Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 114

220

Nach Art. 11 Abs. 2 S. 1 DSGVO muss der Verantwortliche zunächst nachweisen können, dass er – objektiv – nicht (mehr) in der Lage ist, die betroffene Person zu identifizieren.338 Hierzu muss der Verantwortliche – nach hier vertretener Ansicht – zumindest plausibel darlegen,339 dass er die betroffene Person nicht (mehr) mit eigenem Wissen identifizieren kann, z.B. weil er die identifizierenden Merkmale gelöscht oder die entsprechenden Datensätze pseudonymisiert hat und selbst nicht (mehr) über die Zuordnungsregel der Klarnamen zu den Pseudonymen verfügt.340 Umstritten ist, inwieweit beim Nachweis der fehlenden Identifizierbarkeit der betroffenen Person auch das für den Verantwortlichen verfügbare Zusatzwissen zu berücksichtigen ist.341

221

Eine solche Nachweispflicht besteht jedenfalls dann, wenn die vom Verantwortlichen verarbeiteten Daten, bezüglich derer er die betroffene Person nicht (mehr) identifizieren kann, immer noch als personenbezogen i.S.d. Art. 4 Nr. 1 DSGVO zu qualifizieren sind, z.B. weil ein Dritter die betroffene Person identifizieren kann.342 Ebenfalls ist unstreitig, dass eine Nachweispflicht nach Art. 11 Abs. 2 S. 1 DSGVO nicht besteht, wenn der Verantwortliche von Anfang an nicht-personenbezogene Daten verarbeitet hat, weil die DSGVO und damit auch Art. 11 DSGVO sachlich nur auf personenbezogene Daten Anwendung findet.343

222

Nicht abschließend geklärt ist hingegen, ob die Nachweispflicht nach Art. 11 Abs. 2 S. 1 DSGVO auch dann besteht, wenn der Verantwortliche ursprünglich personenbezogene Daten verarbeitet und diese dann anonymisiert hat. In der Literatur werden hierzu beide Ansichten vertreten.344

Praxishinweis

Zur Vermeidung etwaiger Haftungsrisiken sollten Unternehmen überlegen, – sofern möglich – auch die Anonymisierung von Datenbeständen zu dokumentieren, um sie ggf. auch gem. Art. 11 Abs. 2 S. 1 DSGVO nachweisen zu können, zumal die Unternehmen – dem Accountability-Prinzip folgend – oftmals ohnehin verpflichtet sein werden, die Anonymisierung zu dokumentieren.

223

Die Nachweispflicht besteht dabei (zumindest faktisch) unabhängig von der Anfrage einer betroffenen Person, die z.B. ihre Betroffenenrechte geltend machen möchte, und kann z.B. auch von den Datenschutzaufsichtsbehörden überprüft werden.345

Praxishinweis

Für einen solchen Nachweis reicht es nach hier vertretener Ansicht aus, wenn der Verantwortliche glaubhaft macht, dass er die betroffene Person trotz entsprechender Bemühungen nicht identifizieren konnte.346 Allerdings ist auch nicht auszuschließen, dass Datenschutzaufsichtsbehörden oder Gerichte – dem Wortlaut des Art. 11 Abs. 2 S. 1 DSGVO folgend – den strengeren Nachweis verlangen, dass das Unternehmen die betroffene Person nicht identifizieren konnte, es also beweisen muss, dass alle vertretbaren Mittel zur Identifizierung erfolglos waren.347 Unternehmen müssen also durch die Einführung entsprechender organisatorischer und technischer Prozesse sicherstellen, dass die Merkmale, die die betroffene Person identifizieren, auch tatsächlich beseitigt werden, wenn sie für den Verarbeitungszweck nicht (mehr) erforderlich sind. Außerdem müssen sie die Entfernung dieser Merkmale, z.B. durch deren Löschung oder Anonymisierung, dokumentieren, um sie – wie nach Art. 11 Abs. 2 S. 2 DSGVO erforderlich – auch nachweisen zu können.