Unter welchen Bedingungen kann eine natürliche Person identifiziert werden?

Entscheidende Aspekte der Verarbeitung personenbezogener Daten

Eines der wesentlichen Ziele der Datenschutzgrundverordnung ist der Schutz von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten. Damit ist auch schon ein erklärungsbedürftiger Begriff gefallen – personenbezogene Daten: Was ist damit gemeint? Zum einen Daten, die sich auf eine bestimmte, bereits identifizierte Person beziehen. Zum anderen aber auch Daten, anhand derer eine natürliche Person – direkt oder indirekt – identifiziert werden kann.

Der Schutz personenbezogener Daten

Nun kommt es bei der Identifizierbarkeit natürlicher Personen aber nicht nur darauf an, ob der für die Verarbeitung der personenbezogenen Daten Verantwortliche dies tun kann. Es ist ebenso hinreichend, wenn Dritte dies tun können. Es besteht allerdings Konsens darüber, dass die Mittel, die zur Identifizierung einer natürlichen Person eingesetzt werden, nur dann zu berücksichtigen sind, wenn ihre Anwendung erwartbar oder zumindest wahrscheinlich ist. Zwar wurde vom Europäischen Gerichtshof noch nicht über alle Aspekte der Identifizierbarkeit natürlicher Personen entschieden. Dennoch gilt, dass Verarbeiter personenbezogener Daten die rechtlichen Vorgaben des Datenschutzes zu berücksichtigen haben. Ob Daten personenbezogen sind, ist aus diesem Grund von großer Bedeutung. Und damit steht die Frage der Identifizierbarkeit natürlicher Personen im Fokus des Interesses.

Personenbezug aufgrund von Identifizierbarkeit

Eine Grundfrage ist, wann diese Identifizierbarkeit gegeben ist. Eine Voraussetzung dafür ist, dass ein Mittel zur Identifizierung eingesetzt werden muss. Wäre dies nicht der Fall, wäre die betroffene Person ja bereits identifiziert. Bei solch einem Mittel kann es sich beispielsweise um zusätzliches Wissen handeln, das nicht Bestandteil der personenbezogenen Daten ist, das aber eingesetzt werden kann, um die personenbezogenen Daten einer natürlichen Person zuzuordnen. Nachgedacht wird nun unter anderem darüber, wer über die Mittel verfügt, die in diesem Kontext zu berücksichtigen sind.

Pseudonymisierung personenbezogener Daten

Ein sensibles Beispiel ist die Pseudonymisierung personenbezogener Daten. Für den Datenverarbeiter, der die Daten pseudonymisiert, sind sie weiterhin personenbezogen, weil er über das nötige Wissen verfügt, um sie wieder einer natürlichen Person zuzuordnen. Fraglich ist allerdings, welchen Status die Daten haben, wenn sie in pseudonymisierter Form an einen Empfänger weitergegeben wurden, der über dieses Wissen nicht verfügt. Zur Differenzierung gibt es zwei Ansätze, die schon vor Inkrafttreten der Datenschutzgrundverordnung, kurz DSGVO, diskutiert wurden:

• Relativ oder subjektiv

          Versteht man den Personenbezug relativ oder subjektiv, entscheiden nur die Mittel der Verantwortlichen.

• Absolut oder objektiv

         Versteht man den Personenbezug jedoch als absolut oder objektiv, dann ist es ausreichend, dass irgendeine Stelle – nicht unbedingt der             Verantwortliche – diesen Personenbezug grundsätzlich herstellen kann.

Zwischen diesen beiden Positionen liegen viele Interpretationsmöglichkeiten. Aus der DSGVO kann zur besseren Einschätzung lediglich EG 26 Satz 3 DSGVO herangezogen werden. Danach sollten alle Mittel Berücksichtigung finden, welche – nach allgemeinem Ermessen – von Verantwortlichen oder anderen Personen wahrscheinlich zur direkten oder indirekten Identifikation einer natürlichen Person genutzt werden.

Objektive Faktoren

Bei der Beurteilung des allgemeinen Ermessens sollten wiederum Faktoren wie Kosten, Zeitaufwand, Technologie berücksichtigt werden – also objektive Faktoren. Hierbei ist nicht die tatsächliche Nutzung dieser Mittel, sondern die grundsätzliche Möglichkeit ihrer Nutzung ausschlaggebend. Irrelevant ist zudem, ob Verantwortliche oder andere relevante Stellen die Absicht äußern, auf bestimmte Mittel der Identifizierung zu verzichten. Was vollkommen logisch einzuschätzen ist, weil dies ja ein subjektiver Faktor wäre.

Technologische Entwicklungen

Ein veränderbarer objektiver Faktor ist die verfügbare Technologie und deren Entwicklung. Was heute undenkbar ist, kann morgen schon Alltag sein. Das kann auch für den Bereich der Identifizierung natürlicher Personen gelten. Etwa wenn für Daten, die heute als anonymisiert angesehen werden, bei denen in Zukunft aber wieder der Bezug zu einer natürlichen Person hergestellt werden kann.

Das Breyer-Urteil

Dieses Urteil wurde noch vor Inkrafttreten der Datenschutzgrundverordnung gefällt. Doch in der DSGVO finden sich im Wesentlichen die gleichen juristischen Vorgaben, sodass das Breyer-Urteil an Aktualität nichts eingebüßt hat. Es ging um die Frage, ob dynamische IP-Adressen von Userinnen und Usern für den Anbieter dieses Web-Angebots personenbezogene Daten darstellen. In diesem Fall war es so, dass nicht der eigentliche Anbieter, sondern der Anbieter des Internetzugangs, also ein Dritter, über das Zusatzwissen verfügt, mit dessen Hilfe die betroffenen Personen identifiziert werden konnten. Der Europäische Gerichtshof entschied, dass nicht alle Informationen zur Identifizierung einer natürlichen Person bei einer Person gebündelt sein müssen, um ein Datum als personenbezogenen einzustufen. Dennoch sollten bei dieser Einstufung nur die Mittel berücksichtigt werden, die dabei vernünftigerweise eingesetzt würden.

Die Übermittlung von pseudonymisierten Daten

Im folgenden Fall war nicht die Datenschutzgrundverordnung maßgebend, sondern die Verordnung (EU) 2018/1725. Die Bestimmungen zum Thema der „personenbezogenen Daten" decken sich aber inhaltlich, sodass das Urteil auch in Anbetracht der DSGVO von Belang ist.

Der Fall in Kürze: Ein Ausschuss holte Stellungnahmen von natürlichen Personen ein, versah diese mit einem Code, um sie von personenbezogenen Daten der Stellung nehmenden Personen zu trennen. Ein Teil der codierten Stellungnahmen wurde an ein Beratungsunternehmen übermittelt. Der Ausschuss konnte die Stellungnahmen den personenbezogenen Daten zuordnen, nicht aber das Beratungsunternehmen. Der Europäische Datenschutzbeauftragte intervenierte, da diese Zuordnung noch möglich sei. Der Ausschuss hingegen war der Meinung, dass die Anonymisierung ausreichend sei, weil er die für eine Identifizierung nötige Zusatzinformationen nicht weitergegeben habe.

Der Europäische Gerichtshof bezieht sich auf das oben skizzierte Breyer-Urteil und vergleicht die Lage des Beratungsunternehmens mit der des Anbieters des Internetzugangs. Ob personenbezogene Daten übermittelt worden seien, hinge davon ab, ob sich diese – aus Sicht des Beratungsunternehmens – auf identifizierbare Personen bezögen. Das Gericht gesteht bei dieser Prüfung also dem „Empfängerhorizont" eine maßgebliche Bedeutung zu und stellt letztlich fest, dass die Übermittlung pseudonymisierter Daten den Personenbezug der Daten aufheben könne, sofern der Empfänger nicht über vernünftigerweise nutzbare Möglichkeiten der Identifizierung verfüge.

Fahrzeug-Identifizierungsnummer

Der Europäische Gerichtshof hatte über die Frage zu entscheiden, ob Fahrzeughersteller die Identifizierungsnummern der Fahrzeuge beispielsweise an unabhängige Werkstätten weiterzugeben haben. Dies hängt auch davon, ob es sich hier um personenbezogene Daten, also um Informationen über identifizierbare natürliche Personen handelt. Unter Bezug auf das Breyer-Urteil argumentierte das Gericht wie folgt: Unmittelbar ermöglicht die FIN nur, das Fahrzeug zu identifizieren und ist damit kein personenbezogenes Datum. Sobald eine Stelle allerdings über Mittel verfügt, die es – bei vernünftiger Betrachtung – ermöglichen, diese Kennung einer identifizierbaren Person zuzuordnen, ist sie ein personenbezogenes Datum.

Sie wollen mehr über die Identifizierbarkeit natürlicher Personen wissen?

Dann rufen Sie uns bitte unter 09122 6937302 an oder senden Sie uns Ihre persönliche Nachricht. Wir prüfen gern, inwieweit Sie die hier geschilderten Sachverhalte in Ihrem Unternehmen berücksichtigen sollten und wie Sie dabei vorgehen können.

Ihr Team von Datenschutz Prinz