Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 110

33

Darüber hinaus stellt sich die Frage, ob das Wissen und die Mittel Dritter und nicht nur des Verantwortlichen bei der Identifizierbarkeit ebenfalls Berücksichtigung finden müssen. Diese altbekannte Streitfrage klärt die DSGVO leider nicht. Der Streit zwischen dem absoluten und relativen Verständnis des Personenbezugs lebt daher fort.75 Das absolute Verständnis geht davon aus, dass im Sinne einer objektiven Betrachtungsweise jegliche potenzielle Kenntnisnahmemöglichkeit eines Dritten, inkl. eines rechtswidrigen Zugriffs auf den Datenbestand bzw. sogar das „gesamte Weltwissen“,76 zu einer Identifizierbarkeit führt,77 wovon unter der alten Rechtslage insbesondere die deutschen Datenschutzaufsichtsbehörden78 ausgingen.

34

Nach dem relativen Verständnis ist hingegen im Sinne einer subjektiven Betrachtungsweise nur auf die Kenntnisnahmemöglichkeiten des jeweiligen Verantwortlichen abzustellen.79 Spätestens mit der Breyer-Entscheidung des EuGH scheint sich hingegen auch in der Literatur als herrschende Ansicht eine vermittelnde Ansicht herausgebildet zu haben, die entweder als absoluter Ansatz mit relativierenden Elementen80 oder als relativer Ansatz mit Einschränkungen/objektivierenden Elementen81 bezeichnet wird. Der EuGH hatte im Breyer-Urteil darüber zu entscheiden, ob und wann dynamische IP-Adressen für Webseitenanbieter personenbezogene Daten darstellen. Er stellte dabei nur auf das Wissen ab, über das der Webseitenanbieter verfügt, bezog in diese Betrachtung aber alle vernünftigerweise vom Webseitenanbieter verwendeten rechtlichen Mittel ein, die es dem Webseitenanbieter erlauben, die betreffende Person anhand der Zusatzinformationen Dritter, bestimmen zu lassen.82 Konkret stellt der EuGH auf den Internetzugangsanbieter83 ab, der dem Webseitenanbieter helfen könne, die dynamische IP-Adresse der betroffenen Person zuzuordnen.84 Der BGH hat in Umsetzung des EuGH-Urteils festgestellt, dass dem Beklagten Auskunftsrechte gegenüber Internetzugangsanbietern nach § 100j Abs. 2 und Abs. 1 StPO sowie § 113 TKG zustehen können, durch die der Webseitenbetreiber das für die Identifizierung erforderliche Zusatzwissen über den jeweiligen Anschlussinhaber vom Internetzugangsanbieter erlangen könne, und es sich deshalb bei dynamischen IP-Adressen um personenbezogene Daten handele.

35

Der relative Ansatz ist mit Einschränkungen auch unter der DSGVO vorzugswürdig insofern, als sich der Verantwortliche etwaiges Zusatzwissen Dritter zurechnen lassen muss, über welches er gegenwärtig zwar nicht verfügt, ihm jedoch Mittel zustehen, um sich dieses Zusatzwissen zu verschaffen, und es darüber hinaus noch wahrscheinlich ist, dass er diese Mittel nutzen würde (vgl. insoweit zur Möglichkeit eines Abschneidens dieser Mittel Rn. 51). Für ein solches Verständnis spricht zum einen, dass die DSGVO in ErwG 26 Satz 3 nicht nur auf Mittel abstellt, die nur der Verantwortliche, sondern auch eine andere Person – nach allgemeinem Ermessen wahrscheinlich – verwendet, um eine Person zu identifizieren. Zum anderen wird in ErwG 30 darauf hingewiesen, dass Online-Kennungen, wie z.B. IP-Adressen, mit entsprechendem Zusatzwissen eine Identifizierung erlauben können. Die teleologische Auslegung streitet auch weiterhin unter der DSGVO für die relative Ansicht, insbesondere der Verlust der Identifizierbarkeit als Abgrenzungsmerkmal bei Zugrundelegung des absoluten Ansatzes bei der Bestimmung des sachlichen Anwendungsbereichs der DSGVO und die damit einhergehende schwindende Möglichkeit, personenbezogene Daten zu anonymisieren, weil Verantwortliche nie rechtssicher feststellen könnten, ob eine Individualisierbarkeit der verarbeiteten Informationen nicht doch theoretisch möglich wäre (obwohl es für den Verantwortlichen unmöglich ist).85

36

Es ist auch nicht ersichtlich, warum die DSGVO auf Datenverarbeitungen Anwendung finden sollte, die kein reales Gefahrenpotenzial für das Recht auf informationelle Selbstbestimmung von natürlichen Personen haben.86

37

Der EuGH hat im Breyer-Urteil festgestellt, dass neben faktischen (inkl. technischen Mitteln, also z.B. Zugriff auf Server eines Vertragspartners, Datenanalysetools, Weisungsrechte gegenüber einer Tochtergesellschaft) auch rechtliche Mittel im Hinblick auf das Zusatzwissen von Dritten berücksichtigt werden müssen.87 Unklar ist jedoch, ob die Tatbestandsvoraussetzungen von etwaigen Auskunftsansprüchen tatsächlich vorliegen müssen oder nicht.88 Diese dürften beispielsweise dann nicht vorliegen, wenn Informationen zu Zwecken erhoben werden, die eine Einschaltung der Staatsanwaltschaft oder entsprechender Aufsichtsbehörden nicht nach sich ziehen können (etwa reine Nutzungsanalysezwecke). Die Argumentation des EuGH legt dabei zunächst nahe, dass bereits die abstrakte Möglichkeit von Auskunftsverlangen ausreiche, wenn er darauf abstellt, dass solche rechtlichen Mittel nach deutschem Recht bestehen.89 Demgegenüber klingt in der das EuGH-Urteil umsetzenden Entscheidung des BGH an, dass jedenfalls auf den konkreten Kontext abzustellen sei. So statuiert der BGH, dass der Beklagte im Falle einer bereits eingetretenen Schädigung Strafanzeige erstatten oder im Falle der drohenden Schädigung die zur Gefahrenabwehr zuständigen Behörden einschalten kann.90

38

Zwar scheint der BGH dabei keine tatsächliche Prüfung einer solchen Schadenslage zur Bejahung eines Personenbezugs für erforderlich zu halten.91 Gleichwohl statuiert er weiter, dass „[...] die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden zu diesem Zweck von Internetzugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen [können]“.92 Demgemäß spricht dies dafür, dass der konkrete, vom jeweiligen Verantwortlichen verfolgte Verarbeitungs- und Speicherzweck bei der Bewertung, ob ihm entsprechende rechtliche Mittel zur Verfügung stehen, jedenfalls zu berücksichtigen ist. Richtigerweise wird daher auf den konkreten Einzelfall abzustellen sein, mithin, ob eine Nutzung der rechtlichen Mittel nach allgemeinem Ermessen wahrscheinlich ist, z.B. Speicherung der IP-Adressen zur Ahndung von Urheberrechtsverletzungen93 oder Abwehr von Cyber-Angriffen.94