Читать книгу Die datenschutzrechtliche Einwilligung im Gesundheitsbereich unter der DSGVO - Anna-Lena Hoffmann - Страница 37

Der Begriff des personenbezogenen Datums eröffnet gem. Art. 2 Abs. 1 DSGVO den sachlichen Anwendungsbereich der DSGVO und ist somit ein essentielles Kriterium.181 Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Diese Definition der personenbezogenen Daten enthält somit zusätzlich die Definition über die so genannte betroffene Person.182

Wann eine Person identifiziert oder identifizierbar ist und vor allem, für wen diese Identifizierbarkeit vorliegen muss, wird in der Definition – wie schon unter der DSRL183 – offengelassen.184 Um den Schutz der natürlichen Person zu gewährleisten, kann eine Identifikation nicht nur dann vorliegen, wenn Vor- und Nachname einer Person oder sonstige Merkmale der bürgerlichen Identität ermittelt werden können.185 Es muss ausreichend sein, dass eine Person „singularisiert“ und ohne Verwechselung wiedererkannt werden kann.186

In der Literatur wird ferner darüber diskutiert, aus wessen Perspektive die Identifizierung vorgenommen können werden muss.187 Es stellt sich die Frage, ob von einem absoluten Verständnis des Personenbezugs auszugehen ist,188 wonach auf die Möglichkeit aller Menschen zur Identifizierung abzustellen wäre (eine Anonymisierung wäre damit faktisch kaum möglich),189 oder ob auf ein relatives Verständnis des Personenzugs abzustellen ist, wonach auf Wissen und Möglichkeiten des Verantwortlichen abzustellen wäre, bzw. auf Dritte, die wahrscheinlich eine Identifizierung vornehmen könnten.190

Der Kommissionsentwurf zur DSGVO bezog in die Definition einen Zusatz mit ein (inhaltlich entsprach dieser dem Erwägungsgrund 26 DSRL), der vorsah, dass die Identifizierung der natürlichen Person mit Mitteln bestimmt wird, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach (im Englischen: „all means reasonably likely to be used“) einsetzen würde.191 Doch dieser Zusatz wurde in der Fassung des Rates wieder gestrichen.192 Er fand stattdessen wiederum Eingang in Erwägungsgrund 26 DSGVO. Der Zusatz hilft allerdings nicht dabei, eindeutig zu bestimmen, ob von einem relativen oder absoluten Verständnis auszugehen ist. Ein streng absoluter Ansatz lässt sich mit Rücksichtnahme auf den Erwägungsgrund, der auf ein allgemeines Ermessen und ein Wahrscheinlichkeitskriterium abstellt, also auf eine Verhältnismäßigkeitsprüfung hindeutet, nur schwer vertreten.193 Letztlich kommt es überzeugenderweise auf eine Einzelfallprüfung und den jeweiligen Kontext an, auf die technischen Mittel, eine Risikobetrachtung, rechtliche Möglichkeiten, Kosten und Aufwand.194