Gelten Daten als personenbezogen, wenn eine Verkettung Rückschlüsse auf eine Person geben kann?
Die von einer Person erhaltenen Daten führen nicht zwangsläufig direkt dazu, dass Rückschlüsse auf ihre Identität gezogen werden können. Es kommt auf den Einzelfall an. Dabei ist der anzuwendende Maßstab umstritten. Insbesondere ist es umstritten, ob ein an sich anonymes Datum, wie z.B. die IP-Adresse für den Inhaber einer Webseite, ein personenbezogenes Datum sein kann, wenn ein Dritter (bei IP-Adressen: der Internet Service Provider), eine Zuordnung vornehmen kann.
Die deutschen und europäischen Regelungen sind insoweit nicht eindeutig. Im Wesentlichen werden in der juristischen Literatur, von den Datenschutzbehörden und den Gerichten drei verschiedene Ansätze vertreten.
1. Objektiver Datenbegriff
Die von den meisten Datenschutzbehörden gewählte Herangehensweise ist sehr vereinfachend und (zu) restriktiv. Sie gehen davon aus, dass es ausreicht, wenn aus objektiver Sicht (sogenannter „objektiver Datenbegriff“) theoretisch die Möglichkeit besteht, dass mithilfe eines Datums eine konkrete Person bestimmbar ist, auch wenn dazu die nutzende Person bzw. das nutzende Unternehmen Informationen von Dritten benötigt. Das gilt unabhängig davon, ob es wahrscheinlich ist, dass eine solche Mitwirkung jemals erfolgt. Relevant ist dies beispielsweise für Big Data Anwendungen, die IP Adressen Profilen zuordnen oder diese anderweitig nutzen. Nach dieser Ansicht ist eine Person neben IP-Adressen auch insbesondere aufgrund folgender Daten bestimmbar: Browser-Fingerprints, Daten eines mobilen Funkgeräts, Kfz-Daten (Fahrzeugnummer, Kennzeichen etc.), mit RFID-Chips ausgestattete Gegenstände, Pseudonyme.
2. Subjektiver Datenbegriff
Nach der liberaleren Gegenansicht ist bei der Frage nach dem Personenbezug von Daten nur zu berücksichtigen, inwieweit die konkrete Stelle, welche Daten verarbeitet, die Möglichkeit hat, eine bestimmte Person zu ermitteln (sogenannter „subjektiver Datenbegriff“). Informationen von außerhalb sind hiernach nicht relevant. Nach dieser Ansicht ist insbesondere die IP-Adresse kein personenbezogenes Datum (außer für den Internet Service Provider bei Einzelanschlüssen), da es sich lediglich um eine Zahlenfolge handelt, welche auch im Zusammenhang mit der Angabe, dass zu einer bestimmten Zeit ein Zugriff auf eine bestimmte Webseite erfolgt ist, kein Rückschluss auf eine Person möglich ist.
3. Vermittelnde Lösung
Unserer Ansicht nach sind beide Seiten zu pauschal und einseitig. Vielmehr ist eine vermittelnde Lösung interessengerecht. Es muss zunächst aus Sicht des jeweiligen Datenverarbeiters bestimmt werden, ob es sich um personenbezogene Daten handelt oder nicht. Dabei können aber auch Daten von Dritten relevant sein, wenn es naheliegend ist, dass dieser Zugriff auf diese Daten hat und mit deren Hilfe die Identität einer konkreten Person bestimmen kann. (Nur) wenn das der Fall ist, liegt ein Personenbezug vor, mit der Folge, dass die datenschutzrechtlichen Anforderungen (insbesondere oftmals Zustimmung, „siehe hier“.LINK zu Beitrag 2) einzuhalten sind. Für „Big Data“ bedeutet dies dennoch, dass im Zweifelsfall personenbezogene Daten involviert sind, da zumeist eine Mischung aus mehreren Datentypen vorliegen wird. Ein Personenbezug ist aber dann auszuschließen, wenn die Daten bereits vor deren Weiterverarbeitung anonymisiert wurden, wobei für die Anonymisierung aus unserer Sicht nicht die strenge Auffassung der meisten Datenschutzbehörden, sondern die hier vertretene vermittelnde Ansicht maßgeblich ist. Wenn man kein Risiko eingehen möchte, muss man allerdings den strengen Maßstab zugrunde legen.
Kostenlose Checkliste zu Rechtsfragen im Big Data Umfeld
Dieser Beitrag ist ein Auszug aus der Checkliste 23 Fragen zu Big Data und Recht von artegic und Bird&Bird. Die Checkliste hilft Unternehmen dabei, rechtliche Fallstricke im Umgang mit Big Data zu vermeiden. Hier geht es zum kostenlosen Download:
artegic AG – Know-how und Technologie für Online CRM
Die artegic AG unterstützt Unternehmen beim Aufbau von loyalen und profitablen B-to-B- und B-to-C-Kundenbeziehungen über Online-Kanäle. Das Leistungsportfolio umfasst strategische Beratung, Technologien und Business-Services für Online CRM und Dialogmarketing per E-Mail, RSS, Mobile und Social Media.
Mit der Online CRM Technologie ELAINE FIVE bietet artegic eine leistungsfähige und einzigartige Lösung für die übergreifende Durchführung von Kampagnen sowie die Marketing-Automatisierung auf Basis von selbst schärfenden analytischen Kundenprofilen. Für die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen wurde die artegic 2012 mit dem eco Internet Award ausgezeichnet.
International werden jeden Monat über die ELAINE FIVE Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages versandt. artegic greift dabei als assoziiertes Unternehmen auf das Know-how der Fraunhofer Gesellschaft zurück sowie auf die Expertise aus langjährigen Best-Practices mit namhaften Kunden wie RTL, PAYBACK, Web.de, REWE, maxdome, Hyundai sowie den Bundesministerien der Finanzen und der Justiz.
artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert.