Aktuell in CR

Der schleichende Personenbezug (Hornung/Wagner, CR 2019, 565 ff.)

Das Vorliegen personenbezogener Daten ist die zentrale Frage der Anwendbarkeit des Datenschutzrechts. Hierbei kann die Re-Identifizierbarkeit von Daten Verantwortliche vor erhebliche Probleme stellen – wenn sie überraschend und schlagartig, noch mehr aber wenn sie schleichend auftritt. Das geltende Datenschutzrecht adressiert dieses Problem nicht explizit, so dass Datenverarbeiter vor erheblichen Rechtsunsicherheiten stehen. Technische und rechtliche Präventionsmaßnahmen können die Probleme mildern, aber nicht aufheben. Je nach weiterer technischer Entwicklung könnte deshalb der europäische Gesetzgeber zeitnah aufgerufen sein, das Problem der „gerade so“ personenbezogenen Daten durch entsprechende Vorsorgeregelungen anzugehen.

Die Zwickmühle der Re-Identifizierbarkeit in Zeiten von Big Data und Ubiquitous Computing

Inhaltsverzeichnis

I. Geklärte und offene Fragen des Personenbezugs

II. Der Wert der Anonymität

III. Konstellationen eines nachträglich eintretenden Personenbezugs

1. Schlagartiges Eintreten des Personenbezugs

2. Schleichende Identifizierbarkeit

IV. Rechtsfolgen de lege lata

1. Sachliche Anwendbarkeit des Datenschutzrechts

2. Probleme der datenschutzrechtliche Vorgaben

a) Grundsätzliche Herausforderungen

b) Besonderheiten des schleichenden Personenbezugs

V. Lösungsansätze

1. Lösungsansätze de lege lata

a) Technische Lösungsansätze

b) Präventive rechtliche Maßnahmen

2. Lösungen de lege ferenda

VI. Fazit

 


 

I. Geklärte und offene Fragen des Personenbezugs

[1] Für die Anwendbarkeit des Datenschutzrechts ist das Vorliegen personenbezogener Daten von entscheidender Bedeutung. In sehr vielen Fällen ist eindeutig, dass ein solcher Personenbezug besteht. 1  In Grenzbereichen herrscht jedoch weder über die anzuwendenden Kriterien, noch über die konkreten Lösungen Einigkeit. Dies lässt sich insbesondere am Beispiel der IP-Adressen zeigen. Die Frage des Personenbezugs hat hier nicht nur eine kaum noch zu überschauende (und vielfach redundant geführte) Diskussion, 2  sondern auch Entscheidungen des EuGH 3  und des BGH 4  hervorgebracht.

[2] Mit diesen Urteilen dürfte die Diskussion für den konkreten Fall, nicht aber generell beendet sein, weil die Konstellationen in der Praxis sehr heterogen sind und deshalb im Einzelfall beurteilt werden muss, welche Mittel „von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“ (ErwGr 26 S. 3 DSGVO, s.u. III. 2).

[3] Ein bislang wenig durchdrungenes Problem ist, dass Identifiziertheit und Identifizierbarkeit einerseits, Anonymität anderseits keine statischen Zustände sind, sondern sich je nach den Umständen dynamisch entwickeln können. 5  Zwar finden sich in der Literatur immer wieder Warnungen vor der Möglichkeit einer Re-Identifizierbarkeit bzw. De-Anonymisierung, wenn Verantwortliche große Datenmengen sammeln und diese mittels elaborierter Big Data-Analysealgorithmen auf vermutete oder sogar noch unbekannte Zusammenhänge durchforsten. 6 Wie mit dem Problem eines sich „schleichend“ einstellenden Zustands der Identifizierbarkeit betroffener Personen umzugehen ist und welche Rechtsfolgen eingreifen, ist bislang aber kaum ausgearbeitet worden. 7

II. Der Wert der Anonymität

[4] Anonymität ist kein Wert an sich. In vielen Konstellationen ist es Menschen wichtig, erkannt oder wiedererkannt, beim Namen gerufen oder mit bestimmten Eigenschaften identifiziert zu werden. 8  Dies gilt insbesondere für persönliche Kommunikationsbeziehungen, kann aber auch und gerade dort eine Rolle spielen, wo Unbekannte an uns herantreten wollen. Nicht umsonst schützt § 12 BGB schon seit dem Jahre 1900 gegen Namensleugnung und Namensanmaßung. 9

[5] Erkannt und wiedererkannt zu werden ist aber nicht nur Ausdruck des Persönlichkeitsrechts, sondern kann dieses auch gefährden. Dies gilt insbesondere in sozialen Machtungleichgewichten, die in der Informationsgesellschaft oftmals dort auftreten, wo es zu starken Informationsgefällen kommt. In dieser Situation – wenn also der Einzelne nicht mehr weiß, „wer was wann und bei welcher Gelegenheit über ihn weiß“ 10  – bedarf es effektiver Schutzmechanismen, um zu verhindern, dass der Einzelne zum Objekt einer für ihn undurchschaubaren und deshalb auch unkontrollierbaren Datenverarbeitung wird.

[6] Diese Schutzmechanismen können einerseits rechtlicher Natur sein (Transparenzvorgaben, Beschränkungen der Datenverarbeitung, Betroffenenrechte, aufsichtsbehördliche Maßnahmen etc.). Andererseits sind oftmals technische Maßnahmen die effektivsten Mittel des Datenschutzes, da der Missbrauch personenbezogener Daten dadurch bereits faktisch verhindert werden kann. Verbote missbräuchlicher Datenverarbeitung werden so idealerweise obsolet. Eine mögliche technische Sicherung ist dabei in der Anonymisierung personenbezogener Daten zu sehen, bei der die betroffene Person durch die Aufhebung des Personenbezugs vor Verletzungen ihres Persönlichkeitsrechts weitgehend geschützt wird. 11  Gleichzeitig beseitigt die Anonymisierung die Anwendbarkeit des Datenschutzrechts und bietet so Verantwortlichen den Vorteil, der Regulierung des Datenschutzrechts zu entgehen.

[7] Das frühere Recht unterschied in § 3 Abs. 6 BDSG a.F. zwischen einer echten und einer faktischen Anonymisierung – letztere liegt vor, wenn die Daten nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. 12  Auch wenn die DSGVO diese Unterscheidung nicht explizit enthält, liegt sie der Beschreibung in ErwGr 26 zugrunde. Dort wird nämlich eine Wahrscheinlichkeitsbetrachtung vorgegeben, die die früher in § 3 Abs. 6 BDSG a.F. genannten Kriterien berücksichtigen muss. 13  Die im Folgenden erläuterten Probleme resultieren vielfach genau aus dieser Kategorie der faktischen Anonymität, die zunächst nur eine (ggf.) theoretische, später aber auch praktische Möglichkeit der Re-Individualisierung zulässt. 14

III. Konstellationen eines nachträglich eintretenden Personenbezugs

[8] Anonyme Daten können in verschiedenen Konstellationen zu personenbezogenen Daten werden. Ob die Daten dabei für den Verantwortlichen von Beginn an anonym sind oder durch ihn anonymisiert wurden, spielt eine untergeordnete Rolle, sofern die Anonymisierung technisch ordnungsgemäß durchgeführt wurde. 15

[9] Ein nachträglicher Personenbezug kann einerseits schlagartig, andererseits durch schleichende Wissensvermehrung eintreten. Beides ist durch das Erlangen von Zusatzwissen bedingt. 16

1. Schlagartiges Eintreten des Personenbezugs

[10] Schlagartig tritt ein Personenbezug ein, wenn der Verantwortliche Zusatzinformationen erhält, die eine unmittelbare Identifizierung der betroffenen Person ermöglichen. Verbleibt beispielsweise im Rahmen eines Pseudonymisierungsverfahrens 17  die Zuordnungsregel für die Erstellung von Pseudonymen bei einem vertrauenswürdigen Dritten, so sind die Daten für alle Verantwortlichen nicht personenbezogen, die weder faktisch noch rechtlich einen Zugriff auf die Zuordnungsregel haben. 18  Wird diese Regel aber später versehentlich oder absichtlich durch den vertrauenswürdigen Dritten veröffentlicht, so sind die Daten in diesem Moment für alle anderen Stellen personenbezogen, die sie in pseudonymer Form verarbeiten. 19  Ein ähnlicher Fall kann auftreten, wenn zwei Verarbeiter über Datensätze verfügen, die aufgrund hochspezifischer Muster miteinander verknüpfbar sind, und nur der eine Verarbeiter über identifizierende Merkmale verfügt. Veröffentlicht letzterer seine Datensätze nebst den identifizierenden Merkmalen, so werden die Daten auch bei ersterem personenbezogen. 20

[11] Der Personenbezug kann auch durch einzelfallbezogene Informationen schlagartig eintreten, wenn etwa (nur) ein konkretes Pseudonym aufgedeckt oder andere individuelle Zusatzinformationen verfügbar werden. Letzteres könnte sogar durch ein Auskunftsverlangen nach Art. 15 DSGVO eintreten. Agiert eine betroffene Person mit einem frei gewählten Nutzernamen gegenüber einem Verantwortlichen und hat dieser auch sonst keine Möglichkeit der Identifizierung, so wird der Anwendungsbereich des Datenschutzrechts schlagartig eröffnet, wenn die betroffene Person im Rahmen des Auskunftsbegehrens ihr Pseudonym offenlegt.

2. Schleichende Identifizierbarkeit

[12] Ungleich komplexer ist das Phänomen einer schrittweisen, ggf. schwer oder gar nicht feststellbar eintretenden Identifizierbarkeit der betroffenen Person. Die Problematik wird durch ErwGr 26 Sätze 3 und 4 DSGVO verdeutlicht, der die Kriterien für die Identifizierbarkeit nach Art. 4 Nr. 1 DSGVO erläutert (...)

 

Hier direkt weiterlesen im juris PartnerModul IT-Recht


Verlag Dr. Otto Schmidt vom 16.09.2019 13:59

zurück zur vorherigen Seite