Der Begriff des personenbezogenen Datums – Teil 1

Jede Herausforderung zum Datenschutzrecht beginnt mit der Frage, ob personenbezogene Daten betroffen sind. Denn erklärtes Ziel der EU-Datenschutz-Grundverordnung (DSGVO) ist nach Art. 1 Abs. 1 und 2 DSGVO der Schutz natürlicher Personen im Rahmen der Verarbeitung eben dieser personenbezogenen Daten. Zudem ist der sachliche Anwendungsbereich der DSGVO nach Art. 2 Abs.1 erst dann eröffnet, wenn tatsächlich eine Verarbeitung personenbezogener Daten vorliegt.

In dem hier vorliegenden ersten Teil wird der gesetzliche Rahmen vorgestellt, von dem aus in einem zweiten Schritt der Begriff des Datums genauer bestimmt werden soll. Ein zweiter Teil wird sich der Frage widmen, wann ein Datum personenbezogen ist. Der dritte und letzte Teil schließlich soll detaillierter auf einzelne Probleme eingehen, die sich in der Praxis stellen und bei denen die Frage nach dem Vorliegen personenbezogener Daten umstritten ist.

Das Gesetz

Ausgehend vom Gesetz, wird in Art. 4 Nr. 1 der Begriff der personenbezogenen Daten bestimmt als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; …“. Dabei wird eine natürliche Person dann als identifiziert bzw. identifizierbar angesehen, wenn sie „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer […] oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“.

Es zeigt sich somit zweierlei: zunächst wird der Begriff der personenbezogenen Daten durch das Gesetz mittelts mehrerer Tatbestandsmerkmale konkretisiert (Informationen, identifizierbar). Sodann wird der Begriff der Identifizierbarkeit genauer bestimmt. Nicht aber durch die Angabe konkretisierender Tatbestandsmerkmale, sondern durch Beispiele, die sich wiederum in zwei Klassen einteilen: einmal die Möglichkeit der Zuordnung einer natürlichen Person zu einem bestimmten Datum (sachliche Angaben) und dann das „Haben“ eines bestimmtem Merkmals der Person, das mit dieser fest verbunden ist (persönliche Angaben). Zwar wird durch die Definition des Art. 4 Nr. 1 DSGVO deutlich, was auf jeden Fall ein personenbezogenes Datum sein soll (z.B. Standortdaten oder die genetische Identität). Dennoch reicht eine Beispielsmethode nicht aus, um abstrakte Begriffe allgemeingültig zu konkretisieren. Um jenseits der ausdrücklich normierten Beispiele herausfinden zu können, wann ein Datum ein Personenbezug aufweist, müssen die einzelnen Tatbestandsmerkmale genauer bestimmt werden.

Schutz natürlicher Personen

Geschützt werden ausdrücklich nur personenbezogene Daten, die sich auf natürliche Personen beziehen. Ausgeschlossen werden dadurch grundsätzlich juristische Personen, d.h. Rechtssubjekte, die keine Menschen sind (z.B. eine GmbH, ein Verein oder eine Anstalt). Der Mensch als natürliche Person ist Rechtssubjekt, d.h. Träger von Rechten und Pflichten mit Vollendung der Geburt (vgl. § 1 BGB). Ob dennoch auch ungeborenes Leben Träger des Rechts auf informationelle Selbstbestimmung sein kann, ist umstritten. Zu beachten ist jedenfalls, dass es sich bei Informationen über das ungeborene Leben mittelbar um Informationen beispielsweise der Mutter handeln könnte.

Für das europäische Datenschutzrecht gilt darüber hinaus unstreitig, dass Verstorbene nicht durch die DSGVO geschützt sind. Dies ergibt sich ausdrücklich aus Erwägungsgrund 27 DSGVO. Zugleich eröffnet der Erwägungsgrund den Mitgliedstaaten die Möglichkeit auch Verstorbene datenschutzrechtlich zu schützen. In Deutschland hat man diese Öffnungsklausel aber nicht in Anspruch genommen.

Der Begriff der natürlichen Person ist der offensichtlichste Filter für die Anwendbarkeit der DSGVO. Geht es um Informationen Verstorbener oder juristischer Personen, muss nicht weiter geklärt werden, ob ein Personenbezug vorliegt, da sie von Vornherein nicht vom Anwendungsbereich der DSGVO erfasst, also nicht geschützt sind.

Der Begriff des Datums

Etymologisch geht das Wort „Datum“ zurück auf das Lateinische und meint wörtlich „gegeben“ oder „das Gegebene“.   Während die DSGVO den Begriff des Datums mit Informationen übersetzt, muss ernsthaft bezweifelt werden, ob es sich hierbei um eine angemessene Begriffsbestimmung handelt.

Datum als Information

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO zunächst bestimmt als Informationen. Hierdurch wird der Begriff nicht genauer bestimmt: erfasst sind ausdrücklich „alle“ Informationen. Mithin handelt es sich entweder um ein Synonym für Daten und ist somit redundant oder es wird auf einen nicht näher bestimmten Informationsbegriff Bezug genommen. Gegen die letzte Möglichkeit spricht jedoch, dass der Informationsbegriff noch unbestimmter und diverser ist als der des Datums. So hat der Informationsbegriff je nach wissenschaftlichem Kontext verschiedenste Bedeutungen. So ist für den Informationsbegriff in anderen Kontexten typisch, dass der Information ein Neuigkeitsgehalt zukommt, was für personenbezogene Daten gerade keine Rolle spielt.

Datum als Tatsache

Zentral wird die Frage nach dem Umfang des von der DSGVO vorausgesetzten Informationsbegriffs dann, wenn es um den Schutz wertender oder opinativer, d.h. sogenannter subjektiver Informationen geht. Die überwiegende Ansicht geht davon aus, dass auch subjektive Informationen in den Anwendungsbereich der DSGVO fallen. Gefolgert wird dies insbesondere aus dem weiten Informationsbegriff, der der DSGVO zugrunde liege. Darüber hinaus nehme die DSGVO an vielen Stellen ausdrücklich Bezug auf falsche Informationen (z.B. Grundsatz der Richtigkeit gem. Art. 5 Abs. 1 lit. d) DSGVO).

Nach dieser Ansicht scheint sich der Informationsbegriff daraus zu rechtfertigen, dass er offen genug ist, um Tatsachen, Meinungen, Werturteile o.Ä. gleichermaßen zu erfassen. Information und infolgedessen Datum würde dann bedeuten: jede symbolisierte Aussage. Eine inhaltliche Bestimmung wäre erst durch die anderen Tatbestandsmerkmale möglich.

Dieser weitgehenden Interpretation des Datumsbegriffs ist jedoch nicht zu folgen. Beurteilungen oder Meinungen, also subjektive Informationen, sind ihrem Inhalt nach gerade keine Daten, Fakten oder Informationen, sondern Wertungen. Das Mitteilen einer Meinung ist nur insofern informativ als es dem Adressaten zu erkennen gibt, dass der Mitteilende faktisch diese Meinung hat und als solches handelt es sich auch um ein Datum. So ist beispielsweise die persönliche Beurteilung des Arbeitgebers über seinen Angestellten unter diesen Umständen kein personenbezogenes Datum. Erst, wenn z.B. die Datei, auf der sich die schriftliche Beurteilung befindet für Dritte zugänglich ist, wird diese Meinung ein Fakt und könnte zudem personenbezogenes Datum sein.

Zwischenfazit

Zwar bestimmt der Wortlaut von Art. 4 Nr. 1 DSGVO Daten als Informationen. Sinnvollerweise kann damit aber nur Faktum gemeint sein. Steht im ersten Schritt fest, dass eine natürliche Person betroffen ist, muss sich der zweite Blick auf den Inhalt des Datums richten: wird die betroffene Person tatsächlich bestimmt oder wird sie beurteilt oder bewertet, sodass bloß eine Meinung über diese Person vorliegt. Dabei ist zu beachten, dass das Meinung-haben selbst wieder eine Tatsache ist. Geht es also nicht um eine Bewertung über die betroffene Person, sondern um eine Bewertung durch die betroffene Person (z.B. bei einer Meinungsumfrage), handelt es sich sehr wohl um ein Datum – meist sogar um ein besonders sensibles wie der politischen Überzeugung.

Der Begriff des Datums ist damit zunächst hinreichend bestimmt als Faktum oder Tatsache. Diese Tatsache selbst, muss darüber hinaus einen Personenbezug aufweisen, um unter den Anwendungsbereich der DSGVO zu fallen.

Wann ein solcher Personenbezug aber vorliegt, werden wir in einem zweiten Teil klären.