Die Verarbeitung großer Mengen personenbezogener Daten ist für einige Geschäftsmodelle, z. B. für das Training von KI-Anwendungen oder für Forschungsprojekte im Gesundheitswesen, von großer Bedeutung. Dabei sind die Vorgaben der DSGVO zu beachten. Was aber, wenn sich keine Rechtsgrundlage findet? Rechtssicherer und datenschutzfreundlicher wäre der Rückgriff auf anonyme Daten. Wann Daten jedoch anonym sind, ist nicht immer einfach zu beurteilen. Im Überblick.
Der Inhalt im Überblick
Wann ist ein Datum personenbezogen ?
Der Begriff des personenbezogenen Datums ist in Art. 4 Nr. 1 DSGVO definiert. Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiel: Herr Michale Müller ist 35 Jahre und arbeitet seit 5 Jahren im Unternehmen X, er verdient als leitender Angestellter 120.000 Euro im Jahr. Ein personenbezogenes Datum kann aber auch dann vorliegen, wenn sich der Personenbezug über die Verknüpfung mit anderen Informationen herstellen lässt. Würde man im genannten Beispiel den Namen „Michael Müller“ entfernen, könnte eine dritte Person mit Zusatzwissen Michael Müller über die Informationen zur Gehaltsklasse, Alter und Unternehmenszugehörigkeit trotzdem identifizieren. Das Weglassen des Namens führt also nicht zwingend zur Aufhebung des Personenbezugs.
Sachdaten und personenbezogene Daten
Personenbezogene Daten sind von Sachdaten abzugrenzen. Sachdaten beziehen sich nicht auf eine Person, sondern nur auf eine Sache. Beispiel. Das Auto kostet 10.000 Euro. Zu tragen kommt diese Abgrenzungsfrage z.B. bei KFZ-Daten. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug wieder. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten.
Anonymität nach der absoluten und relativen Theorie
Die Beispiele zeigen, dass ein Personenbezug häufig erst durch die Verknüpfung von Informationen mit Zusatzwissen Dritter entsteht. Anonymität kann grundsätzlich angenommen werden, wenn eine Person aus einem vorliegenden Datensatz nicht mehr identifizierbar ist. Umstritten ist dabei die Frage, welche Anforderungen an die Re-Identifizierbarkeit zu stellen sind und auf wessen Wissen und Mittel es dabei ankommt. Diskutiert wird hier eine absolute und eine relative Theorie.
Absolute Theorie
Nach der absoluten Theorie darf niemand mehr in der Lage sein, den Personenbezug wieder herzustellen. Der absolute Ansatz berücksichtigt für die Beurteilung der Anonymität jegliches potenzielle Wissen eines beliebigen Dritten und zieht auch die Anwendung krimineller Mittel in die Betrachtung mit ein. Durch KI und die technischen Möglichkeiten der Re-Identifizierung muss man sich aber die berechtige Frage stellen, ob es eine absolute Anonymität überhaupt möglich ist.
Relative Theorie
Im Datenschutzrecht durchgesetzt hat sich daher der relative Ansatz: Anonymität liegt dann vor, wenn das Herstellen des Personenbezugs nicht mehr oder nur noch mit einem unverhältnismäßig hohen Aufwand an Mitteln und Kosten möglich ist. Alles klar – könnte man meinen. Ein Blick auf die aktuelle Rechtsprechung zeigt, dass die Anwendung des relativen Ansatzes in der Praxis weitere Fragen aufwirft.
Relative Theorie in der DSGVO und Rechtsprechung
Die Frage, ob der Personenbezug relativ oder absolut zu beurteilen ist, war lange Zeit umstritten.
Was ergibt sich aus der DSGVO ?
Auch wenn die DSGVO anonyme Daten nicht definiert, klingt im Erwägungsgrund 26 zumindest der relative Ansatz an:
„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“
Die relative Theorie in der Rechtsprechung
Der EuGH hat sich mittlerweile in mehren Urteilen mit der Frage des Personenbezugs auseinandergesetzt:
- Wegweisend ist die Breyer-Entscheidung (EuGH-Urteil vom 19.10.2016 – C-582/14) zur Einordnung der dynamischen IP-Adresse als personenbezogenes Datum. Für die Annahme des Personenbezugs einer IP-Adresse ist es ausreichend, dass der Webseitenbetreiber diesen mit dem Zusatzwissen des Internetanbieters herstellen kann. Der Verantwortliche kann auch auf Wissen und Mittel Dritter zurückgreifen, um den Personenbezug herzustellen. Die Identifizierung der Person muss nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis wahrscheinlich sein.
- In einem weiteren EuGH-Urteil (Urteil vom 9.11.2023 – C-319/22) ging es um den Personenbezug der Fahrzeugidentifikationsnummer (FIN). Die FIN ist zunächst nur ein alphanumerischer Code, den der Hersteller einem bestimmten Fahrzeug zuweist. Über die FIN lassen sich isoliert betrachtet nur sachbezogene Informationen gewinnen, wie z.B. Hersteller, Modell und Baureihe. Für den Fahrzeughersteller ist die FIN damit erstmal nicht personenbezogen. Nur, wenn die FIN über weitere Informationen, z.b. über die Zulassungsbescheinigung, einer identifizierbaren Person zugeordnet werden kann, handelt es sich um ein personenbezogenes Datum. Für die Frage der Identifizierbarkeit stellt der EuGH wieder auf das Wissen und die Mittel des Verantwortlichen ab. Interessant ist an dieser Entscheidung, dass sich der Fahrzeughersteller hier das Wissen und die Mittel der Empfänger zurechnen lassen muss. Verfügt der Empfänger über die Zulassungsbescheinigung, kann die FIN auch für den Fahrzeughersteller ein personenbezogenes Datum sein.
- Nach dem EuGH-Urteil (Urteil vom 7.03.2024 – C 604/22) ist der TC-String für den Verband IAB-Europe ein personenbezogenes Datum. Der TC-String setzt sich aus einer Kombination aus Buchstaben und Zeichen zusammen und speichert Informationen darüber, ob ein Nutzer seine Zustimmung zu einer bestimmten Datenverarbeitung erteilt hat. Der TC-String ist zunächst nicht personenbezogen, kann aber über die Verknüpfung mit einer IP-Adresse einer natürlichen Person zugeordnet werden. IAB-Europe verfügt grundsätzlich nicht über Informationen zur IP-Adresse und Endgeräte der Nutzer, hat aber vertraglich gegenüber seinen Mitgliedern einen Anspruch auf Übermittlung von Informationen, die den Nutzer identifizieren. Damit verfügt IAP-Europe über die rechtlichen Mittel der Re-Identifizierung.
Anwendung der relativen Theorie in der Praxis
Auch wenn sich mit der aktuellen EuGH-Rechtsprechung Kriterien für die Bestimmbarkeit anonymer Daten herausgestellt haben, muss die Frage immer am Einzelfall betrachtet und geklärt werden. Für eine potenzielle Identifizierbarkeit der Person sind das Wissen, sowie Kosten, Aufwand und rechtliche Möglichkeiten des Verantwortlichen und der Empfänger zu berücksichtigen. Zudem sind die technischen Möglichkeiten der Re-Identifizierbarkeit im Blick zu behalten. Die Frage der Anonymität kann nicht einmalig beurteilt werden, sondern ist regelmäßig nach dem Stand der Technik neu zu beurteilen.
Guter Beitrag dem ich im Großen und Ganzen zustimme. Ich halte aber auch die Kombination von Sachdaten die letztlich zu einer eindeutigen Zuordnung eines Individuums führt datenschutzrechtlich für kritisch. Mit den kombinierten Informationen zu Radiostation, Sitzeinstellung und Fahrzeugmodell,… etc. lässt sich aus der Masse von Nutzern ein Individuum ableiten und ggf. gezielt mit Marketing im Fahrzeug ansprechen, ohne dass man den Namen der Person kennen muss. Auch in diesem Kontext sind datenschutzrechtliche Vorgaben zu beachten und einzuhalten.
PS: Danke für diese gute Infoquelle :-)
Hallo,
handelt es sich bei dem Hashwert, der im Wege der Anonymisierungsfunktion von Google Analytics anstelle der IP erzeugt um ein Datum, aus dem ein Dritter iSd. Erwgrd. 26 Rückschlüsse auf eine natürliche Person ziehen kann?
Hashfunktionen sind grundsätzlich so ausgelegt, dass ein Zurückrechnen auf das ursprüngliche Datum nicht möglich ist.
Es bestünde die theoretische Möglichkeit über Vergleichstabellen verschiedener Hashes Rückschlüsse auf das ursprüngliche Datum zu erlangen, was jedoch enorm aufwändig wäre und umso schwerer durchzuführen ist, je mehr Datensätze (etwa ein Block von IP4-Adressen für eine bestimmte Region) bestehen. Soweit noch weitere Daten, die nicht zur IP-Adresse gehören, in den Hash mit einfließen, sollte es auch mittels Vergleichstabellen ausgeschlossen sein, die ursprüngliche IP-Adresse zu ermitteln. Da durch die anonymizeIP()-Funktion die letzten Stellen der IP-Adresse gestrichen werden, sollte eine Rekonstruktion des ursprünglichen Datums schon an dieser Stelle ausscheiden, da sich aus der gekürzten IP-Adresse die ursprüngliche IP-Adresse nicht mehr ermitteln ließe. Hier kommt eine Personenbeziehbarkeit nicht mehr in Betracht, womit ein anonymes Datum im Sinne des Erwägungsgrundes 26 der DSGVO vorläge.
Hallo,
Person A führt eine Abfrage im Einwohnermeldesystem durch und gibt dabei den Namen, Vornamen und das Geburtsdatum einer bestimmten Person ein, um deren Wohnanschrift zu ermitteln. Das System liefert jedoch:
a) keinen Treffer,
b) lediglich die Information, dass entweder keine Meldung zu dieser Person im betreffenden Bundesland vorliegt oder eine Meldesperre besteht.
Die Anfrage selbst dürfte eine Verarbeitung personenbezogener Daten darstellen, für die eine Rechtsgrundlage erforderlich wäre. Wie ist die Information zu bewerten, dass a) kein Treffer angezeigt wird oder b) zu der Person keine Meldung vorliegt oder eine Meldesperre besteht?
Bei Variante b) könnte es sich um eine schützenswerte Information handeln. Hier durfte durch die Verknüpfung mit den Abfragedaten ein pbD in Bezug auf die Information vorliegen (vgl. BGH 2 StR 388/12 – Urteil vom 15. November 2012 – Negativauskünfte über fehlende Einträge in der polizeilichen Datensammlung)?
Wie ist Variante a) in diesem Zusammenhang zu beurteilen?
VG
Auch eine Negativauskunft lässt Rückschlüsse auf Person A zu und wäre damit als personenbezogenes Datum einzustufen. Damit aus der Antwort keine Rückschlüsse auf das Vorliegen einer Auskunftssperre oder eines bedingten Sperrvermerks getroffen werden können, ordnet Nr. 44.1.3.3 BMGVwV daher die Erteilung einer neutralen Antwort an: „Eine Auskunft kann aus tatsächlichen oder rechtl. Gründen nicht oder derzeit nicht erteilt werden.“
Ich vermisse einen Hinweis auf Grundstücksdaten. In Immobiliengutachten sind viele Daten (Grundbuch mit seinen Eintragungen in den drei Abteilungen, Flurstücke, dem Baulastenverzeichnis u. a. öffentliche Register Gebäudebeschrieb), mit dem Grundstückseigentümer verknüpft.
Aus meiner Sicht als Immobiliensachverständiger i.R. müßten diese Daten infolge Personenbezug den personenbezogenen Daten zugeordnet werden.
Können Sie Gutachten erstellen die sich mit diesem Thema befassen, also z.B. unter welchen Voraussetzungen eine Anonymisierung möglich ist?
Wenn Sie Beratung für einen konkreten Fall ersuchen, kontaktieren Sie gerne unseren Vertrieb.