DSGVO - BDSG - TTDSG

32

Entscheidender Zeitpunktfür die Frage der wahrscheinlich vom Verantwortlichen verwendeten Mittel zur Identifizierung ist der Zeitpunkt der Verarbeitung, nicht erst der eigentlichen Identifizierung.72 Zu beachten ist, dass die Einschätzung der Individualisierbarkeit sich bei jeder Verarbeitung aufgrund des zeitlichen Moments z.B. durch neu erlangte Zusatzinformationen, neue technologische Analysemöglichkeiten oder ein neues Geschäftsmodell verändern kann.73 Insofern sieht auch ErwG 26 Satz 4 im Vergleich zur DSRl vor, dass auch die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.74

33

Darüber hinaus stellt sich die Frage, ob das Wissen und die Mittel Dritterund nicht nur des Verantwortlichen bei der Identifizierbarkeit ebenfalls Berücksichtigung finden müssen. Diese altbekannte Streitfrage klärt die DSGVO leider nicht. Der Streit zwischen dem absoluten und relativen Verständnis des Personenbezugs lebt daher fort.75 Das absolute Verständnisgeht davon aus, dass im Sinne einer objektiven Betrachtungsweise jegliche potenzielle Kenntnisnahmemöglichkeit eines Dritten, inkl. eines rechtswidrigen Zugriffs auf den Datenbestand bzw. sogar das „gesamte Weltwissen“,76 zu einer Identifizierbarkeit führt,77 wovon unter der alten Rechtslage insbesondere die deutschen Datenschutzaufsichtsbehörden78 ausgingen.

34

Nach dem relativen Verständnisist hingegen im Sinne einer subjektiven Betrachtungsweise nur auf die Kenntnisnahmemöglichkeiten des jeweiligen Verantwortlichen abzustellen.79 Spätestens mit der Breyer -Entscheidung des EuGH scheint sich hingegen auch in der Literatur als herrschende Ansicht eine vermittelnde Ansichtherausgebildet zu haben, die entweder als absoluter Ansatz mit relativierenden Elementen80 oder als relativer Ansatz mit Einschränkungen/objektivierenden Elementen81 bezeichnet wird. Der EuGHhatte im Breyer -Urteil darüber zu entscheiden, ob und wann dynamische IP-Adressen für Webseitenanbieter personenbezogene Daten darstellen. Er stellte dabei nur auf das Wissen ab, über das der Webseitenanbieter verfügt, bezog in diese Betrachtung aber alle vernünftigerweise vom Webseitenanbieter verwendeten rechtlichen Mittel ein, die es dem Webseitenanbieter erlauben, die betreffende Person anhand der Zusatzinformationen Dritter, bestimmen zu lassen.82 Konkret stellt der EuGH auf den Internetzugangsanbieter83 ab, der dem Webseitenanbieter helfen könne, die dynamische IP-Adresse der betroffenen Person zuzuordnen.84 Der BGHhat in Umsetzung des EuGH-Urteils festgestellt, dass dem Beklagten Auskunftsrechte gegenüber Internetzugangsanbietern nach § 100j Abs. 2 und Abs. 1 StPO sowie § 113 TKG zustehen können, durch die der Webseitenbetreiber das für die Identifizierung erforderliche Zusatzwissen über den jeweiligen Anschlussinhaber vom Internetzugangsanbieter erlangen könne, und es sich deshalb bei dynamischen IP-Adressen um personenbezogene Daten handele.

35

Der relative Ansatz ist mit Einschränkungenauch unter der DSGVO vorzugswürdig insofern, als sich der Verantwortliche etwaiges Zusatzwissen Dritter zurechnen lassen muss, über welches er gegenwärtig zwar nicht verfügt, ihm jedoch Mittel zustehen, um sich dieses Zusatzwissen zu verschaffen, und es darüber hinaus noch wahrscheinlich ist, dass er diese Mittel nutzen würde (vgl. insoweit zur Möglichkeit eines Abschneidens dieser Mittel Rn. 51). Für ein solches Verständnis spricht zum einen, dass die DSGVO in ErwG 26 Satz 3 nicht nur auf Mittel abstellt, die nur der Verantwortliche, sondern auch eine andere Person – nach allgemeinem Ermessen wahrscheinlich– verwendet, um eine Person zu identifizieren. Zum anderen wird in ErwG 30 darauf hingewiesen, dass Online-Kennungen, wie z.B. IP-Adressen, mit entsprechendem Zusatzwissen eine Identifizierung erlauben können . Die teleologische Auslegung streitet auch weiterhin unter der DSGVO für die relative Ansicht, insbesondere der Verlust der Identifizierbarkeit als Abgrenzungsmerkmal bei Zugrundelegung des absoluten Ansatzes bei der Bestimmung des sachlichen Anwendungsbereichs der DSGVO und die damit einhergehende schwindende Möglichkeit, personenbezogene Daten zu anonymisieren, weil Verantwortliche nie rechtssicher feststellen könnten, ob eine Individualisierbarkeit der verarbeiteten Informationen nicht doch theoretisch möglich wäre (obwohl es für den Verantwortlichen unmöglich ist).85

36

Es ist auch nicht ersichtlich, warum die DSGVO auf Datenverarbeitungen Anwendung finden sollte, die kein reales Gefahrenpotenzial für das Recht auf informationelle Selbstbestimmung von natürlichen Personen haben.86

37

Der EuGH hat im Breyer-Urteil festgestellt, dass neben faktischen (inkl. technischen Mitteln, also z.B. Zugriff auf Server eines Vertragspartners, Datenanalysetools, Weisungsrechte gegenüber einer Tochtergesellschaft) auch rechtliche Mittelim Hinblick auf das Zusatzwissen von Dritten berücksichtigt werden müssen.87 Unklar ist jedoch, ob die Tatbestandsvoraussetzungen von etwaigen Auskunftsansprüchen tatsächlich vorliegen müssen oder nicht.88 Diese dürften beispielsweise dann nicht vorliegen, wenn Informationen zu Zwecken erhoben werden, die eine Einschaltung der Staatsanwaltschaft oder entsprechender Aufsichtsbehörden nicht nach sich ziehen können (etwa reine Nutzungsanalysezwecke). Die Argumentation des EuGH legt dabei zunächst nahe, dass bereits die abstrakte Möglichkeit von Auskunftsverlangen ausreiche, wenn er darauf abstellt, dass solche rechtlichen Mittel nach deutschem Recht bestehen.89 Demgegenüber klingt in der das EuGH-Urteil umsetzenden Entscheidung des BGH an, dass jedenfalls auf den konkreten Kontext abzustellen sei. So statuiert der BGH, dass der Beklagte im Falle einer bereits eingetretenen Schädigung Strafanzeige erstatten oder im Falle der drohenden Schädigung die zur Gefahrenabwehr zuständigen Behörden einschalten kann.90

38

Zwar scheint der BGH dabei keine tatsächliche Prüfung einer solchen Schadenslage zur Bejahung eines Personenbezugs für erforderlich zu halten.91 Gleichwohl statuiert er weiter, dass „[...] die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden zu diesem Zweckvon Internetzugangsanbietern bei Vorliegen bestimmter Voraussetzungen Auskunft verlangen [können]“.92 Demgemäß spricht dies dafür, dass der konkrete, vom jeweiligen Verantwortlichen verfolgte Verarbeitungs- und Speicherzweck bei der Bewertung, ob ihm entsprechende rechtliche Mittel zur Verfügung stehen, jedenfalls zu berücksichtigen ist. Richtigerweise wird daher auf den konkreten Einzelfall abzustellen sein, mithin, ob eine Nutzung der rechtlichen Mittel nach allgemeinem Ermessen wahrscheinlich ist, z.B. Speicherung der IP-Adressen zur Ahndung von Urheberrechtsverletzungen93 oder Abwehr von Cyber-Angriffen.94

39

Interessant ist die Frage der Identifizierbarkeit bei Personengruppen, wenn mehrere natürliche Personen als Bezugspunkt der Information in Frage kommen. Eine dynamische IP-Adresse ändert sich beispielsweise beim Einsatz eines Routers grundsätzlich nicht beim Ein-/Ausschalten des Computers oder beim Abmelden der Nutzer, sondern nur alle 24 Stunden oder wenn der Router neu gestartet wird. Theoretisch können somit mehrere Nutzer mit der gleichen dynamischen IP-Adresse im Internet surfen oder z.B. illegal Musik herunterladen, was insbesondere auch bei offenen WLAN, Anonymisierungsdiensten und Internetcafés95 relevant wird. Sofern nicht durch das Hinzuziehen weiterer Informationen (z.B. Verhaltensmuster oder Zeitstempel) klar eine Person als Nutzer zuordenbar ist, ist eine Identifizierbarkeit hier zu verneinen.96