Der Begriff des Personenbezugs – Teil 2

Haben Sie bereits den 1. Teil der Reihe gelesen? Wenn nicht, erreichen Sie diesem über folgenden Link: https://webersohnundscholtz.de/der-begriff-des-personenbezogenen-datums-teil-1/

Teil 2

Liegt ein Datum vor, das im Kontext einer natürlichen Person steht, ist im nächsten Schritt zu prüfen, ob es sich um ein personenbezogenes Datum handelt oder um ein Sachdatum. Liegt kein reines Sachdatum vor, ist weiterhin zu bestimmen, welche Qualität der Personenbezug haben muss.

Sachdaten

Sachdaten sind Tatsachen in Bezug auf eine Sache („Diese Tasse ist gelb“). Streng zu unterscheiden ist das reine Sachdatum, das einen isolierten Gegenstand in einer bestimmten Weise qualifiziert – z.B. in farblicher Hinsicht – von dem sachlichen personenbezogenen Datum, welches das Verhältnis einer natürlichen Person zu einer Sache bestimmt (dazu sogleich). Reine Sachdaten sind für sich vollkommen ungeeignet, natürliche Personen weiter zu bestimmen, sodass sie von vornherein aus dem Anwendungsbereich der DSGVO ausscheiden.

Sachliche und persönliche Angaben

Wieder ausgehend vom Gesetz wird nach der Beispielsmethode zwischen sachlichen Angaben zu einer Person und persönlichen Angaben einer Person unterschieden. „Persönliche Angaben beziehen sich unmittelbar auf den Betroffenen, sachliche Angaben auf die Beziehung des Betroffenen zu ihrer Umwelt, mithin zu Sachen oder zu Dritten.“ In beiden Fällen liegt ein Personenbezug vor, sodass die Unterscheidung keine praktische Bedeutung hat und den Kern dessen, was Personenbezug meint nicht genauer bestimmt. Insbesondere sind persönliche Angaben nicht per se schutzwürdiger als sachliche Angaben oder vice versa.

Personenbezug und Identität

Das Gesetz bestimmt den Personenbezug darüber hinaus über die Begriffe „identifizieren“, „identifizierbar“ und „Identität“. Damit scheint der Begriff des Personenbezugs wesentlich mit der Identität einer Person zusammenzuhängen. Identität kann einmal meinen: das identisch-Sein mit etwas oder selbig-seiend; oder, und das ist die entscheidende Bedeutung: die Gesamtheit der Eigenheiten, die ein Individuum ausmachen. Auf eine bestimmte Qualität kommt es dabei nicht an. Identität ist damit alles, was man in Bezug auf ein konkretes Individuum sicher sagen kann.

Ein personenbezogenes Datum ist dann ein Faktum, dass eine Person erklärt, ihre Vergangenheit und sein aktuelles So-Sein beschreibt. Bezeichnend hierfür ist die Definition des Sozialpsychologen Georg H. Mead: „Identität entwickelt sich; sie ist bei der Geburt anfänglich nicht vorhanden, entsteht aber innerhalb des gesellschaftlichen Erfahrungs- und Tätigkeitsprozesses, […]“. Zwar besteht auch mit und vor der Geburt bereits insofern eine Identität als das ungeborene Leben im Hinblick auf seine Herkunft bereits als Kind seiner Eltern bestimmt ist. Richtig ist jedoch, dass sich die Identität aus dem vergangen-Sein des Einzelnen ergibt und sich mit jedem Moment fortentwickelt.

Bildlich gesprochen erzählt das personenbezogene Datum einen Teil der Lebensgeschichte der betroffenen Person: welche Augenfarbe hat sie, welche Kontonummer, welche Produkte hat sie bei welchem Anbieter gekauft, wie ist ihre Telefonnummer, wo ist sie angestellt etc. Führt man sich dieses Bild vor Augen, lässt sich im Einzelfall recht schnell bestimmen, ob tatsächlich ein Personenbezug vorliegt oder nicht. Besondere Schwierigkeiten ergeben sich in der Regel erst, wenn es nicht um die Identifizierung, sondern die Identifizierbarkeit der betroffenen Person geht.

Bestimmbarkeit, Personenbeziehbarkeit, Identifizierbarkeit

Denn um den Anwendungsbereich der DSGVO zu eröffnen, reicht es bereits aus, dass eine natürliche Person durch das Datum bestimmbar oder identifizierbar ist. Das Suffix „-bar“ verweist auf das möglich-Sein dessen, was beschrieben wird. Identifizierbarkeit meint also, dass die reale Möglichkeit besteht mittels der gegebenen Daten die betroffene Person eindeutig zu bestimmen.

Darin, dass bereits die Möglichkeit ausreicht durch die Datenverarbeitung eine Person identifizieren zu können, kommt der risikobasierte Ansatz der DSGVO besonders deutlich zum Ausdruck. Fragt man nach der Möglichkeit, stellt sich immer auch die Frage, für wen und unter welchen Bedingungen etwas möglich sein muss, womit die zentrale Frage aufgeworfen ist: welche Anforderungen sind an die Ermittelbarkeit der Identität zu stellen.

Genaueres zeigt zunächst wieder die DSGVO in Erwägungsgrund 26: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“. Maßgeblich hierfür seien „alle objektiven Faktoren“, insbesondere die Kosten, der Zeitaufwand und der Stand der Technik. Weitere nicht ausdrücklich genannte Faktoren sind: das Bestehen gesetzlicher Ansprüche, die konkrete Strukturierung der Datenverarbeitung, organisatorische Dysfunktionen sowie objektiv zu erwartbare Vorteile, die der Verantwortliche von einer Identifizierung hätte. Schließlich können auch subjektive Faktoren mitbestimmend sein. Beispielweise dann, wenn dem Verantwortlichen aus persönlichen Gründen besonders daran gelegen ist, die Person zu identifizieren. Nicht berücksichtigungsfähig sind wohl verbotene Mittel zu Ermittlung des Personenbezugs wie Hacking oder Spionage, da insofern der Grundsatz gilt, dass auf rechtmäßiges Verhalten des Verantwortlichen vertraut werden darf.

Zusammenfassend ist festzustellen, dass eine genaue Bestimmung der Identifizierbarkeit nur durch eine einschlägige Rechtsprechung konkretisiert werden kann, die die normative Praxis der Gesellschaft im Umgang mit Daten berücksichtigt und so den Rahmen des Erwartbaren konturiert. Dasselbe gilt auch für die Frage nach einer hinreichenden tatsächlichen Identitätsfeststellung. Denn wann genug Informationen bestehen, um die Selbigkeit des Individuums, also dessen Identität als festgestellt zu betrachten, ist wiederum eine normative Frage.

Fazit

Der Begriff des Personenbezugs ist als Grundbegriff des Datenschutzrechts denkbar weit gefasst. Eine einfache Formel zur Bestimmung des Personenbezugs kann es nicht geben. Wann die Identität einer Person hinreichend festgestellt oder feststellbar ist, hängt immer auch maßgeblich von der Erwartungsstruktur der Gesellschaft und der Institution, in der man sich bewegt ab. So gelten im Internet andere Maßstäbe als im persönlichen Verkehr. Während dort die Identität meist über Codes wie die IP-Adresse hergestellt wird, kommt es im persönlichen Verkehr mehr auf sichtbare Eigenschaften einer Person an. Ob eine hinreichende Bezogenheit besteht oder nicht ist damit letztlich auch eine Frage vernünftigen Abwägens der Freiheiten und Interessen der von Betroffenem und Verarbeitendem.

In Literatur und Praxis haben sich bereits typische Fälle herausgebildeten, in denen das Vorliegen eines Personenbezuges umstritten ist. Um diese Fälle soll es in einem dritten Teil gehen.