Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 22

Wenn die Übermittlung von Kundendaten bei Unternehmenstransaktionen aus datenschutzrechtlicher Sicht zu bewerten ist, steht neben dem Verarbeitungstatbestand die Auslegung des Begriffs von personenbezogenen Daten im Mittelpunkt, um die Anwendung des Rechtsrahmens der DSGVO zu begründen. Für Daten ohne Personenbezug gilt die DSGVO einschließlich ihrer Pflichten für datenverarbeitende Unternehmen nämlich nicht. Art. 4 Nr. 1 DSGVO bestimmt näher, wann ein personenbezogenes Datum vorliegt. Hierunter fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.124

Grundsätzlich ist der Begriff des Datums in Anknüpfung an Art. 2 lit. a EU-Datenschutzrichtlinie und § 3 Abs. 1 BDSG a.F. weit auszulegen.125 Der Wortlaut des Art. 4 Nr. 1 DSGVO, wonach „alle Informationen“ mit Personenbezug vom Schutzbereich der DSGVO umfasst werden, bestätigt eine extensive Interpretation. Aufgrund des „technologieneutralen“ Schutzumfangs der datenschutzrechtlichen Vorschriften (Erwägungsgrund 15 Satz 1) soll es auch nach der DSGVO nicht darauf ankommen, in welchem Format die Informationen vorliegen (alphabetisch, numerisch, grafisch, fotografisch, akustisch etc.) oder gespeichert sind (physischer Datenträger, Server etc.).126 Die besonderen Kategorien personenbezogener Daten ausgenommen, die in Art. 9 DSGVO einem höheren Schutzumfang unterliegen, werden die Informationen i.S.v. Art. 4 Nr. 1 DSGVO nicht weiter eingegrenzt.

Weitaus missverständlicher verhält es sich mit dem Begriff des Personenbezugs und insbesondere mit der Frage, wann sich Informationen auf eine identifizierbare Person beziehen. Weil auch der Begriff der Identifizierbarkeit unbestimmt ist, hat der europäische Gesetzgeber zugleich in Art. 4 Nr. 1 Hs. 2 DSGVO versucht, diesen zu konkretisieren. Eine Person wird dann als identifizierbar angesehen, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standorten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Der Wortlaut lässt jedoch keinen Rückschluss darauf zu, auf wessen Wissen, Fähigkeiten oder Mittel es konkret bei der Identifizierung der betroffenen Person mittels Zuordnung ankommt.127 Der bereits nach dem BDSG a.F. unter § 3 Abs. 1 geführte Streit des absoluten und relativen Personenbezugs128 im Rahmen des Tatbestandsmerkmals der „bestimmbaren Person“ kann mittels der grammatikalischen Auslegung der DSGVO nicht hinreichend geklärt werden.129 Unter Einbeziehung der Rechtsprechung des EuGH zur Personenbeziehbarkeit von IP-Adressen,130 die Anklang in Erwägungsgrund 26 gefunden hat, und des Sinns und Zwecks der Bestimmung lässt sich der Ansatz der DSGVO hinsichtlich der Frage der Identifizierbarkeit jedoch dahingehend verstehen, dass nur solche Mittel zu berücksichtigen sind, die der Verantwortliche oder eine andere Person vernünftigerweise nutzen wird.131 In Erwägungsgrund 26 Satz 3 heißt es dazu, dass die Nutzung solcher Mittel „nach allgemeinen Ermessen wahrscheinlich“ sein muss. Die bloße Möglichkeit einer Identifizierung reicht also gerade nicht aus, denn dem Erwägungsgrund 26 ist in diesem Kontext eine einschränkende Funktion zuzusprechen.132 Es ist daher der Prüfungsmaßstab eines objektiven Dritten anzulegen, ob dieser in der Lage des Verantwortlichen eine Person individualisieren könnte oder nicht.133 Hinsichtlich der in Erwägungsgrund 26 genannten Mittel der „anderen Person“ gilt Entsprechendes. Zu berücksichtigen sind nur solche Dritte, derer sich der Verantwortliche vernünftigerweise bedienen würde, um eine natürliche Person zu identifizieren.134

Ferner verdeutlicht der Ausschluss von anonymen Daten aus dem Anwendungsbereich der DSGVO in Erwägungsgrund 26 diesen gemäßigt relativen Ansatz der Identifizierbarkeit einer Person.135 Denn würde es anderenfalls ausreichen, dass irgendjemand den Personenbezug herstellen könne, gäbe es keine anonymen Daten und ihre explizite Erwähnung in der DSGVO wäre gegenstandslos.136 Ob es hingegen im technischen Zeitalter überhaupt noch Daten ohne Personenbezug tatsächlich geben kann, ist eine Diskussion von gänzlich anderer Dimension und wird nicht nur die juristische Debatte zukünftig kontrovers prägen.137

Im Hinblick auf die Wahrscheinlichkeit, ob Mittel des Verantwortlichen oder einer anderen Person konkret eingesetzt werden, fließen alle objektiven Kriterien, wie etwa die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, in die Entscheidung ein, vgl. Erwägungsgrund 26 Satz 4. Ebenso sind dabei aktuelle technologische Entwicklungen und verfügbare Technologien zu berücksichtigen, vgl. Erwägungsgrund 26 Satz 4. Überwiegen diese objektiven Faktoren derart, dass davon auszugehen ist, dass die Identifizierung nicht erfolgt, handelt es sich um kein personenbezogenes Datum, obwohl eine Identifizierung einer natürlichen Person möglich (aber eben nicht wahrscheinlich) wäre.138

Ob die verarbeiteten Daten im Unternehmen einen Personenbezug aufweisen, hängt grundsätzlich vom Einzelfall ab. Nichtsdestoweniger ist es in der Praxis äußerst wahrscheinlich, dass nahezu jede Information in einem Unternehmen einen Bezug zu einer natürlichen Person aufweisen oder Aussagen und Entscheidungen über eine natürliche Person ermöglichen kann. Aus Unternehmensperspektive erweist sich die Anwendung der DSGVO daher als unumgänglich.139