DSGVO - BDSG - TTDSG

Tekst

Książka w języku niemieckim

Z serii: Kommunikation & Recht

Recenzje

Przeczytaj fragment

Oznacz jako przeczytane

Jak czytać książkę po zakupie

Smartfon,
tablet Komputer,
laptop E-czytnik

Pobierz:
FB2
EPUB
iOS.EPUB
7 więcej

Rozmiar: 4740 str. 6 ilustracji
Kategoria: adwokatura Edytuj

Czcionka:Mniejsze АаWiększe Aa

(1) Wahrscheinlichkeit der Identifizierung

Um festzustellen, ob eine natürliche Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich66 genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren (ErwG 26 Satz 3). Die rein hypothetische Möglichkeit zur Identifizierung der Person reicht somit nicht aus, um die Person als identifizierbar anzusehen.67 Es ist allerdings auch nicht notwendig, dass der Verantwortliche tatsächlich Bestrebungen einleitet oder über entsprechende Mittel bereits verfügt, um eine Identifizierung herbeizuführen, sondern es reicht die festgestellte Wahrscheinlichkeit, dass er diese einleitet bzw. entsprechende Mittel erwerben wird.68 Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sind im Rahmen einer Risikoanalyse bzw. -prognose nach ErwG 26 Satz 4 alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, heranzuziehen, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklung zu berücksichtigen sind. Nach der Breyer-Entscheidung des EuGH ist dabei ein faktisches Risiko der Herstellung eines Personenbezugs erforderlich.69 Zur Bestimmung, ob ein solches Risiko gegeben ist, dürften als objektive Faktoren (neben den in ErwG 26 Satz 4 ausdrücklich genannten) zu berücksichtigen sein, ob der Zweck der Verarbeitung eine Identifizierung erfordert, ob die Identifizierung zu einer Nutzungssteigerung führt (je nach Verarbeitungszweck) und ob der Identifizierung vertragliche und/oder organisatorische Hemmnisse entgegenstehen (z.B. Vertragsstrafen). Abschließend dürfte in einer Abwägung zu entscheiden sein, ob der Aufwand für den erwarteten Kenntnisgewinn der Identifizierung unverhältnismäßig ist. Hat ein Unternehmen beispielsweise in zwei unterschiedlichen Datenbanken Informationen über Personen gespeichert (die isoliert betrachtet jedoch keine eindeutige Zuordnung zu einer Person ermöglichen), deren Zusammenführung dabei zu einer Identifizierung führen würde und unter Berücksichtigung der typischerweise am Markt verfügbaren Datenanalysetools mit einem vertretbaren Aufwand an Zeit und Kosten auch möglich wäre, wäre die Identifizierbarkeit auch der (noch) nicht zusammengeführten Datenbanken zu bejahen.70 Vice versa kann durchaus zu beachten sein, dass ein Verantwortlicher erhebliche Anstrengungen unternehmen und Aufwände auf sich nehmen kann, um einen Datenbestand anhand eines entwickelten Anonymisierungskonzepts nicht personenbeziehbar zu halten, da dies zur Erreichung der jeweils verfolgten Zwecke nicht erforderlich ist. In solchen Fällen würde eine Re-Identifizierung dieses Unterfangen geradezu konterkarieren und gefährden. Demnach erscheint die Gefahr einer Re-Identifizierung jedenfalls durch den Verantwortlichen in derartigen Konstellationen als de facto ausgeschlossen. Gesetzlich verbotene Mittel zur Herstellung der Identifizierbarkeit sind jedenfalls nach dem EuGH bei der Betrachtung ausdrücklich nicht einzubeziehen.71

(2) Relevanter Beurteilungszeitpunkt

Entscheidender Zeitpunkt für die Frage der wahrscheinlich vom Verantwortlichen verwendeten Mittel zur Identifizierung ist der Zeitpunkt der Verarbeitung, nicht erst der eigentlichen Identifizierung.72 Zu beachten ist, dass die Einschätzung der Individualisierbarkeit sich bei jeder Verarbeitung aufgrund des zeitlichen Moments z.B. durch neu erlangte Zusatzinformationen, neue technologische Analysemöglichkeiten oder ein neues Geschäftsmodell verändern kann.73 Insofern sieht auch ErwG 26 Satz 4 im Vergleich zur DSRl vor, dass auch die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.74

(3) Berücksichtigung von Zusatzwissen Dritter

Darüber hinaus stellt sich die Frage, ob das Wissen und die Mittel Dritter und nicht nur des Verantwortlichen bei der Identifizierbarkeit ebenfalls Berücksichtigung finden müssen. Diese altbekannte Streitfrage klärt die DSGVO leider nicht. Der Streit zwischen dem absoluten und relativen Verständnis des Personenbezugs lebt daher fort.75 Das absolute Verständnis geht davon aus, dass im Sinne einer objektiven Betrachtungsweise jegliche potenzielle Kenntnisnahmemöglichkeit eines Dritten, inkl. eines rechtswidrigen Zugriffs auf den Datenbestand bzw. sogar das „gesamte Weltwissen“,76 zu einer Identifizierbarkeit führt,77 wovon unter der alten Rechtslage insbesondere die deutschen Datenschutzaufsichtsbehörden78 ausgingen.

Nach dem relativen Verständnis ist hingegen im Sinne einer subjektiven Betrachtungsweise nur auf die Kenntnisnahmemöglichkeiten des jeweiligen Verantwortlichen abzustellen.79 Spätestens mit der Breyer-Entscheidung des EuGH scheint sich hingegen auch in der Literatur als herrschende Ansicht eine vermittelnde Ansicht herausgebildet zu haben, die entweder als absoluter Ansatz mit relativierenden Elementen80 oder als relativer Ansatz mit Einschränkungen/objektivierenden Elementen81 bezeichnet wird. Der EuGH hatte im Breyer-Urteil darüber zu entscheiden, ob und wann dynamische IP-Adressen für Webseitenanbieter personenbezogene Daten darstellen. Er stellte dabei nur auf das Wissen ab, über das der Webseitenanbieter verfügt, bezog in diese Betrachtung aber alle vernünftigerweise vom Webseitenanbieter verwendeten rechtlichen Mittel ein, die es dem Webseitenanbieter erlauben, die betreffende Person anhand der Zusatzinformationen Dritter, bestimmen zu lassen.82 Konkret stellt der EuGH auf den Internetzugangsanbieter83 ab, der dem Webseitenanbieter helfen könne, die dynamische IP-Adresse der betroffenen Person zuzuordnen.84 Der BGH hat in Umsetzung des EuGH-Urteils festgestellt, dass dem Beklagten Auskunftsrechte gegenüber Internetzugangsanbietern nach § 100j Abs. 2 und Abs. 1 StPO sowie § 113 TKG zustehen können, durch die der Webseitenbetreiber das für die Identifizierung erforderliche Zusatzwissen über den jeweiligen Anschlussinhaber vom Internetzugangsanbieter erlangen könne, und es sich deshalb bei dynamischen IP-Adressen um personenbezogene Daten handele.

Der relative Ansatz ist mit Einschränkungen auch unter der DSGVO vorzugswürdig insofern, als sich der Verantwortliche etwaiges Zusatzwissen Dritter zurechnen lassen muss, über welches er gegenwärtig zwar nicht verfügt, ihm jedoch Mittel zustehen, um sich dieses Zusatzwissen zu verschaffen, und es darüber hinaus noch wahrscheinlich ist, dass er diese Mittel nutzen würde (vgl. insoweit zur Möglichkeit eines Abschneidens dieser Mittel Rn. 51). Für ein solches Verständnis spricht zum einen, dass die DSGVO in ErwG 26 Satz 3 nicht nur auf Mittel abstellt, die nur der Verantwortliche, sondern auch eine andere Person – nach allgemeinem Ermessen wahrscheinlich – verwendet, um eine Person zu identifizieren. Zum anderen wird in ErwG 30 darauf hingewiesen, dass Online-Kennungen, wie z.B. IP-Adressen, mit entsprechendem Zusatzwissen eine Identifizierung erlauben können. Die teleologische Auslegung streitet auch weiterhin unter der DSGVO für die relative Ansicht, insbesondere der Verlust der Identifizierbarkeit als Abgrenzungsmerkmal bei Zugrundelegung des absoluten Ansatzes bei der Bestimmung des sachlichen Anwendungsbereichs der DSGVO und die damit einhergehende schwindende Möglichkeit, personenbezogene Daten zu anonymisieren, weil Verantwortliche nie rechtssicher feststellen könnten, ob eine Individualisierbarkeit der verarbeiteten Informationen nicht doch theoretisch möglich wäre (obwohl es für den Verantwortlichen unmöglich ist).85

Es ist auch nicht ersichtlich, warum die DSGVO auf Datenverarbeitungen Anwendung finden sollte, die kein reales Gefahrenpotenzial für das Recht auf informationelle Selbstbestimmung von natürlichen Personen haben.86

Der EuGH hat im Breyer-Urteil festgestellt, dass neben faktischen (inkl. technischen Mitteln, also z.B. Zugriff auf Server eines Vertragspartners, Datenanalysetools, Weisungsrechte gegenüber einer Tochtergesellschaft) auch rechtliche Mittel im Hinblick auf das Zusatzwissen von Dritten berücksichtigt werden müssen.87 Unklar ist jedoch, ob die Tatbestandsvoraussetzungen von etwaigen Auskunftsansprüchen tatsächlich vorliegen müssen oder nicht.88 Diese dürften beispielsweise dann nicht vorliegen, wenn Informationen zu Zwecken erhoben werden, die eine Einschaltung der Staatsanwaltschaft oder entsprechender Aufsichtsbehörden nicht nach sich ziehen können (etwa reine Nutzungsanalysezwecke). Die Argumentation des EuGH legt dabei zunächst nahe, dass bereits die abstrakte Möglichkeit von Auskunftsverlangen ausreiche, wenn er darauf abstellt, dass solche rechtlichen Mittel nach deutschem Recht bestehen.89 Demgegenüber klingt in der das EuGH-Urteil umsetzenden Entscheidung des BGH an, dass jedenfalls auf den konkreten Kontext abzustellen sei. So statuiert der BGH, dass der Beklagte im Falle einer bereits eingetretenen Schädigung Strafanzeige erstatten oder im Falle der drohenden Schädigung die zur Gefahrenabwehr zuständigen Behörden einschalten kann.90

Zwar scheint der BGH dabei keine tatsächliche Prüfung einer solchen Schadenslage zur Bejahung eines Personenbezugs für erforderlich zu halten.91 Gleichwohl statuiert er weiter, dass „[...] die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden zu diesem Zweck von Internetzugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen [können]“.92 Demgemäß spricht dies dafür, dass der konkrete, vom jeweiligen Verantwortlichen verfolgte Verarbeitungs- und Speicherzweck bei der Bewertung, ob ihm entsprechende rechtliche Mittel zur Verfügung stehen, jedenfalls zu berücksichtigen ist. Richtigerweise wird daher auf den konkreten Einzelfall abzustellen sein, mithin, ob eine Nutzung der rechtlichen Mittel nach allgemeinem Ermessen wahrscheinlich ist, z.B. Speicherung der IP-Adressen zur Ahndung von Urheberrechtsverletzungen93 oder Abwehr von Cyber-Angriffen.94

(4) Identifizierbarkeit bei Personengruppen

Interessant ist die Frage der Identifizierbarkeit bei Personengruppen, wenn mehrere natürliche Personen als Bezugspunkt der Information in Frage kommen. Eine dynamische IP-Adresse ändert sich beispielsweise beim Einsatz eines Routers grundsätzlich nicht beim Ein-/Ausschalten des Computers oder beim Abmelden der Nutzer, sondern nur alle 24 Stunden oder wenn der Router neu gestartet wird. Theoretisch können somit mehrere Nutzer mit der gleichen dynamischen IP-Adresse im Internet surfen oder z.B. illegal Musik herunterladen, was insbesondere auch bei offenen WLAN, Anonymisierungsdiensten und Internetcafés95 relevant wird. Sofern nicht durch das Hinzuziehen weiterer Informationen (z.B. Verhaltensmuster oder Zeitstempel) klar eine Person als Nutzer zuordenbar ist, ist eine Identifizierbarkeit hier zu verneinen.96

d) Foto- und Videoaufnahmen/Abgrenzung zum KUG

Umstritten ist, unter welches Regelungsregime die Nutzung von Foto- und Videoaufnahmen fällt, auf denen natürliche Personen abgebildet sind. Insofern besteht die Besonderheit, dass (jedenfalls) die Verbreitung und öffentliche Zurschaustellung von Foto- und Videoaufnahmen als sog. Bildnisse auch durch die §§ 22ff. KUG geregelt wird. Fraglich ist daher, ob die Vorschriften des KUG als speziellere Vorschriften für einerseits die Verbreitung und öffentliche Zurschaustellung sowie andererseits auch die Erstellung und Speicherung von Bildnissen Anwendung finden und somit die DSGVO verdrängen.97

Dies ist insoweit relevant, da etwa eine Einwilligungserklärung nach § 22 KUG erheblich geringeren Anforderungen unterliegt, als etwa eine Einwilligung nach Maßgabe der DSGVO. So werden entsprechende (konkludente) Einwilligungen oftmals durch den Abschluss von Nutzungsverträgen erteilt.98 Bei einer Anwendbarkeit der DSGVO auch auf solche Sachverhalte wäre insoweit fraglich, ob diese Einwilligungen bzw. Nutzungsverträge den Anforderungen von Art. 4 Nr. 11 und Art. 7 DSGVO entsprechen müssen oder andere Erlaubnistatbestände der DSGVO greifen können. Darüber hinaus wäre zu eruieren, ob die Informationspflichten nach Art. 13, 14 DSGVO gegenüber dem Abgebildeten zu erfüllen sind. In der Praxis kann dies je nach Umständen des Einzelfalls jedoch nahezu unmöglich sein, etwa im Falle von Veranstaltungsfotos.99

Teilweise wird in einem pragmatischen Ansatz angeführt, dass die Vorlage der Voraussetzungen einer rechtmäßigen Verwendung nach §§ 22, 23 KUG indiziere, dass auch die Vorgaben der DSGVO erfüllt seien.100 Zutreffend erscheint jedenfalls, davon ausgehen zu können, dass soweit die Verbreitung bzw. öffentliche Zurschaustellung des Bildnisses auf einem Ausnahmetatbestand des § 23 KUG beruht, in aller Regel auch die Voraussetzungen einer rechtmäßigen Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO vorliegen sollten.101 Ein derart angenommener Gleichlauf der Regime stößt jedoch schnell an seine Grenzen: So ist etwa zu beachten, dass eine Einwilligung nach § 22 KUG nach der Rechtsprechung des BGH nur aufgrund eines wichtigen bzw. plausiblen Grundes widerrufen werden kann,102 während nach Art. 7 Abs. 3 DSGVO grundsätzlich jederzeit ein freier Widerruf möglich bleibt.103 Ungelöst bliebe ferner das Problem der fehlenden Belehrung der Betroffenen nach Art. 13, 14 DSGVO. Die Frage nach dem Anwendungsvorrang zwischen DSGVO und KUG kann somit nicht dahinstehen.

Zu beachten ist dabei, dass die Regelungen der §§ 22ff. KUG lediglich die Verbreitung bzw. öffentliche Zurschaustellung von Bildnissen regeln, nicht jedoch deren Erstellung und Speicherung. Demgemäß besteht weitgehend Konsens, dass das KUG die Vorschriften der DSGVO (wenn überhaupt) auch nur insoweit verdrängen könne; die Erstellung und Speicherung von Bildnissen unterfiele daher ausschließlich der DSGVO.104

Eine Ansicht geht dabei von einem umfassenden Anwendungsvorrang der DSGVO aus. Diesbezüglich wird angeführt, dass die DSGVO als Verordnung gemäß Art. 288 AEUV Anwendungsvorrang genießt und der DSGVO eine dem § 1 Abs. 3 BDSG a.F. vergleichbare Öffnungsklausel fehle.105 Danach solle Maßstab der Datenverarbeitung weiterhin der Katalog an Rechtsgründen nach Art. 6 Abs. 1 DSGVO bleiben.106 In Konsequenz wären auch grundsätzlich die Informationspflichten nach Art. 13, 14 DSGVO zu erfüllen.107

Eine ausschließliche Anwendbarkeit des KUG für die Verbreitung bzw. öffentliche Zurschaustellung von Foto- und Videoaufnahmen wird von einer anderen Ansicht mit Verweis auf die Regelung von Art. 85 DSGVO vertreten, wonach die Mitgliedstaaten das Recht auf den Schutz personenbezogener Daten nach der DSGVO und das Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang bringen sollen.108 Innerhalb der für die Anwendung des KUG plädierenden Ansicht ist jedoch weiter umstritten, ob die Anwendbarkeit des KUG einer Beschränkung auf bestimmte Nutzungszwecke unterliegt. Rechtlicher Hintergrund ist dabei die Frage, ob die Öffnungsklausel zugunsten der Meinungs- und Informationsfreiheit (und damit die §§ 22 KUG ff.) dem Anwendungsbereich von Art. 85 Abs. 1 oder Abs. 2 DSGVO zuzuordnen ist. Sofern Art. 85 Abs. 2 DSGVO einschlägig wäre, hätte dies zur Folge, dass das KUG lediglich für die Verarbeitung von Bildnissen zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken Anwendung finden würde.109 Dies vertritt für den journalistischen Bereich etwa das OLG Köln.110 Im Umkehrschluss würde dies jedoch bedeuten, dass die Veröffentlichung von Foto- und Videoaufnahmen für andere als die in Art. 85 Abs. 2 DSGVO ausdrücklich genannten Zwecke, etwa die Öffentlichkeitsarbeit von Unternehmen oder Werbung, nicht dem KUG unterfiele, sondern hierfür die Regelungen der DSGVO Anwendung fänden.111 Demgegenüber unterfiele auch die Bildnutzung zu anderen Zwecken grundsätzlich dem KUG, sofern die Öffnungsklausel Art. 85 Abs. 1 DSGVO zuzuordnen wäre. Insofern enthält Art. 85 Abs. 1 DSGVO genauso wie ErwG 153 keine abschließende Aufzählung der privilegierten Zwecke und geht daher über die Regelung des Art. 85 Abs. 2 DSGVO hinaus.112

Ungeachtet dieses Streitstands erscheint ferner denkbar, darauf abzustellen, ob schwerpunktmäßig das Recht am eigenen Bild (dann KUG), wie etwa bei Veranstaltungsfotos oder deren Nutzung in Werbematerialien, oder aber das Recht auf informationelle Selbstbestimmung der abgebildeten Personen (dann DSGVO) betroffen ist, etwa bei der Vorstellung von Personen im Internet oder Intranet mitsamt Namen und Kontaktdaten, bei dem die Mitteilung des in dem jeweiligen Bildnis verkörperten Informationsgehalts im Vordergrund steht.113 Dieser Sichtweise folgend wäre bei einer schwerpunktmäßigen Betroffenheit des Rechts am eigenen Bild konsequenterweise jedoch auch davon auszugehen, dass die DSGVO umfassend keine Anwendung fände, demnach auch nicht für die Erstellung und Speicherung eines Bildnisses. Aufgrund des eindeutigen Anwendungsbereichs der §§ 22ff. KUG unterläge diese somit einer Abwägung der beiderseits betroffenen Grundrechte, etwa im Rahmen einer Prüfung nach § 823 Abs. 1 BGB,114 wobei hierbei die Wertungen des §§ 22ff. KUG zu berücksichtigen wären.115

e) Anonyme Daten

Anonyme Daten sind der Konterpart zu personenbezogenen Daten, also Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die (nachträglich) in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Sie sind dementsprechend gemäß ErwG 26 Satz 5 und 6 nicht vom Anwendungsbereich der DSGVO umfasst; demgemäß unterliegt die Verarbeitung von anonymen Daten keinen datenschutzrechtlichen Limitierungen.116 Die DSGVO hat der Anonymisierung – im Gegensatz zur Pseudonymisierung – keine eigene Definition in Art. 4 DSGVO gewidmet, sondern behandelt anonyme Daten lediglich in ErwG 26 Satz 5.117 Interessanterweise legaldefinieren einige Landesdatenschutzgesetze die Anonymisierung als das Verändern personenbezogener Daten dergestalt, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.118 Diese Begriffsbestimmung greift dabei offenbar den Wortlaut relevanter Erwägungsgründe sowie einschlägiger EuGH-Rechtsprechung auf; hierzu nachfolgend.

Es gibt in der DSGVO keine spezifischen Vorgaben, wann die Schwelle zur Anonymität erreicht ist, weshalb für jeden Einzelfall auf die oben dargestellten allgemeinen Erwägungen zur Bestimmung des Personenbezugs von Informationen abzustellen ist.119 Von einer Anonymisierung aufgrund fehlenden Bezugs zu einer identifizierten oder identifizierbaren natürlichen Person kann daher gesprochen werden, wenn alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich eingesetzt werden können, um die betreffende Person zu identifizieren, und sich dennoch kein Personenbezug herstellen lässt.120 Die Zielstellung einer solchen Analyse stellt sich somit als Negativ zur Prüfung, ob ein Datum personenbeziehbar ist, dar (vgl. oben Rn. 30ff.). Ersteres dürfte entsprechend der EuGH-Rechtsprechung der Fall sein, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko einer Identifizierung de facto vernachlässigbar erscheint.121 Berücksichtigungswerte Mittel dürften neben technischen Mitteln insbesondere auch verfügbare Datenbestände (z.B. öffentlich verfügbare Daten, Rohdaten, im Rahmen von M&A-Transaktionen neu erworbene Datensätze) sein.122 Keinesfalls kann z.B. von einer Anonymisierung ausgegangen werden, wenn beim Verantwortlichen eine Kopie des Originaldatenbestandes mit Personenbezug nach der Anonymisierung erhalten bleibt und eine entsprechende Rückverfolgung möglich ist.123 Wegen der sich kontinuierlich ändernden zur Verfügung stehenden Mittel (insbesondere im Hinblick auf die technologische Entwicklung) handelt es sich auch bei der Frage der Anonymität von Daten um eine kontinuierliche Prüfung des Verantwortlichen.124 Insofern kann eine Situation eintreten, in der ein ursprünglich wirksam anonymisierter Datensatz (etwa durch Einfließen neuer Informationen oder Zugang zu neuen Verarbeitungs-Technologien) für eine datenverarbeitende Stelle im Laufe der Zeit (re-)identifizierbar wird und daher ab diesem Zeitpunkt wieder als personenbezogen zu behandeln ist.

In der DSGVO sind auch keine Anonymisierungsverfahren geregelt. Die Art.-29-Datenschutzgruppe hat sich allerdings ausführlich mit Anonymisierungstechniken auseinandergesetzt.125 Sie prüfte im Rahmen der DSRl die Robustheit von Anonymisierungstechniken danach, ob es nach Anwendung der Technik weiterhin möglich ist, eine Person herauszugreifen oder eine Person betreffende Datensätze zu verknüpfen, und ob Informationen über eine Person weiterhin durch Interferenz hergeleitet werden können.126 Nach der Art.-29-Datenschutzgruppe können Anonymisierungsverfahren dabei in zwei Kategorien eingeteilt werden: Randomisierung und Generalisierung. Wichtig ist, dass für eine wirksame Anonymisierung häufig nicht nur ein Anonymisierungsverfahren nötig ist, sondern eine Kombination von mehreren. Eine Dokumentation der gewählten Anonymisierungsverfahren und der oben dargestellten Anonymisierungsschwelle ist im Hinblick auf die gestiegenen Nachweis- und Dokumentationspflichten gemäß der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO verpflichtend.127

Unter die Kategorie der Randomisierung fallen Anonymisierungstechniken, welche die Daten in einer Weise verfälschen, dass die direkte Verbindung zwischen Daten und betroffener Person entfernt wird.128 Hierzu gehören die stochastische Überlagerung (Veränderung von Merkmalen mithilfe von Zufallsgrößen, z.B. statt der zentimetergenauen Angabe der Körpergröße einer Person die Veränderung auf eine +/– 10 cm genaue Angabe),129 die Vertauschung (Verschiebung von Merkmalswerte innerhalb eines Datensatzes)130 und die Ansätze der Differential Privacy (Erstellung einer anonymisierten Ansicht eines Datensatzes für Dritte bei gleichzeitigem Vorhalten des Originaldatensatzes).131 Dabei sind unter Umständen weitere Techniken, insbesondere die Entfernung von offensichtlichen Identifikationsmerkmalen, erforderlich, um zu gewährleisten, dass die Datensätze nicht die Identifizierung einer einzelnen Person erlauben.

Die Möglichkeit, einzelne Identifizierungsmerkmale gänzlich zu entfernen,132 kommt einer extremen Form der Randomisierung gleich (vollständige Überlagerung des Merkmals).133 Hierbei ist darauf zu achten, dass nicht nur die offensichtlich identifizierenden Informationen aus dem Datenbestand gelöscht werden, sondern zumindest die identifizierenden Informationen bis zur Schwelle der nicht mehr vorliegenden Wahrscheinlichkeit der Identifizierung. Beispielsweise reicht es für eine Anonymisierung regelmäßig nicht aus, bei Videoaufnahmen nur das Gesicht einer Person mit einem schwarzen Balken zu versehen bzw. zu verpixeln, weil auch andere Merkmale der gefilmten Person, wie z.B. Figur, Frisur, Kleidung oder Gangart, die Identifizierung ermöglichen können.134 Durch eine Einweg-Verschlüsselung oder Verhashung entstehen gewöhnlich ebenfalls anonymisierte Daten,135 es sei denn, der jeweils anderen Stelle stehen Mittel zur Verfügung, um den Personenbezug mit verhältnismäßigem Aufwand wiederherzustellen.136

Die Kategorie der Generalisierung enthält Anonymisierungstechniken, die Merkmale betroffener Personen durch die Veränderung der entsprechenden Größenskala oder -ordnung generalisieren, also durch einen weniger spezifischen Wert ersetzen.137 So wird beispielsweise aus einer Stadt eine Region oder einer Woche ein Monat.138 Zu den Generalisierungstechniken zählen die Aggregation und k-Anonymität (Verhindern des Singling-Out einer Person durch Zusammenfassen mit mindestens k anderen Personen), die die k-Anonymität erweiternde L-Diversität (Sicherstellung, dass in jeder Äquivalenzklasse verschiedene Merkmalswerte auftauchen) und t-Closeness (Bildung von Äquivalenzklassen, die der ursprünglichen Verteilung der Merkmalswerte ähneln).

Je nach avisiertem Einsatzzweck der zu anonymisierenden Daten ist dabei zu evaluieren, bis zu welchem Punkt eine „De-Identifizierung“ möglich ist, ohne den Aussagegehalt der Daten so zu verwässern, dass der Verarbeitungszweck nicht mehr erreicht werden kann oder jedenfalls erhebliche Erkenntnisabstriche zu befürchten sind. Sofern der weitestmögliche Grad festgelegt ist, ist zu prüfen, ob die Daten nach obiger Maßgabe bereits als anonym klassifiziert werden können oder noch von einem Personenbezug ausgegangen werden muss. Entscheidend ist demnach auch hier das faktische Identifizierungsrisiko, mithin ob die jeweils datenverarbeitende Stelle mit verhältnismäßigem Aufwand einen Personenbezug herstellen könnte. Dies ist insbesondere im Bereich der Forschung problematisch, weil eine vollständige De-Identifizierung die Daten für die Forschung häufig praktisch wertlos machen würde.139 Aus zuvor genannten Gründen ist solch eine absolute Anonymisierung datenschutzrechtlich im Regelfall auch nicht erforderlich;140 vielmehr muss das Risiko einer Identifizierung (nur) de facto vernachlässigbar erscheinen (vgl. oben Rn. 48).

Die Anonymisierung lässt sich dadurch von der Pseudonymisierung abgrenzen, dass bei erfolgter Anonymisierung für den Verantwortlichen die natürliche Person, auf die sich die Daten beziehen, nicht mehr identifizierbar ist, während bei der Pseudonymisierung weiterhin eine gesondert aufbewahrte Zuordnungsmöglichkeit besteht, um dem Pseudonym die passende natürliche Person zuzuordnen.141 Auch hier kommt es wiederum gemäß des eingeschränkten relativen Ansatzes auf die Perspektive des jeweiligen Datenverarbeiters an. Möglich ist es etwa auch, Informationen durch Dritte (etwa sog. Anonymisierungsdienste) „verschleiern“ zu lassen. Da ausschließlich der jeweilige Dritte über das entsprechende Zusatzwissen verfügt, um eine entsprechende Zuordnung durchzuführen, stellt die Information für andere datenverarbeitende Stellen daher zunächst ein anonymes Datum dar. Hierbei gilt es jedoch sicherzustellen, die Weitergabe dieses Zusatzwissens an den Verantwortlichen vertraglich zu untersagen und ggf. mit einer abschreckenden Vertragsstrafe zu versehen. Ferner sollten korrespondierende, etwaige vertragliche Herausgabeansprüche des Verantwortlichen entsprechend ausgeschlossen werden.142 Durch ein solches Vorgehen lässt sich die Wahrscheinlichkeit des Zugriffs auf die Zuordnungsmöglichkeit so verringern, dass es sich aus Sicht des Verantwortlichen (vorausgesetzt, weitere notwendige technische und organisatorische Absicherungen wurden getroffen) um anonyme Daten handelt.143 Für eine Anonymisierung dürfte es hingegen nicht ausreichen, wenn in einem Unternehmen nur eine einzelne Abteilung (oder der Datenschutzbeauftragte)144 bzw. in einem Konzern nur eine Konzerntochter die Zuordnungsmöglichkeit hat; denn dies dürfte die Wahrscheinlichkeit der Zuhilfenahme für das gesamte Unternehmen bzw. ein anderes Konzernunternehmen ohne weitere Absicherungen regelmäßig nicht ausreichend abbedingen.145

Poprzedni 1 ...15 161718 19 ...30 ...45 ...60 ...75 ...76 Kolejny