Auch die Datenethikkommission der Bundesregierung hat zu der Frage des Personenbezugs von Daten in ihrem Abschlussgutachten vom Oktober 2019 Stellung genommen und dabei insbesondere die Notwendigkeit zur Schaffung von mehr Rechtssicherheit betont. Dementsprechend empfiehlt sie die Entwicklung von Fallgruppen, in denen ein Personenbezug anzunehmen ist. Dementsprechend sind für die Annahme eines Personenbezugs das Herausgreifen, die Verknüpfbarkeit sowie eine Inferenz entscheidend.[111] Mit Herausgreifen ist die Möglichkeit gemeint, mithilfe singulärer Merkmale aus einem Datenbestand Datensätze zu einzelnen Personen zu isolieren.[112] Mit Verknüpfbarkeit ist die Möglichkeit gemeint mindestens zwei Datensätze, die dieselbe Person betreffen mithilfe übereinstimmender Werte zu verknüpfen.[113] Inferenz meint die Möglichkeit, den Wert eines Merkmals mit einer signifikanten Wahrscheinlichkeit von den Werten einer Reihe von anderen Merkmalen abzuleiten.[114]
42
Die Empfehlungen der Datenethikkommission bieten für Rechtsanwender eine Möglichkeit die Wahrscheinlichkeit des Vorliegens eines Personenbezugs von Daten anhand von Fallgruppen näher bestimmen und damit Risiken einer Fehleinschätzung minimieren zu können. Insofern liefern die Empfehlungen wichtige Auslegungsparameter für Schaffung von mehr Rechtssicherheit.
d) Anonyme Daten
43
Aus ErwG 26 S. 5 folgt, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann, gelten. Folglich bilden laut den Vorgaben der Verordnung das personenbezogene Datum und das anonyme Datum Gegensätze. In der Folge fallen anonymisierte Daten – anders als pseudonymisierte – aus dem Anwendungsbereich der DS-GVO heraus.[115] Ob eine Person nicht mehr identifiziert werden kann, richtet sich nach den in ErwG 26 S. 3 und 4 aufgeführten Maßstäben[116]. Hinsichtlich der Frage, welche technischen Vorgaben an eine Anonymisierung zu stellen sind, trifft die DS-GVO auch in ErwG 26 keine Aussage. Es kommen sowohl das Aggregieren von Daten, als auch eine absolute, faktische oder formale Anonymisierung etwa durch das vollkommene Verschlüsseln von Daten oder das bloße Weglassen von Informationen, so dass eine Identifizierbarkeit ausscheidet, in Betracht.[117]
e) Einzelbeispiele
44
Wie dargelegt, stellen dynamische IP-Adressen für den Internetzugangsanbieter personenbezogene Daten dar. Für den Betreiber einer Webseite gilt dies, wenn dieser über die rechtlichen Mittel verfügt, um eine Identifikation der betroffenen Person vorzunehmen, etwa weil er vernünftigerweise über die Mittel verfügt an die Daten zu gelangen (vgl. dazu die Kommentierung in diesem Kapitel unter Rn. 34).
45
Lichtbilder von Personen stellen unter den Voraussetzungen von ErwG 51 personenbezogene Daten dar.[118] In diesem Zusammenhang ist insbesondere Art. 4 Nr. 14 (vgl. Rn. 246) zu beachten. Im Zuge dessen stellt sich auch die Frage nach dem Konkurrenzverhältnis von DS-GVO und KUG (vgl. dazu Kommentierung in Art. 13 Rn. 101 ff. und Art. 85 Rn. 39).[119]
46
Im Hinblick auf E-Mail-Adressen kommt diesen dann ein Personenbezug zu, wenn anhand der in der Adresse angegebenen Informationen eine Identifikation der Person möglich ist. So wird insbesondere Role-Accounts (wie etwa [email protected]) in der Regel ein Personenbezug fehlen.
47
Die Frage des Personenbezugs wird derzeit (Stand: Juni 2020) insbesondere im Hinblick auf die sog. „Corona-App“ virulent diskutiert.[120] Vgl. dazu die Ausführungen zur Pseudonymisierung im Rahmen von Art. 4 Nr. 5 Rn. 109.
1. Allgemeines
48
Art. 4 Nr. 2 definiert den Begriff der Verarbeitung als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
49
Als Beispiele nennt Art. 4 Nr. 2 das Erheben, das Erfassen, das Organisieren, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. Die Aufzählung ist nicht abschließend und bringt zum Ausdruck, dass jeglicher Umgang mit personenbezogenen Daten eine Verarbeitung im Sinne der DS-GVO darstellt.[121] Wie die Konkretisierungen belegen, ist der Begriff der Verarbeitung schon nach dem Schutzzweck der DS-GVO weit zu verstehen und kann sich sowohl auf den Inhalt des personenbezogenen Datums als auch auf das personenbezogene Datum als abstraktes Datum sowie auf das Zusammenspiel von mehreren personenbezogenen Daten beziehen.[122]
50
Ausgehend von dieser weiten Definition der Verarbeitung, die zur Folge hat, das jeder Umgang mit personenbezogenen Daten als ein Verarbeiten im Sinne der DS-GVO zu klassifizieren ist und damit einen datenschutzrechtlichen Tatbestand darstellt, muss der für die Verarbeitung Verantwortliche über eine Legitimation für die Verarbeitung verfügen.[123] Soweit also ein Datum Personenbezug aufweist, ist jeder Vorgang, der in Verbindung mit dem Datum steht, eine Datenverarbeitung, die in den Anwendungsbereich der DS-GVO fällt.
51
In zahlreichen Normen der DS-GVO ist der Begriff der Verarbeitung ein wesentliches Tatbestandsmerkmal. Eine grundlegende Norm zur Verarbeitung ist Art. 6, wonach diese nur dann rechtmäßig ist, wenn sie auf einer der in Art. 6 Abs. 1 angegebenen Rechtsgrundlagen beruht.[124] Zu beachten sind ebenfalls die Grundsätze des Art. 5, die für jede Verarbeitung gelten.[125]
52
Hinsichtlich der Verwendung des Begriffs der Verarbeitung nach der DS-GVO in der Praxis ist festzuhalten, dass bei der bisherigen Benennung des Trias „erheben, verarbeiten, übermitteln“ alle Vorgänge gemeint sind, die der in Art. 4 Nr. 2 genannte Oberbegriff „verarbeiten“ erfasst. Es ist zu empfehlen aus Gründen der Rechtssicherheit möglichst darauf zu verzichten, Teilschritten, wie „erheben“ und „übermitteln“, eine eigene Bezeichnung zu geben. So sollte der Begriff
