Читать книгу DS-GVO/BDSG - David Klein - Страница 129

101

Eine Pflicht des Verantwortlichen zur Pseudonymisierung von personenbezogenen Daten kennt die DS-GVO nicht.[239] Der Anreiz für Unternehmen zur Pseudonymisierung liegt aber unbestreitbar darin, dass diese oftmals ein entscheidendes Kriterium im Rahmen einer (Interessen-)Abwägung (wie sie etwa im Rahmen von Art. 6 Abs. 4 lit. e oder bei Art. 83 Abs. 2 lit. d erforderlich ist) ist und eine Abwägung mithilfe einer Pseudonymisierung somit eher zugunsten des Unternehmens ausfallen wird.[240] Auch bei der Bußgeldbemessung dürfte die Pseudonymisierung eine wichtige Rolle spielen.

102

Beispiele für Pseudonyme sind etwa Künstler- oder Decknamen und ggf. E-Mail-Adressen, aber auch Benutzernamen oder eine Nutzer-ID. Auch biometrische Daten[241], wie Gangmuster oder Aufnahmen einer Wärmebildkamera können pseudonymisierte Daten darstellen.[242]

103

Insbesondere im Rahmen folgender Anwendungsszenarien dürfte in der Praxis die Pseudonymisierung eine entscheidende Rolle spielen:

104

Im Rahmen der Nutzung von Smart-TV und sonstigen smarten Endgeräten werden den Nutzern Dienste und Produkte zur Verfügung gestellt, die Statistiken über das Nutzungsverhalten der Nutzer erstellen. So werden auf Plattformen und über Streaming-Dienste Filme und sonstige Inhalte über das Internet angeboten. Dafür zur Nutzung zur Verfügung gestellte Set-Top-Boxen erstellen im Rahmen der Nutzung (z.B. beim Betätigen der Fernbedienung) Statistiken über das Nutzungsverhalten und generieren unterschiedliche Ergebnisse. So werden etwa Ein- und Ausschaltvorgänge, Kanalumschaltungen und Informationen zu gesehenen Filmen dokumentiert. Der entsprechende Datensatz enthält dabei in der Regel sowohl Informationen über die Top-Set-Box (Device-ID) als auch die Account-ID des Kunden. Diese Account-ID ist ein Pseudonym im Sinne des Art. 4 Nr. 5, da sie keine Informationen darstellen, die unmittelbar personenbezogene Daten enthalten. Wenn die Device-ID und die Account-ID im Sinne der oben genannten Voraussetzungen getrennt aufbewahrt werden, ist ein Rückschluss auf den einzelnen Kunden nur durch einen zusätzlichen Zugriff auf die Zuordnungstabellen möglich. Im Ergebnis führen solche Verfahren dazu, dass das Nutzungsverhalten eines bestimmten Kunden nicht ausgewertet und anderen mitgeteilt werden kann. Im Zuge der Pseudonymisierung ist damit sowohl eine Einwilligung nach Art. 6 Abs. 1 lit. a zur Datenverarbeitung entbehrlich, als auch dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c Rechnung getragen.[243]

105

Praktisch zeigt sich ein immenses Bedürfnis von Big Data-Anwendungen.[244] Dies liegt insbesondere daran, dass zahlreiche Anwendungsfelder den Einsatz von Big Data nicht nur erlauben, sondern künftig nützlich und empfehlenswert machen.[245] Big Data-Analysen ermöglichen es, auf fundamentaler Ebene weitreichende Informationen zu generieren, bspw. zur proaktiven Problemerkennung (z.B. Krankheit,[246] Stau), für Prognosen (z.B. Wetter,[247] Konjunktur), zur Auswertung und Optimierung (Informationsangebote, Entscheidungsfindung) sowie in Bezug auf demographische Aspekte (z.B. zur Entwicklung neuer Geschäftsmodelle, der Schaffung neuer Arbeitsplätze und generell wirtschaftlichen Wachstums[248]).

106

Die Vielgestaltigkeit der damit verbundenen datenschutzrechtlichen Herausforderungen liegt u.a. darin, dass ein Big Data-Projekt in verschiedene Phasen aufgeteilt werden kann und sich in allen diesen Phasen verschiedene datenschutzrechtliche Fragen stellen, bspw. nach dem Personenbezug,[249] dem Vorliegen und der Wirksamkeit einer Einwilligung,[250] der Zweckbindung oder gar nach der Anwendbarkeit unterschiedlicher Regelungsbereiche wie DS-GVO/BDSG, TMG oder TKG.[251] Nach der EU-Kommission kommen insoweit übereinstimmend Anonymisierung, Pseudonymisierung und Verschlüsselung zentrale Bedeutung bei Big Data-Analyseverfahren zu.[252] Pauschal lässt sich deshalb feststellen, dass zur Harmonisierung von Big Data Anwendungen mit den Anforderungen der DS-GVO Instrumente wie Anonymisierung und Pseudonymisierung in den Vordergrund rücken müssen.[253] Hier bleibt für Einzelfragen die Auslegung durch die Aufsicht und deren Kontrolle durch den EuGH abzuwarten.[254]

107

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.[255] Die „Pseudonymisierung“ in der DS-GVO soll aber nicht dazu verleiten, andere Datenschutzmaßnahmen auszuschließen.[256]

108

Die besondere Relevanz der Pseudonymisierung für die Verarbeitungspraxis zeigt sich daran, dass das erste Bußgeld in Deutschland wegen eines Verstoßes gegen die DS-GVO durch den LfDI Baden-Württemberg gegen den Social Media-Anbieter Knuddels wegen eines Verstoßes gegen Art. 32 Abs. 1 lit. a verhängt wurde.[257] Knuddels hatte Passwörter der Nutzer im Klartext gespeichert, so dass im Rahmen eines Hacker-Angriffs 330.000 unverschlüsselte E-Mail-Adressen und Passwörter von Nutzern entwendet werden konnten.[258] Dies unterstreicht die Bedeutung technischer Schutzmaßnahmen insbesondere im Hinblick auf Bußgeldrisiken.

109

Die Bedeutung der Frage nach dem Vorliegen einer wirksamen Pseudonymisierung oder gar einer Anonymisierung zeigt sich derzeit (Stand: Juni 2020) insbesondere im Rahmen von Apps zur Eindämmung der COVID-Pandemie (sog. Corona-Apps)[259], vgl. dazu bereits Rn. 47. Insofern wird diskutiert, ob eine Verwendung von Bewegungsdaten der Bevölkerung mittels Handy-App zwecks Unterbrechung von Infektionsketten zur Eindämmung des Coronavirus datenschutzrechtlich zulässig ist.[260] Die offizielle deutsche Corona-Warn-App[261] des Robert Koch-Instituts beruht dabei auf einem Ansatz, bei dem über die Bluetooth Low Energy-Funktion des Smartphones andere Geräte in unmittelbarer Nähe erfasst werden, um so im Infektionsfall Kontaktpersonen nachvollziehen zu können.[262] Bei Nutzung der App erhalten Nutzer jeweils eine zufällige, temporäre ID.[263] Die App erfasst die IDs anderer Geräte, die sich für einen bestimmten Zeitraum in unmittelbarer Nähe zum Handy des jeweiligen Nutzers befinden und speichert diese in einer Kontaktliste lokal auf dem jeweiligen Smartphone.[264] Der Abgleich der IDs wird im Infektionsfall im Zusammenwirken von Google und Apple ohne zwischengeschalteten Datentreuhänder und damit dezentral vorgenommen.[265] Infizierte Nutzer übermitteln ihre eigene temporäre ID an einen Server. Andere Nutzer können dann mittels der sog. Kontaktaufzeichnungsfunktion ihres Smartphones abgleichen, ob sich diese ID auch in ihrer lokal gespeicherten Kontaktliste befindet.[266] Die App gleicht alle 24 Stunden die eigene Kontaktliste mit der Liste von IDs, deren Personen eine Infektion melden ab und meldet Nutzern das jeweils bestehende Infektionsrisiko.[267] Neben der Frage, ob die Nutzung der App freiwillig erfolgen muss oder durch den Staat angeordnet werden kann,[268] ist insbesondere fraglich, inwieweit das Datenschutzrecht überhaupt Anwendung findet, wenn Nutzer der App eine zufällige und temporäre Nutzer-ID erhalten und zu keinem Zeitpunkt eine Identifikation der betroffenen Person erfolgt.[269] Es stellt sich daher die Frage, ob die verarbeiteten Daten als anonymisiert oder pseudonymisiert anzusehen sind. Während manche[270] von einer anonymen Datenverarbeitung ausgehen, ist vor dem Hintergrund der Rechtsprechung des EuGH[271], die eine Personenbeziehbarkeit ausreichen lässt, zu beachten, dass das Gericht dem Personenbezug einen äußerst weiten Anwendungsbereich einräumt, so dass von pseudonymisierten Daten und damit von der Anwendbarkeit der DS-GVO für die Beurteilung der App auszugehen ist.[272]