EuGH: Datenschutz für welche Daten?

Der EuGH entscheidet auf Grundlage der Schlussanträge vom 12.05.2016 darüber, welche Daten unter die europäischen Datenschutzregeln fallen. Von dieser zentralen Weichenstellung hängen die künftigen Möglichkeiten zur Anonymisierung und Nutzung von Daten ab – auch nach Geltung der Datenschutzgrundverordnung (25.05.2018).

Ausgangslage

Der Schutz personenbezogener Daten umfasst sämtliche Einzelgaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG. Diese Definition ist auch für spezielle Datenschutzgesetze, z.B. das EnWG oder das TMG maßgeblich. Wann Personenbezug vorliegt und wann er wegen erfolgreicher Anonymisierung (wieder) zu verneinen ist, entscheidet über die Anwendbarkeit des Datenschutzrechts. Diese Grenze wird in Zeiten technischen Fortschritts (Stichwort: Big Data) und den gestiegenen Anforderungen an die den Umgang mit personenbezogenen Daten (z.B. mit Blick auf Dokumentationen) durch die Datenschutzgrundverordnung entscheidende Auswirkungen haben. Der EuGH folgt mit seinen Entscheidungen regelmäßig den Schlussanträgen der Generalanwälte.

Frage zum Personenbezug

Der BGH hatte dem EuGH mit seinem Vorlagebeschluss vom 28.10.2014 die Frage vorgelegt, ob eine relative (= engere) oder eine absolute (= sehr weite) Definition des Personenbezuges anzunehmen ist. Es geht um das Beispiel eines Internetdienstanbieters und der von ihm mitgespeicherten (dynamischen) Internetadressen (sog. „IP-Adressen“). Ist der Nutzer als datenschutzrechtlich Betroffener mit Hilfe dieser Informationen bestimmbar, obwohl der Betreiber des Internetdienstes selbst nicht über die erforderlichen Informationen verfügt? In Deutschland wird dazu seit Längerem gestritten: Ist der Personenbezug relativ zu verstehen, wäre Datenschutzrecht nicht anwendbar, weil dem Betreiber erforderliche Informationen fehlen. Ist der Personenbezug objektiv zu verstehen, wäre Datenschutzrecht fast immer anwendbar (fast alle Daten sind mit irgendwelchen anderen Daten auf eine Person beziehbar).

EuGH-Verfahren: Vorschlag des Generalanwalts

Am 12.05.2016 hat der Generalanwalt im Vorlageverfahren beim EuGH mit seinen Schlussanträgen vorgeschlagen: Entscheidend ist die Auslegung von Erwägungsgrund 26 die Richtlinie 95/46 („Datenschutzrichtlinie“) sowie der Definition der personenbezogenen Daten in Art. 2 lit. a der Datenschutzrichtlinie. Danach ist immer dann ein personenbezogenes Datum anzunehmen, wenn es für die verantwortliche Stelle Mittel gibt, die vernünftigerweise von ihr selbst oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.

Entscheidend ist also, wie weit der Kreis der „vernünftigerweise“ zur Verfügung stehenden Mittel der einsetzbaren Informationen zu ziehen ist. Dazu wird die weitest mögliche Auslegung abgelehnt (= kein objektiver Maßstab), bei der jede bei einer beliebigen Person verfügbare Information ausreicht. Sonst wären (fast) alle Informationen geschützte personenbezogene Daten.

Die vernünftigerweise von der verantwortlichen Stelle und einem Dritten einsetzbaren Mittel definieren die Schlussanträge so, dass sie (i) rechtmäßig und (ii) nicht mit tatsächlich sehr hohem personellen und wirtschaftlichen Aufwand verbunden und (iii) praktisch durchführbar sein müssen. Für das Beispiel dynamischer IP-Adressen reicht es also aus, dass ein Dritter existiert (der Internetzugangsanbieter), an den sich der Betreiber einer Internetseite wenden könnte, um die zur Bestimmbarkeit der Person erforderlichen zusätzlichen Daten zu erhalten (in Deutschland ein häufig praktiziertes Auskunftsverfahren).

Zeitpunkt für Personenbezug

Schließlich halten die Schlussanträge fest, dass die Qualifizierung als personenbezogenes Datum nicht erst mit der (erfolgreichen) Nutzung eines Mittels zur Identifizierung der Person anzunehmen ist. Vielmehr genügt die Möglichkeit zur Nutzung als solche, ohne dass von ihr Gebrauch gemacht werden muss.

Weitere Artikel zum Thema