Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Knapp gesagt sprechen wir von personenbezogenen Daten, wenn Informationen einer identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). In einigen Fällen mag der Personenbezug zweifelsfrei feststehen. Mitunter kann aber entscheidend sein, welchen Blickwinkel wir annehmen. Es macht einen Unterschied, ob es bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommt (absolute Theorie), oder ob nur auf die datenverarbeitende Stelle abzustellen ist (relative Theorie).
Was sind personenbezogene Daten?
Der Begriff des personenbezogenen Datums ist in Art. 4 Nr. 1 DSGVO definiert. Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nach dieser Definition besteht also zumindest dann ein Personenbezug, wenn der Name der betroffenen Person bekannt ist, und dieser Name mit anderen Informationen verknüpft werden kann (Herr Michale Müller wohnt in Berlin; Arbeitnehmer Michale Müller war am Freitag krank). Ein personenbezogenes Datum kann aber auch dann vorliegen, wenn sich der Personenbezug nur über die Verknüpfung mit anderen Informationen herstellen lässt. Ein klassisches Beispiel ist die Personalnummer. Diese kann nur über die Personalabteilung dem dahinterstehenden Mitarbeiter zugeordnet werden.
Abgrenzung zu Sachdaten und aggregierten Daten
Personenbezogene Daten sind von Sachdaten abzugrenzen. Sachdaten beziehen sich nicht auf eine Person, sondern nur auf eine Sache (Das Auto kostet 10.000 Euro). Ferner sind personenbezogene Daten von aggregierten Daten abzugrenzen. Aggregierte Daten beziehen sich auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Für Unternehmen ist diese Abgrenzungsfrage elementar. Die strengen Vorschriften der DSGVO müssen nicht beachtet werden, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei KFZ-Daten. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Lange Zeit umstritten war auch die Einordnung der dynamischen IP-Adresse als personenbezogenes Datum. Streitpunkt war, dass der Webseitenbetreiber den Personenbezug nur über das Zusatzwissen des Internetanbieters herstellen kann. Dies hat der EuGH für ausreichend erachtet und den Personenbezug angenommen.
Absolute und relative Theorie – was ist der Unterschied?
Die Beispiele der KFZ-Daten und der IP-Adresse zeigen, dass Informationen in manchen Fällen erst mit Zusatzwissen Dritter verknüpft werden müssen, um auf eine dahinterstehende Person zu schließen. Umstritten ist dabei die Frage, auf wessen Mittel und Wissen es bei der Identifizierung einer hinter einem Datum stehenden Person ankommt. Diskutiert wird hier ein absoluter und ein relativer Ansatz. Im Vergleich zu der absoluten Theorie, bei der das Wissen irgendeiner Person ausreichend wäre, schränken die Vertreter der relativen Theorie den Beurteilungshorizont auf den Verantwortlichen ein.
Verfolgt die DSGVO einen relativen oder absoluten Ansatz?
Die Frage, ob der Personenzug relativ oder absolut zu beurteilen ist, ist umstritten. In der DSGVO klingt zumindest auch ein relativer Ansatz an. Auch der EuGH hat in der Entscheidung zur IP-Adressen einen relativen Ansatz verfolgt.
In Erwägungsgrund 26 heißt es hierzu:
„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“
Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.
In die gleiche Richtung hat auch der EuGH in der Entscheidung Breyer / Deutschland, (Urt. v 18.10.2016 – Rn. C-582, R. 45- 49) entschieden. Er geht zwar davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei allerdings nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.
Anwendung der relativen Theorie in der Praxis
Auch wenn die relative Theorie im Vergleich zur absoluten Theorie den Begriff des personenbezogenen Datums zunächst einschränkt, muss in der Praxis immer eine ausführliche Prüfung erfolgen. Die Beispiele der KFZ-Daten und der IP-Adresse zeigen, dass eine ausführliche Abwägung des Einzelfalls erforderlich ist. Der Personenbezug darf nicht vorschnell abgelehnt werden. Vielmehr sind für eine potentielle Identifizierbarkeit der Person das Wissen, sowie Kosten, Aufwand und rechtliche Möglichkeiten des Verantwortlichen zu berücksichtigen.
Über den Autor
Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:
Guter Beitrag dem ich im Großen und Ganzen zustimme. Ich halte aber auch die Kombination von Sachdaten die letztlich zu einer eindeutigen Zuordnung eines Individuums führt datenschutzrechtlich für kritisch. Mit den kombinierten Informationen zu Radiostation, Sitzeinstellung und Fahrzeugmodell,… etc. lässt sich aus der Masse von Nutzern ein Individuum ableiten und ggf. gezielt mit Marketing im Fahrzeug ansprechen, ohne dass man den Namen der Person kennen muss. Auch in diesem Kontext sind datenschutzrechtliche Vorgaben zu beachten und einzuhalten.
PS: Danke für diese gute Infoquelle :-)
Hallo,
handelt es sich bei dem Hashwert, der im Wege der Anonymisierungsfunktion von Google Analytics anstelle der IP erzeugt um ein Datum, aus dem ein Dritter iSd. Erwgrd. 26 Rückschlüsse auf eine natürliche Person ziehen kann?
Hashfunktionen sind grundsätzlich so ausgelegt, dass ein Zurückrechnen auf das ursprüngliche Datum nicht möglich ist.
Es bestünde die theoretische Möglichkeit über Vergleichstabellen verschiedener Hashes Rückschlüsse auf das ursprüngliche Datum zu erlangen, was jedoch enorm aufwändig wäre und umso schwerer durchzuführen ist, je mehr Datensätze (etwa ein Block von IP4-Adressen für eine bestimmte Region) bestehen. Soweit noch weitere Daten, die nicht zur IP-Adresse gehören, in den Hash mit einfließen, sollte es auch mittels Vergleichstabellen ausgeschlossen sein, die ursprüngliche IP-Adresse zu ermitteln. Da durch die anonymizeIP()-Funktion die letzten Stellen der IP-Adresse gestrichen werden, sollte eine Rekonstruktion des ursprünglichen Datums schon an dieser Stelle ausscheiden, da sich aus der gekürzten IP-Adresse die ursprüngliche IP-Adresse nicht mehr ermitteln ließe. Hier kommt eine Personenbeziehbarkeit nicht mehr in Betracht, womit ein anonymes Datum im Sinne des Erwägungsgrundes 26 der DSGVO vorläge.