DSGVO - BDSG - TTDSG

15

In der Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO ist ausdrücklich festgelegt, dass sich die Information auf eine natürliche Person(also einen Menschen)23 beziehen muss. Die natürliche Person, auf welche sich die Informationen beziehen, wird in Art. 4 Nr. 1 DSGVO beiläufig auch als „ betroffene Person“ definiert, was ebenfalls einer der meist gebrauchten Termini in der DSGVO ist, insbesondere im Zusammenhang mit den Betroffenenrechten. Ausweislich ErwG 14 Satz 1 ist das Recht auf den Schutz personenbezogener Daten ein allgemeines Recht, welches unabhängig von der Staatsangehörigkeit und dem Aufenthaltsort der natürlichen Person ist.24

16

Daten, die sich ausschließlich auf juristische Personenbeziehen, sind nicht nur im Umkehrschluss zu der Begrenzung auf natürliche Personen in Art. 4 Nr. 1 DSGVO, sondern auch explizit nach ErwG 14 Satz 2 keine personenbezogenen Daten. Nach letzterem ErwG sind insbesondere als juristische Person gegründete Unternehmen, einschließlich Name, Rechtsform und Kontaktdaten der juristischen Person, nicht geschützt. Der Begriff der juristischen Person umfasst insofern nicht nur Kapitalgesellschaften, sondern auch Personengesellschaften und Vereine.25 Der Ausschluss von juristischen Personen als Bezugspunkt ist insofern nicht selbstverständlich, als einige Mitgliedstaaten wie Italien, Luxemburg und Österreich nach alter Rechtslage den Anwendungsbereich ihres nationalen Datenschutzrechts zum Teil auch auf juristische Personen ausgeweitet hatten.26 Auch der deutsche Gesetzgeber schützt im Sozialrecht Betriebsgeheimnisse durch das Sozialgeheimnis des § 35 Abs. 4 SGB I i.V.m. § 67 SGB X.27 Im Rahmen des Fernmeldegeheimnisses sind gemäß § 91 Abs. 1 Satz 2 TKG auch Einzelangaben über juristische Personen und Personengesellschaften geschützt, soweit sie mit der Fähigkeit ausgestattet sind, Rechte zu erwerben oder Verbindlichkeiten einzugehen.28 Auch die ePrivacy-Richtlinie (2002/58/EG) sieht in Art. 1 Abs. 2, Art. 12 und 13 die Anwendung einiger Bestimmungen für Teilnehmerverzeichnisse und unerbetene Nachrichten auch auf juristische Personen vor.29

17

Die Ausnahme der Informationen mit Bezug zu juristischen Personen greift im Rahmen des Art. 4 Nr. 1 DSGVO allerdings nur, wenn die Informationen tatsächlich keinerlei Bezug zu natürlichen Personenaufweisen. Es ist nämlich sehr gut möglich, dass eine Information über eine juristische Person durch etwaige Rückschlussmöglichkeiten auf eine dahinterstehende natürliche Person „durchschlägt“. Beispielsweise können aus der finanziellen Situation einer Ein-Mann-GmbH auch Rückschlüsse auf den einzigen Gesellschafter gezogen werden.30 Dies droht generell, wenn der Name der juristischen Person den Namen einer natürlichen Person enthält bzw. sich dieser davon ableiten lässt.31 Auch bei Informationen über E-Mail-Adressen, die ihren Inhaber zwar nicht namentlich ausweisen, jedoch regelmäßig vom gleichen Mitarbeiter verwaltet werden, oder Aussagen über Kleinbetriebe, die in Zusammenhang mit dem Verhalten ihres jeweiligen Eigentümers stehen, ist ein entsprechendes Durchschlagen auf die dahinterstehende natürliche Person möglich.32

18

Ebenfalls nicht in den Schutzbereich der DSGVO fallen Daten, die sich ausschließlich auf Verstorbenebeziehen.33 Hier besteht allerdings ebenfalls das Problem, dass ein Datum über einen Verstorbenen auf eine andere natürliche Person durchschlägt, z.B. auf Angehörige bezüglich Erbkrankheiten.34

19

In ErwG 27 Satz 2 findet sich eine Öffnungsklausel für die Mitgliedstaaten, um den datenschutzrechtlichen Anwendungsbereich auf mitgliedstaatlicher Ebene auch auf personenbezogene Daten Verstorbener auszuweiten, was der deutsche Gesetzgeber bisher nicht getan hat.35 Allerdings bestehen in Deutschland spezielle Gesetze zum Schutz von Informationen über Verstorbene, z.B. im Arzt-, Kunsturheber-, postmortalen Persönlichkeits-,36 Sozial-, Statistik-, Steuer- und Strafrecht.37

20

Hiermit im Zusammenhang stehen verschiedene, bislang weitestgehend ungeklärte Fragestellungen zum sog. digitalen Nachlass von Betroffenen.38 Das LG Berlin hat Facebook zugunsten der Eltern einer minderjährigen verstorbenen Tochter etwa dazu verpflichtet, den Eltern als Erben der Tochter Zugang zu dem Benutzerkonto und den Kommunikationsinhalten zur Verfügung zu stellen, weil die Gesamtrechtsnachfolge des § 1922 BGB auch beim Facebook-Nutzungsvertrag greife.39 Eine Ausübung der allgemeinen Betroffenenrechte (Art. 15–22 DSGVO) durch Erben dürfte hingegen ohne eine mitgliedstaatliche Erweiterung nicht möglich sein.40

21

Ob Informationen über ungeborenes Leben(sog. nasciturus) personenbezogene Daten sind oder nicht, lässt sich der DSGVO nicht entnehmen und ist dementsprechend in der Literatur umstritten. Zum Teil wird darauf abgestellt, dass im deutschen Recht ein noch werdendes, also nicht geborenes Kind schon erben, Schenkungen annehmen oder gar Schadensersatzansprüche geltend machen kann. Um Wertungswidersprüche zu vermeiden, sei daher eine Vorverlagerung des Rechts auf informationelle Selbstbestimmung angezeigt.41 Ferner könne man aus ErwG 27 Satz 1 (durch den Verstorbene vom Anwendungsbereich der DSGVO ausgenommen werden) den Umkehrschluss ziehen, dass der Verordnungsgeber die Geltung der DSGVO in diesem Zuge auch explizit für ungeborenes Leben ausgeschlossen hätte, wenn er dies beabsichtigt hätte.42 Demgegenüber wird angeführt, dass die DSGVO mit ihren Betroffenenrechten (Art. 15–22 DSGVO) von einer lebenden betroffenen Person ausgeht, die spezielle Rechte selbst ausüben kann, und dementsprechend Daten über ungeborene Kinder keine personenbezogene Daten darstellen.43 Ungeachtet dessen gilt jedoch auch hier wiederum die Einschränkung, dass die Informationen über ungeborene Kinder auch auf lebende Personen, insbesondere in der Regel auf die Mutter des ungeborenen Kindes,44 durchschlagen können.45

22

Für die Qualifizierung als personenbezogene Daten nach Art. 4 Nr. 1 DSGVO müssen die Informationen nicht nur einen generellen Bezugzu einer natürlichen Person aufweisen, sondern sie müssen gerade eine spezifische natürliche Person identifizieren oder zumindest identifizierbar machen.

23

Die unterschiedliche Syntax von identifiziert/identifizierbar in Art. 4 Nr. 1 DSGVO und bestimmt/bestimmbar in § 3 Abs. 1 BDSG a.F. bzw. Art. 2 lit. a DSRl führt zu keiner inhaltlichen Änderung, denn die englische Fassung in der DSRl und der DSGVO sprechen einheitlich von „identified“/„identifiable“.46

24

Ein Datum identifizierteine natürliche Person, wenn die Identität dieser unmittelbar aus der Information selbst hervorgeht.47 Eine natürliche Person ist dementsprechend identifiziert, wenn sie sich in einer Personengruppe von allen anderen Mitgliedern der Gruppe unterscheidet48 und sie deshalb aus der Gruppe ausgesondert werden kann („singling out“49).50 Die klassische Zuordnungsmethode ist insofern ein aussagekräftiger Name einer Person, der die Wiedererkennung der Person ermöglicht, wobei nicht stets der Name zur Identifikation benötigt wird.

25

Die Identifizierbarkeit hängt von den jeweiligen Umständenab und ist daher kontextsensitiv zu bewerten.51 Während eine Person regelmäßig nicht durch einen Allerwelts-Nachnamen bezogen auf die gesamte Landesbevölkerung identifiziert werden kann, reicht der Nachname häufig innerhalb einer Schulklasse aus.52 Auch die Information „der Mann im schwarzen Anzug“ kann bezogen auf eine Gruppe von Passanten an einer Fußgängerampel ausreichen.53