DSGVO - BDSG - TTDSG

I. Allgemeines

1

Art. 4 DSGVO enthält Legaldefinitionen für insgesamt 26 verschiedene, in der DSGVO verwendete Begriffe. Dies stellt eine erhebliche Erweiterung gegenüber der EG-DSRl dar, die in Art. 2 EG-DSRl nur acht Legaldefinitionen enthielt. Diese acht Begriffe werden – teilweise in leicht geänderter Form – auch in der DSGVO definiert. Darüber hinaus definiert die DSGVO noch 18 weitere Begriffe.

II. Personenbezogene Daten (Nr. 1)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

2

Gleich die erste Definition des Art. 4 DSGVO von „personenbezogenen Daten“ dürfte als eine der wichtigsten Definitionen in der DSGVO gelten. Personenbezogene Daten sind gemäß Art. 2 Abs. 1 DSGVO nämlich Anknüpfungspunkt für die sachliche Anwendbarkeit der DSGVO.2 Nach Art. 4 Nr. 1 DSGVO sind personenbezogenen Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die in der DSGVO als „betroffene Person“ bezeichnet wird.

3

Neben dem allgemeinen Kanon der personenbezogenen Daten gibt es unter der DSGVO auch die besonders sensiblen und dementsprechend stärker geschützten Unterkategorien der sog. besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO, der personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO und der gegebenenfalls mitgliedstaatsrechtlich besonders geschützten personenbezogenen Beschäftigtendaten im Beschäftigungskontext nach Art. 88 DSGVO.

4

Die Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO unterscheidet sich nur von der Wortwahl und Struktur von den kürzeren, weniger präzisierten Definitionen nach § 3 Abs. 1 BDSG a.F. und Art. 2 lit. a DSRl, inhaltlich stimmen sie jedoch überein.3 Die Arbeitspapiere der Art.-29-Datenschutzgruppe und EuGH-Entscheidungen mit Bezug zur Auslegung des Begriffs der personenbezogenen Daten noch nach der DSRl sind dementsprechend auch unter der DSGVO heranzuziehen.4

2. Informationen

5

Die DSGVO geht in Art. 4 Nr. 1 für die personenbezogene Daten zugrunde liegenden Informationen von einem sehr weiten, weil unbeschränkten Verständnis des Informationsbegriffs aus („alle Informationen“).5 Dies war bereits unter § 3 Abs. 1 BDSG a.F. der Fall, wenn auch dort noch von Einzelangaben statt Informationen die Rede war, was inhaltlich jedoch zu keiner Änderung führen dürfte.

6

Unter den Informationsbegriff des Art. 4 Nr. 1 DSGVO fallen sowohl Tatsachen (sog. „objektive“ Informationen; z.B. „X hat diese Saison bereits 20 Tore geschossen“), egal, ob wahr oder bewiesen, als auch Meinungen und Beurteilungen (sog. „subjektive“ Informationen; z.B. Werturteile wie „X ist ein guter Stürmer und ist sein hohes Gehalt wert“ oder Wahrscheinlichkeitswerte).6 Es kommt im Prüfungspunkt der Information auch nicht auf den Aussagegehalt und die persönlichkeitsrechtliche Implikation der Information an, sondern es sind auch vermeintlich belanglose Informationen geschützt.7

7

Der Informationsbegriff ist dabei formneutral (z.B. akustisch, alphabetisch, fotografisch,8 grafisch, numerisch etc.) und unabhängig von der Speicherart (z.B. auf einem Videoband, schriftlich auf Papier, binär auf einer Festplatte, im menschlichen Gewebe9 etc.).10 Die Form der Verarbeitung und die Speicherart spielen lediglich eine Rolle beim sachlichen Anwendungsbereich der DSGVO nach Art. 2 Abs. 1 DSGVO (siehe dazu unten Rn. 56ff.).11

3. Personenbezug

8

Wäre jede Information, ganz gleich welchen Inhalts, von der DSGVO geschützt, würde dies zu einer maximal extensiven Anwendbarkeit der DSGVO und damit zu einem weder zu rechtfertigenden noch zu verkraftenden Aufwand für Datenverarbeiter führen. Von der Definition des Art. 4 Nr. 1 DSGVO sind dementsprechend nur Daten umfasst, die einen Personenbezug im Hinblick auf natürliche Personen aufweisen.

9

Der Personenbezug nach Art. 4 Nr. 1 DSGVO liegt vor, wenn die Information sich auf eine Person und nicht ausschließlich auf Sachen bezieht, die in Bezug genommene Person eine natürliche Person ist und die Person durch den Bezug identifiziert oder identifizierbar ist.12

a) Personenbezogene Daten/Sachdaten

10

Eine Information muss zuvorderst eine Verbindung zu einer natürlichen Person aufweisen. Weist eine Information hingegen ausschließlich Bezüge zu Gegenständen auf (sog. Sachdaten; z.B. „Der hier ausgestellte Computer hat einen Prozessor mit einer Taktfrequenz von 3,4 Gigahertz“), besteht kein Personenbezug nach Art. 4 Nr. 1 DSGVO. In diesem Prüfungspunkt geht es noch nicht darum, ob die konkrete Person hinter der Information wirklich identifizierbar ist (insbesondere durch die jeweils verarbeitende Stelle, vgl. nachfolgend Rn. 33ff.), sondern ob die Information je nach Kontext überhaupt mit natürlichen Personen in Verbindung gebracht werden kann.

11

Nach der Art.-29-Datenschutzgruppe beziehen sich Daten auf Personen, wenn sie die Identität, die Merkmale oder das Verhalten dieser Person betreffen oder wenn sie verwendet werden, um die Art festzulegen oder zu beeinflussen, in der die Person behandelt oder beurteilt wird.13 Sie unterscheidet personenbezogene Daten insofern in solche mit Inhalts- („über“), Zweck- („um“) und Ergebniselementen („auswirken“), wobei mehrere Elemente vorhanden sein können, aber nicht müssen.14

12

Zu beachten ist dabei, dass reine Sachdaten in der Praxis äußerst selten sind. So lassen sich viele Angaben, die sich zwar vordergründig auf Sachen beziehen, je nach Kontext, entsprechender Zuordnung zu einer Person oder durch entsprechendes Zusatzwissen zumindest mittelbar auch auf eine Person beziehen. Die Funktion einer IP-Adresse15 ist beispielsweise, Computer untereinander adressierbar und damit erreichbar zu machen. Eine IP-Adresse ist somit zwar in erster Linie eine Information über eine Sache, nämlich den Computer. Da IP-Adressen in der Regel jedoch von Internetzugangsanbietern an ihre jeweiligen Kunden vergeben werden, können IP-Adressen damit auch durch die Zuweisung an bestimmte Vertragspartner eine Verbindung zu natürlichen Personen aufweisen (zur Identifizierbarkeit des Nutzers anhand der IP-Adresse sogleich unten Rn. 34).16 Weitere Beispiele von sich zwar in der Hauptfunktion auf Sachen beziehende Informationen, die aber potenziell auch einen Personenbezug aufweisen können, sind Cookies,17 Geodaten,18 KfZ-Scheckhefte und Kreditkartennummern.

13

Eine Personenbezogenheit von Daten kann sich auch erst im Zuge deren Verarbeitung ergeben. So können eigentlich (inhaltsleere) sachbezogene Daten so zusammengeführt und kombiniert werden, um einen Personenbezug erst herzustellen.19 Aufgrund dieses Zweckelements handelt es sich um Daten mit Personenbezug.20 Daten mit Ergebniselement haben den Personenbezug weder als Inhalt noch als Zweck, ihre Verarbeitung kann aber Auswirkungen auf die Person haben (z.B. die bei einer Standortüberwachung von Taxis zur Verbesserung der Servicequalität erhobenen Daten, die als ungeplanter Nebeneffekt auch zur Kontrolle der Taxifahrer verwendet werden können).21

14

Auch im Rahmen des Internet of Things-Trends produzieren die miteinander vernetzten Haushaltsgeräte häufig Daten, die grundsätzlich auch einer bestimmten Person, etwa dem jeweiligen Nutzer oder Inhaber des jeweiligen Endgeräts, zugeordnet werden können; Entsprechendes gilt etwa für Telemetriedaten von Fahrzeugen.22

b) Natürliche/Betroffene Person

15

In der Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO ist ausdrücklich festgelegt, dass sich die Information auf eine natürliche Person (also einen Menschen)23 beziehen muss. Die natürliche Person, auf welche sich die Informationen beziehen, wird in Art. 4 Nr. 1 DSGVO beiläufig auch als „betroffene Person“ definiert, was ebenfalls einer der meist gebrauchten Termini in der DSGVO ist, insbesondere im Zusammenhang mit den Betroffenenrechten. Ausweislich ErwG 14 Satz 1 ist das Recht auf den Schutz personenbezogener Daten ein allgemeines Recht, welches unabhängig von der Staatsangehörigkeit und dem Aufenthaltsort der natürlichen Person ist.24

aa) Juristische Personen

16

Daten, die sich ausschließlich auf juristische Personen beziehen, sind nicht nur im Umkehrschluss zu der Begrenzung auf natürliche Personen in Art. 4 Nr. 1 DSGVO, sondern auch explizit nach ErwG 14 Satz 2 keine personenbezogenen Daten. Nach letzterem ErwG sind insbesondere als juristische Person gegründete Unternehmen, einschließlich Name, Rechtsform und Kontaktdaten der juristischen Person, nicht geschützt. Der Begriff der juristischen Person umfasst insofern nicht nur Kapitalgesellschaften, sondern auch Personengesellschaften und Vereine.25 Der Ausschluss von juristischen Personen als Bezugspunkt ist insofern nicht selbstverständlich, als einige Mitgliedstaaten wie Italien, Luxemburg und Österreich nach alter Rechtslage den Anwendungsbereich ihres nationalen Datenschutzrechts zum Teil auch auf juristische Personen ausgeweitet hatten.26 Auch der deutsche Gesetzgeber schützt im Sozialrecht Betriebsgeheimnisse durch das Sozialgeheimnis des § 35 Abs. 4 SGB I i.V.m. § 67 SGB X.27 Im Rahmen des Fernmeldegeheimnisses sind gemäß § 91 Abs. 1 Satz 2 TKG auch Einzelangaben über juristische Personen und Personengesellschaften geschützt, soweit sie mit der Fähigkeit ausgestattet sind, Rechte zu erwerben oder Verbindlichkeiten einzugehen.28 Auch die ePrivacy-Richtlinie (2002/58/EG) sieht in Art. 1 Abs. 2, Art. 12 und 13 die Anwendung einiger Bestimmungen für Teilnehmerverzeichnisse und unerbetene Nachrichten auch auf juristische Personen vor.29

17

Die Ausnahme der Informationen mit Bezug zu juristischen Personen greift im Rahmen des Art. 4 Nr. 1 DSGVO allerdings nur, wenn die Informationen tatsächlich keinerlei Bezug zu natürlichen Personen aufweisen. Es ist nämlich sehr gut möglich, dass eine Information über eine juristische Person durch etwaige Rückschlussmöglichkeiten auf eine dahinterstehende natürliche Person „durchschlägt“. Beispielsweise können aus der finanziellen Situation einer Ein-Mann-GmbH auch Rückschlüsse auf den einzigen Gesellschafter gezogen werden.30 Dies droht generell, wenn der Name der juristischen Person den Namen einer natürlichen Person enthält bzw. sich dieser davon ableiten lässt.31 Auch bei Informationen über E-Mail-Adressen, die ihren Inhaber zwar nicht namentlich ausweisen, jedoch regelmäßig vom gleichen Mitarbeiter verwaltet werden, oder Aussagen über Kleinbetriebe, die in Zusammenhang mit dem Verhalten ihres jeweiligen Eigentümers stehen, ist ein entsprechendes Durchschlagen auf die dahinterstehende natürliche Person möglich.32

bb) Verstorbene/Ungeborene

18

Ebenfalls nicht in den Schutzbereich der DSGVO fallen Daten, die sich ausschließlich auf Verstorbene beziehen.33 Hier besteht allerdings ebenfalls das Problem, dass ein Datum über einen Verstorbenen auf eine andere natürliche Person durchschlägt, z.B. auf Angehörige bezüglich Erbkrankheiten.34

19

In ErwG 27 Satz 2 findet sich eine Öffnungsklausel für die Mitgliedstaaten, um den datenschutzrechtlichen Anwendungsbereich auf mitgliedstaatlicher Ebene auch auf personenbezogene Daten Verstorbener auszuweiten, was der deutsche Gesetzgeber bisher nicht getan hat.35 Allerdings bestehen in Deutschland spezielle Gesetze zum Schutz von Informationen über Verstorbene, z.B. im Arzt-, Kunsturheber-, postmortalen Persönlichkeits-,36 Sozial-, Statistik-, Steuer- und Strafrecht.37

20

Hiermit im Zusammenhang stehen verschiedene, bislang weitestgehend ungeklärte Fragestellungen zum sog. digitalen Nachlass von Betroffenen.38 Das LG Berlin hat Facebook zugunsten der Eltern einer minderjährigen verstorbenen Tochter etwa dazu verpflichtet, den Eltern als Erben der Tochter Zugang zu dem Benutzerkonto und den Kommunikationsinhalten zur Verfügung zu stellen, weil die Gesamtrechtsnachfolge des § 1922 BGB auch beim Facebook-Nutzungsvertrag greife.39 Eine Ausübung der allgemeinen Betroffenenrechte (Art. 15–22 DSGVO) durch Erben dürfte hingegen ohne eine mitgliedstaatliche Erweiterung nicht möglich sein.40

21

Ob Informationen über ungeborenes Leben (sog. nasciturus) personenbezogene Daten sind oder nicht, lässt sich der DSGVO nicht entnehmen und ist dementsprechend in der Literatur umstritten. Zum Teil wird darauf abgestellt, dass im deutschen Recht ein noch werdendes, also nicht geborenes Kind schon erben, Schenkungen annehmen oder gar Schadensersatzansprüche geltend machen kann. Um Wertungswidersprüche zu vermeiden, sei daher eine Vorverlagerung des Rechts auf informationelle Selbstbestimmung angezeigt.41 Ferner könne man aus ErwG 27 Satz 1 (durch den Verstorbene vom Anwendungsbereich der DSGVO ausgenommen werden) den Umkehrschluss ziehen, dass der Verordnungsgeber die Geltung der DSGVO in diesem Zuge auch explizit für ungeborenes Leben ausgeschlossen hätte, wenn er dies beabsichtigt hätte.42 Demgegenüber wird angeführt, dass die DSGVO mit ihren Betroffenenrechten (Art. 15–22 DSGVO) von einer lebenden betroffenen Person ausgeht, die spezielle Rechte selbst ausüben kann, und dementsprechend Daten über ungeborene Kinder keine personenbezogene Daten darstellen.43 Ungeachtet dessen gilt jedoch auch hier wiederum die Einschränkung, dass die Informationen über ungeborene Kinder auch auf lebende Personen, insbesondere in der Regel auf die Mutter des ungeborenen Kindes,44 durchschlagen können.45

c) Identifizierte bzw. identifizierbare Person

22

Für die Qualifizierung als personenbezogene Daten nach Art. 4 Nr. 1 DSGVO müssen die Informationen nicht nur einen generellen Bezug zu einer natürlichen Person aufweisen, sondern sie müssen gerade eine spezifische natürliche Person identifizieren oder zumindest identifizierbar machen.

23

Die unterschiedliche Syntax von identifiziert/identifizierbar in Art. 4 Nr. 1 DSGVO und bestimmt/bestimmbar in § 3 Abs. 1 BDSG a.F. bzw. Art. 2 lit. a DSRl führt zu keiner inhaltlichen Änderung, denn die englische Fassung in der DSRl und der DSGVO sprechen einheitlich von „identified“/„identifiable“.46

aa) Identifizierte Person

24

Ein Datum identifiziert eine natürliche Person, wenn die Identität dieser unmittelbar aus der Information selbst hervorgeht.47 Eine natürliche Person ist dementsprechend identifiziert, wenn sie sich in einer Personengruppe von allen anderen Mitgliedern der Gruppe unterscheidet48 und sie deshalb aus der Gruppe ausgesondert werden kann („singling out“49).50 Die klassische Zuordnungsmethode ist insofern ein aussagekräftiger Name einer Person, der die Wiedererkennung der Person ermöglicht, wobei nicht stets der Name zur Identifikation benötigt wird.

25

Die Identifizierbarkeit hängt von den jeweiligen Umständen ab und ist daher kontextsensitiv zu bewerten.51 Während eine Person regelmäßig nicht durch einen Allerwelts-Nachnamen bezogen auf die gesamte Landesbevölkerung identifiziert werden kann, reicht der Nachname häufig innerhalb einer Schulklasse aus.52 Auch die Information „der Mann im schwarzen Anzug“ kann bezogen auf eine Gruppe von Passanten an einer Fußgängerampel ausreichen.53

26

Unklar ist, ob individuell, dauerhaft und in Bezug auf eine bestimmte natürliche Person vergebene Kennungen wie die Sozialversicherungsnummer und die Steueridentifikationsnummer bereits von sich aus eine Identifizierung ermöglichen oder hierzu entsprechendes Referenzwissen erforderlich ist.54 In Rekurs auf das oben genannte Beispiel einer Menschenmenge wäre insoweit erforderlich, dass eine bestimmte Person auf Grundlage der bloßen Kenntnis einer solchen Kennziffer aus einer Gruppe ausgesondert werden können müsste. Hierzu wird es maßgeblich auf den jeweiligen organisatorischen Zusammenhang ankommen.55 In aller Regel wird sich eine Zuordnung jedoch nur anhand entsprechenden Referenzwissens über den Träger der Kennung herstellen lassen; folglich ist zu prüfen, ob die jeweilige datenverarbeitende Stelle über das nötige Zusatzwissen verfügt oder ihr entsprechende Mittel vernünftigerweise zur Verfügung stehen, dieses Zusatzwissen zu erhalten (dazu unten Rn. 33).56

27

Online-Kennungen (z.B. IP- und MAC-Adressen, Smartphone-IDs, Cookie-IDs oder andere ähnliche Technologien wie Device-Fingerprinting) identifizieren für sich allein genommen regelmäßig keine Person, da sich aus ihnen unmittelbar weder die Identität der natürlichen Person, der der Computer gehört, von dem aus eine Website aufgerufen wurde, noch die Identität einer anderen Person, die diesen Computer benutzen könnte, ergibt.57 Insofern ermöglichen solche Kennungen isoliert allenfalls ein individuelles Ansprechen der jeweils sich hinter der Kennung befindlichen bzw. agierenden natürlichen Person. Eine solche Individualisierung erfolgt jedoch nicht in Ansehung dieser Personen und führt daher nicht zu deren Identifizierung. So statuiert der EuGH, dass IP-Adressen isoliert betrachtet gerade kein personenbezogenes Datum darstellen (obwohl sie eine solche individuelle Ansprache ermöglichen).58 Daraus folgt, dass der Gerichtshof es für eine Identifizierung als nicht ausreichend zu erachten scheint, eine Person auf sonstige Weise individualisieren zu können, um ein Datum als personenbezogen zu klassifizieren. Eine Identifizierbarkeit ist je nach Sachverhalt aber denkbar (dazu unten Rn. 30).

28

Auch selbst gewählte Pseudonyme,59 insbesondere im Online-Bereich (z.B. E-Mail-Adressen oder Twitter-Handles), identifizieren in diesem Sinne alleine ohne weitere Informationen weder die Person, der das Pseudonym gehört, vom dem die Nachrichten verschickt bzw. veröffentlicht wurden, noch die Identität einer anderen Person, die dieses Pseudonym benutzen könnte.60 Das Gleiche gilt für gänzlich andere Kennungen, wie z.B. Kreditkartennummern. Auch hier ist jeweils im Einzelfall zu prüfen, ob dem Verantwortlichen selbst weitere Informationen zur Identifizierung oder „rechtliche Mittel“ (siehe dazu unten Rn. 37) zur Verfügung stehen, entsprechendes, zur Identifizierung erforderliches Zusatzwissen von einem Dritten zu erhalten.61

29

Neben einer einzelnen Information hilft auch eine Kombination verschiedener Informationen zur Identifizierung der Person, wie z.B. die Hinzuziehung von Geburtsdatum, Namen der Eltern, Adresse oder Fotografie des Gesichts zusätzlich zum Namen (vgl. bezüglich der Nutzung von Fotos insoweit die Abgrenzung zum Kunsturhebergesetz (KUG, unten Rn. 40ff.).62

bb) Identifizierbare Person

30

Der sachliche Anwendungsbereich der DSGVO ist jedoch bereits eröffnet, sofern sich ein Datum auf eine identifizierbare Person bezieht. Eine Information macht eine natürliche Person identifizierbar, wenn durch sie allein die Identifizierung (also die Wiedererkennung) zwar selbst nicht unmittelbar möglich ist, eine entsprechende Identifizierung aber mittels Verknüpfung mit weiteren Informationen hergestellt werden kann. Als identifizierbar wird nach Art. 4 Nr. 1 DSGVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere63 mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen,64 psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Kenntnis des Namens der natürlichen Person ist dementsprechend für eine Identifizierbarkeit nicht unbedingt erforderlich.65