David Klein - DS-GVO/BDSG

A.Einordnung und Hintergrund1 – 3

I. BDSG n.F.1

II.Normengenese und -umfeld2, 3

1. DSRL2

2. BDSG a.F.3

B.Kommentierung4 – 21

I. Allgemeines (Art. 11)4

II.Keine Pflicht für die Identifizierung der betroffenen Person (Abs. 1)5 – 11

1. Anwendungsbereich5, 6

2. Pflichten für den Verantwortlichen7, 8

3. Auswirkungen auf den Betroffenen9, 10

4. Informationspflicht bei Bildaufnahmen11

III.Rechtsfolgen bei der Nicht-Identifizierung des Betroffenen (Abs. 2 )12 – 20

1.Nachweis- und Unterrichtungspflicht (Abs. 2 S. 1)12 – 19

a) Nachweispflicht12 – 15

b)Unterrichtungspflicht16 – 19

aa) Pflicht für den Verantwortlichen16, 17

bb) Form der Information18

cc) Ausnahmen19

2. Wahrnehmung von Betroffenenrechten (Abs. 2 S. 2)20

IV. Sanktionen21

C.Praxishinweise22 – 24

I. Relevanz für nichtöffentliche Stellen22

II. Relevanz für betroffene Personen23

III. Relevanz für Aufsichtsbehörden24

Literatur:

Albrecht Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Bull Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257; Golland/Kriegesmann Der Schutz virtueller Identitäten durch die DSGVO, PinG 2017, 45; Hoeren Luftverkehr, Check-In und Pass-/Personalausweisdaten, NVwZ 2010, 1123; Laue/Kremer Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. 2019; Pfitzmann/Hansen A terminology for talking about privacy by data minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity and Identity Management, Version 0.34, 10.8.2010; Schwartmann/Weiß Fokusgruppe Datenschutz, Whitepaper zur Pseudonymisierung, 2017; dies. (Hrsg.) Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz, 2017; dies . Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung 2019; dies . Ein Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung, RDV 2020, 71.

1

Das BDSG n.F. nimmt keinen Bezug auf die Vorschrift in der DS-GVO. Eine Konkretisierung im nationalen Recht oder gar die Ausfüllung einer Öffnungsklausel erscheint hier weder geboten noch erforderlich.

2

Die DSRL enthielt noch keine entsprechende Regelung.[1]

3

Das bisherige nationale Recht kennt keine entsprechende Regelung.[2]

4

Die Regelung in Art. 11stellt eine Entsprechung des Grundsatzes der Datenminimierung ( Art. 5 Abs. 1 lit. c)im Verhältnis zu den weiteren Regelungen der Grundverordnung dar. Gemäß dem genannten Grundsatz soll die Verarbeitung personenbezogener Daten auf das für die Zwecke der jeweiligen Datenverarbeitung notwendige Maß beschränkt bleiben. Die gebotene Datensparsamkeit soll nach Art. 11nicht davon konterkariert werden, dass zusätzliche Informationen über die betroffene Person verarbeitet werden, nur um den Vorgaben der DS-GVO Genüge zu leisten. Sofern eine solche Datenverarbeitung für die verfolgten Zwecke nicht erforderlich ist, gilt es sie zu vermeiden. In der Konsequenz kann der Betroffene möglicherweise seine Betroffenenrechte wahrnehmen, da dafür erforderliche Daten – wie sie etwa zur Identifizierung – nötig sind, nicht verarbeitet wurden. In einem solchen Fall kann der Verantwortliche zusätzliche Informationen entgegennehmen, um die geltend gemachten Betroffenenrechte trotz der grundsätzlich geltenden Datenminimierung zu gewährleisten.

5

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen ( Art. 4 Nr. 1). Hat der Verantwortliche Daten im Sinne des Grundsatzes der Datenminimierung so gespeichert, dass er diese dem Betroffenen nicht mehr zuordnen kann, so ist die betroffene Person jedenfalls nicht mehr eindeutig identifiziert. Gleichwohl verschließt der Wegfall des Personenbezugs nicht den Weg der weiterhin möglichen Identifizierbarkeit.

6

Typisch und mithin am häufigsten für den Regelungsgegenstand des Art. 11ist der Fall der Pseudonymisierung.[3] ErwG 26 S. 1 illustriert die von Art. 11erfasst Konstellation sehr passend, da dort pseudonymisierte Daten mittels der Heranziehung zusätzlicher Informationen als einer natürlichen Person zuordenbar beschrieben werden.

7

Diese zusätzlichen zur Identifizierung erforderlichen Daten sollen gem. Art. 11 Abs. 1eben nicht verarbeitet werden, um allein den Vorgaben der DS-GVO Rechnung zu tragen. Dem in Art. 11 Abs. 1enthaltenen Zweckbindungsgrundsatz nach, sollen diese zur reinen Identifizierung nötigen Daten nur dann aufbewahrt, erhoben oder verarbeitet werden, wenn der Personenbezug für die Zwecke der Datenverarbeitung (weiter) erforderlich ist. Im Umkehrschluss lässt sich konstatieren: Ist die Identifizierung des Betroffenen für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, nicht oder nicht mehr erforderlich ist, entfällt die Erforderlichkeit der Identifizierung und der Verantwortliche muss hierzu keine zusätzlichen Informationen über den Betroffenen verarbeiten.

8

Praktisch erforderlich wird die Identifizierung der betroffenen Person dann, wenn der Verantwortliche in Kontakt mit ihr treten will oder ihre Betroffenenrechte als Erfüllung seiner Rechtspflichten gewährleisten möchte.[4] Im Ergebnis wird der Verantwortliche dann von der (Re-)Identifizierung sowie der Beachtung aller weiteren Vorschriften der DS-GVO, die eine Identifizierung der betroffenen Person erforderlich machen, entbunden, sofern die dazu benötigten Daten nicht vorliegen.[5] Die Einhaltung von Datenschutzvorschriften soll schließlich nicht zum Selbstzweck verkommen.

9

Wenn die Identität für die Zwecke der Datenverarbeitung nicht oder nicht mehr erforderlich ist, werden dafür keine weiteren personenbezogenen Daten der betroffenen Person erhoben. Die Minimierung der Datenverarbeitung stärkt den Einzelnen grundsätzlich in seinem Recht auf informationelle Selbstbestimmung. Vielmehr dient sie ihm mittelbar insofern, dass dessen Identifizierung erschwert wird und Personenbezug zwischen ihm und seinen Daten nicht mehr herstellbar ist. Der materielle Schutz personenbezogener Daten der von der Datenverarbeitung betroffenen Person wird somit gestärkt.

10

Hat der Verantwortliche die betroffene Person nicht identifiziert, so erscheint es zunächst einmal schwierig in Kontakt mit ihr zu treten. Eine Interaktion zur Erfüllung von Pflichten oder Wahrnehmung von Rechten ist damit mindestens erschwert. Gleichwohl ist die Möglichkeit zur Identifizierung nicht zwingend für eine funktionierende Kommunikation erforderlich. So kann auch ein mittelbarer Kontakt, etwa über Dritte, die Bereitstellung der Transparenzinformationen nach Art. 12–14ermöglichen.[6]

11

Für die Fotografie außerhalb des Journalismus hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) eine juristische Bewertung abgegeben.[7] Da Bildaufnahmen personenbeziehbare Daten darstellen, bedarf es hierfür i.S.d. Art. 5 Abs. 1 lit. asowohl der Rechtmäßigkeit als auch der Transparenz. Gerade das Bereitstellen von Informationspflichten wird nahezu unmöglich sein, da dafür regelmäßig erst einmal die Identität der Betroffenen festgestellt werden müsste. Die Informationspflicht darf nach Auffassung des HmbBfDI auf Grundlage des Art. 11 Abs. 1entfallen, wenn der Verantwortliche dafür die betroffene Person erst identifizieren müsste. Die Identifizierung der betroffenen Person durch den Verantwortlichen sei nach Auffassung des HmbBfDI in solchen Fällen nicht oder nicht mehr erforderlich. Der einzelne Fotograf habe im Regelfall weder ein Interesse daran noch die Möglichkeit, die auf dem Bild abgebildeten Personen ohne erheblichen Aufwand zu identifizieren. Eine solche Identifizierung würde dann allein aus dem Grund erfolgen, dass die Anforderungen der Art. 13und 14erfüllt werden können. Dies solle aber gerade durch die Regelung des Art. 11verhindert werden, da in solchen Fällen die Identifizierung zur reinen Bereitstellung der Informationspflichten dem Betroffenen keine Stärkung seiner Rechte verschaffen würde, sondern diese Maßnahme vielmehr eine Erhöhung der Eingriffsintensität in sein Persönlichkeitsrecht darstellen würde.[8]