonstige Weise individualisieren zu können, um ein Datum als personenbezogen zu klassifizieren. Eine Identifizierbarkeit ist je nach Sachverhalt aber denkbar (dazu unten Rn. 30).
28
Auch selbst gewählte Pseudonyme,59 insbesondere im Online-Bereich (z.B. E-Mail-Adressen oder Twitter-Handles), identifizieren in diesem Sinne alleine ohne weitere Informationen weder die Person, der das Pseudonym gehört, vom dem die Nachrichten verschickt bzw. veröffentlicht wurden, noch die Identität einer anderen Person, die dieses Pseudonym benutzen könnte.60 Das Gleiche gilt für gänzlich andere Kennungen, wie z.B. Kreditkartennummern. Auch hier ist jeweils im Einzelfall zu prüfen, ob dem Verantwortlichen selbst weitere Informationen zur Identifizierung oder „rechtliche Mittel“ (siehe dazu unten Rn. 37) zur Verfügung stehen, entsprechendes, zur Identifizierung erforderliches Zusatzwissen von einem Dritten zu erhalten.61
29