Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 431

13

Abs. 1 setzt voraus, dass der Verantwortliche personenbezogene Daten verarbeitet und eine Identifizierung Betroffener nicht oder nicht mehr erforderlich ist. Dies ist beispielsweise der Fall, wenn personenbezogene Daten ursprünglich in nicht pseudonymisierter Form erhoben wurden, für die weitere Verarbeitung jedoch pseudonymisierte Daten ausreichend sind. Hierbei ist zu beachten, dass Art. 11 DSGVO im Falle pseudonymisierter Daten allein dann Anwendung findet, wenn der Verantwortliche selbst nicht über den Pseudonymisierungsschlüssel verfügt.11

14

Zur Herstellung der Identifizierbarkeit ist es grundsätzlich nicht zwingend nötig, über die klassischen Identifizierungsdaten wie Name, Adresse oder Geburtsdatum zu verfügen. Gerade für Online-Dienste kann die Nennung eines Benutzernamens oder weiterer Identifizierungsmerkmale wie User- oder mitunter sogar die Geräte-IDs ausreichend sein. Hierbei ist jedoch zu beachten, dass eine fehlende Identifizierbarkeit nicht angenommen werden kann, wenn der Verantwortliche zwar nicht über die notwendigen Informationen zur Identifizierung verfügt, diese aber ohne größeren Aufwand einholen könnte, beispielsweise, weil die Informationen öffentlich einsehbar im Internet zu finden sind.12 Sofern eine verantwortliche Stelle jedoch selbst mit einem gewissen technischen Aufwand Informationen nicht mehr einer konkreten Person zuordnen können, fehlt es an der Identifizierbarkeit.

15

Klassische Anwendungsfälle, bei denen der Verantwortliche nicht darauf angewiesen ist, den Betroffenen zu identifizieren und dies in der Regel auch nicht kann, sind beispielsweise Hinweisgebersysteme im Compliance-Bereich, bei denen bewusst auf eine Re-Identifizierbarkeit des Hinweisgebers verzichtet wird,13 die Einrichtung einer Whistleblowing-Hotline innerhalb eines Unternehmens, die automatische Erfassung von Kraftfahrzeugkennzeichen in Parkhäusern,14 das Anlegen großer Datenpools zum Zwecke des Ausspielens personalisierter Werbung, bei denen der Betroffene nicht konkret identifiziert werden kann, sondern allein Interessen zu einer Identifikationsnummer hinzugespeichert werden,15 die Auswertung von Markt- und Meinungsforschungsumfragen,16 die Anfertigung von Bildaufnahmen von großen Menschenmengen beispielsweise im Rahmen von Konzerten, Festivals oder öffentlichen Inszenierungen17 oder die Aufnahme von Bildmaterial für Geoinformationsdienste wie Google Streetview.18 Hierbei gilt es jedoch stets im Einzelfall zu prüfen, inwiefern die betroffenen Personen tatsächlich, selbst mit einem gewissen technischen Aufwand, nicht identifiziert werden können. Dies mag insbesondere im Bereich der personalisierten Werbung für solche (AD-)IDs zweifelhaft sein, die mehrfach und oft von verschiedenen Anbietern und Werbenden verwendet werden.