Читать книгу DS-GVO/BDSG - David Klein - Страница 108

31

Die Information muss sich nach Art. 4 Nr. 1 auf eine „identifizierte oder identifizierbare“ Person beziehen. Für die rechtliche Beurteilung ist es im Rahmen von Art. 4 Nr. 1 ohne Belang unter welchen Begriff sich ein Tatbestand subsumieren lässt. Während die DS-GVO den Begriff der identifizierbaren Person ausführt, wird der Begriff der identifizierten Person nicht näher erläutert.

32

Grundsätzlich ist daher davon auszugehen, dass eine Person dann i.S.d. Art. 4 Nr. 1 identifiziert ist, wenn ohne Schwierigkeiten die Identität der Person aus der Information selbst ermittelt werden kann, etwa weil der Name oder die Anschrift bekannt sind. Insgesamt kann eine Person daher dann als identifiziert gelten, wenn keine zusätzlichen Informationen mehr notwendig sind, um die Person zu identifizieren.[97]

33

Hinsichtlich der Frage, wann eine Person als identifizierbar einzustufen ist, äußert sich die DS-GVO in Art. 4 Nr. 1 demgegenüber ausdrücklich: Dies ist dann der Fall, wenn die Person direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Entscheidend für das Merkmal einer Identifizierbarkeit ist somit, dass eine vorhandene Information als solche für eine Identifizierung nicht ausreicht, sondern diese vielmehr erst durch die Zuhilfenahme und Verknüpfung mehrerer Informationen miteinander ermöglicht wird.[98]

34

Um festzustellen, ob eine Person identifizierbar ist, sind laut ErwG 26 S. 3 alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei diesen Mitteln sind nach ErwG 26 S. 4 alle Faktoren, wie Kosten und Zeitaufwand der Identifizierung sowie verfügbare Technologien und technologische Entwicklungen zu berücksichtigen, wobei dieser Katalog nicht abschließend ist. Daraus folgt, dass nach den Vorgaben der DS-GVO eine Abwägung erforderlich ist, bei der die Erfolgsaussichten einer Identifizierung in Relation zu Verhältnismäßigkeitserwägungen gesetzt werden.[99]

35

Fraglich ist insbesondere, wann unter rechtlichen Gesichtspunkten bzw. anhand welcher Maßstäbe eine „Identifizierbarkeit“ der Person anzunehmen ist. Hierzu existieren im Ausgangspunkt zwei verschiedene Begründungsansätze: Ein relativer Ansatz stellt maßgeblich darauf ab, ob der für die Datenverarbeitung Verantwortliche anhand der ihm zur Verfügung stehenden Informationen und Mittel einen Personenbezug herstellen kann, während ein absoluter Ansatz es demgegenüber bereits genügen lässt, dass ein Dritter den Personenbezug herstellen könnte.[100]

36

Da weder die DS-GVO noch die ErwG in dieser Hinsicht eine eindeutige Aussage treffen, lässt sich die Frage, welches Verständnis Art. 4 Nr. 1 zugrunde liegt nur im Wege der Auslegung ermitteln: Der Wortlaut des ErwG 26 S. 3 nennt neben dem Verantwortlichen auch „andere Personen“, was für ein weites Begriffsverständnis im Sinne eines absoluten Ansatzes spricht. Einschränkend verlangt ErwG 26 S. 3 aber, dass die Nutzung der Mittel „nach allgemeinem Ermessen wahrscheinlich“ ist. Dies ist bei einem Dritten häufig dann der Fall, wenn dieser die personenbezogenen Daten selbst verarbeitet, so dass der Dritte selbst an der Identifizierung beteiligt sein muss.[101] Darüber hinaus spricht die in ErwG 26 angedeutete Notwendigkeit einer Verhältnismäßigkeitsprüfung für einen relativen Ansatz.

37

Die Art.-29-Datenschutzgruppe geht ebenfalls davon aus, dass eine „rein hypothetische Möglichkeit der Herstellung eines Personenbezugs noch nicht ausreicht, um die Person als bestimmbar anzusehen“[102] und folgt damit ebenfalls einem relativen Verständnis.

38

Unter teleologischen Erwägungen scheint eine absolute Betrachtungsweise darüber hinaus zu der widersprüchlich anmutenden Folge zu führen, dass datenverarbeitende Unternehmen grundsätzlich jegliche Daten als personenbezogen ansehen müssten, wenn es für die Identifizierbarkeit auch unter Umständen auf die (ungewisse) Kenntnis und Mittel Dritter ankäme. Eine derartige Rechtsunsicherheit in der Praxis kann im System des Datenschutzrechts nicht gewollt sein.[103] Denn in der Konsequenz würden die Unterschiede in den Begrifflichkeiten von „identifiziert“ und „identifizierbar“ faktisch eingeebnet und den Wortlaut der Verordnung sinnwidrig erscheinen lassen. Hinzu tritt, dass im Falle eines absoluten Ansatzes faktisch keine anonymisierten Daten mehr existieren könnten, so dass dieses Rechtsinstitut ebenfalls ausgehebelt würde.[104] Ergänzend lässt sich anführen, dass bei einem absoluten Verständnis des Art. 4 Nr. 1 auch rechtswidrig erlangte Kenntnisse und Mittel Dritter in die Betrachtung einbezogen würden.[105]

39

Auch der EuGH folgt in der Rechtssache Breyer gegen BRD[106] einem relativen Verständnis, indem er annimmt, dass „eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein personenbezogenes Datum [ist], soweit ein Internetzugangsanbieter über weitere zusätzliche Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen“. Gegenstand des Verfahrens war die Speicherung von IP-Adressen durch den Betreiber einer Webseite bei deren Aufruf. Der BGH hatte dem EuGH insbesondere die Frage vorgelegt, ob dynamische IP-Adressen ein „personenbezogenes Datum“ seien, wenn der Internetzugangsanbieter über Zusatzwissen verfügt, mit dem eine Identifizierung des Besuchers ermöglicht wird.[107] Schon der Generalanwalt vertrat die Ansicht, dass eine IP-Adresse für den Telemedienanbieter ein personenbezogenes Datum sei, wenn der Internetzugangsanbieter über Zusatzwissen verfüge, um den Besucher der Internetseite zu identifizieren, wobei nur solche als „Dritte“ angesehen werden könnten, an die sich der Telemedienanbieter vernünftigerweise halten könne, um mit vernünftigem Aufwand deren zusätzliche Kenntnisse zu nutzen.[108] Der EuGH ist dem Generalanwalt im Wesentlichen gefolgt, indem er betont, dass eine dynamische IP-Adresse jedenfalls dann als personenbezogenes Datum einzustufen ist, wenn der Webseitenbetreiber über die rechtlichen Mittel verfügt den Besucher der Internetseite mithilfe des Internetzugangsanbieters als Dritten zu bestimmen. Entscheidend ist somit die Perspektive des Verantwortlichen und die Identifizierbarkeit mithin danach zu bemessen, ob das Zusatzwissen Dritter für diesen zugänglich gemacht werden kann.[109]

40

Im Ergebnis ist daher eine vermittelnde Position vorzugswürdig, die eine Identifizierbarkeit maßgeblich von den Kenntnissen, Mitteln und Möglichkeiten des Verantwortlichen abhängig macht, indem dieser die Identifikation mit den ihm zur Verfügung stehenden Mitteln im Rahmen der o.g. Verhältnismäßigkeitserwägungen vornehmen kann.[110] Weil aber bei Licht betrachtet kaum Fälle denkbar sind, in denen man nach der vom EuGH aufgestellten Grundsätze die Personenbeziehbarkeit ablehnen kann, kommt dessen relativer Ansatz einem absoluten faktisch sehr nahe.

41

Auch die Datenethikkommission der Bundesregierung hat zu der Frage des Personenbezugs von Daten in ihrem Abschlussgutachten vom Oktober 2019 Stellung genommen und dabei insbesondere die Notwendigkeit zur Schaffung von mehr Rechtssicherheit betont. Dementsprechend empfiehlt sie die Entwicklung von Fallgruppen, in denen ein Personenbezug anzunehmen ist. Dementsprechend sind für die Annahme eines Personenbezugs das Herausgreifen, die Verknüpfbarkeit sowie eine Inferenz entscheidend.[111] Mit Herausgreifen ist die Möglichkeit gemeint, mithilfe singulärer Merkmale aus einem Datenbestand Datensätze zu einzelnen Personen zu isolieren.[112] Mit Verknüpfbarkeit ist die Möglichkeit gemeint mindestens zwei Datensätze, die dieselbe Person betreffen mithilfe übereinstimmender Werte zu verknüpfen.[113] Inferenz meint die Möglichkeit, den Wert eines Merkmals mit einer signifikanten Wahrscheinlichkeit von den Werten einer Reihe von anderen Merkmalen abzuleiten.[114]

42

Die Empfehlungen der Datenethikkommission bieten für Rechtsanwender eine Möglichkeit die Wahrscheinlichkeit des Vorliegens eines Personenbezugs von Daten anhand von Fallgruppen näher bestimmen und damit Risiken einer Fehleinschätzung minimieren zu können. Insofern liefern die Empfehlungen wichtige Auslegungsparameter für Schaffung von mehr Rechtssicherheit.