C.Praxishinweise22 – 24
I.Relevanz für nichtöffentliche Stellen22
II.Relevanz für betroffene Personen23
III.Relevanz für Aufsichtsbehörden24
Literatur:
Albrecht Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung, CR 2016, 88; Bull Persönlichkeitsschutz im Internet: Reformeifer mit neuen Ansätzen, NVwZ 2011, 257; Golland/Kriegesmann Der Schutz virtueller Identitäten durch die DSGVO, PinG 2017, 45; Hoeren Luftverkehr, Check-In und Pass-/Personalausweisdaten, NVwZ 2010, 1123; Laue/Kremer Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl. 2019; Pfitzmann/Hansen A terminology for talking about privacy by data minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity and Identity Management, Version 0.34, 10.8.2010; Schwartmann/Weiß Fokusgruppe Datenschutz, Whitepaper zur Pseudonymisierung, 2017; dies. (Hrsg.) Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz, 2017; dies. Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung 2019; dies. Ein Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung, RDV 2020, 71.
I. BDSG n.F.
1
Das BDSG n.F. nimmt keinen Bezug auf die Vorschrift in der DS-GVO. Eine Konkretisierung im nationalen Recht oder gar die Ausfüllung einer Öffnungsklausel erscheint hier weder geboten noch erforderlich.
1. DSRL
2
Die DSRL enthielt noch keine entsprechende Regelung.[1]
2. BDSG a.F.
3
Das bisherige nationale Recht kennt keine entsprechende Regelung.[2]
I. Allgemeines (Art. 11)
4
Die Regelung in Art. 11 stellt eine Entsprechung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c) im Verhältnis zu den weiteren Regelungen der Grundverordnung dar. Gemäß dem genannten Grundsatz soll die Verarbeitung personenbezogener Daten auf das für die Zwecke der jeweiligen Datenverarbeitung notwendige Maß beschränkt bleiben. Die gebotene Datensparsamkeit soll nach Art. 11 nicht davon konterkariert werden, dass zusätzliche Informationen über die betroffene Person verarbeitet werden, nur um den Vorgaben der DS-GVO Genüge zu leisten. Sofern eine solche Datenverarbeitung für die verfolgten Zwecke nicht erforderlich ist, gilt es sie zu vermeiden. In der Konsequenz kann der Betroffene möglicherweise seine Betroffenenrechte wahrnehmen, da dafür erforderliche Daten – wie sie etwa zur Identifizierung – nötig sind, nicht verarbeitet wurden. In einem solchen Fall kann der Verantwortliche zusätzliche Informationen entgegennehmen, um die geltend gemachten Betroffenenrechte trotz der grundsätzlich geltenden Datenminimierung zu gewährleisten.
1. Anwendungsbereich
5
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1). Hat der Verantwortliche Daten im Sinne des Grundsatzes der Datenminimierung so gespeichert, dass er diese dem Betroffenen nicht mehr zuordnen kann, so ist die betroffene Person jedenfalls nicht mehr eindeutig identifiziert. Gleichwohl verschließt der Wegfall des Personenbezugs nicht den Weg der weiterhin möglichen Identifizierbarkeit.
6
Typisch und mithin am häufigsten für den Regelungsgegenstand des Art. 11 ist der Fall der Pseudonymisierung.[3] ErwG 26 S. 1 illustriert die von Art. 11 erfasst Konstellation sehr passend, da dort pseudonymisierte Daten mittels der Heranziehung zusätzlicher Informationen als einer natürlichen Person zuordenbar beschrieben werden.
2. Pflichten für den Verantwortlichen
7
Diese zusätzlichen zur Identifizierung erforderlichen Daten sollen gem. Art. 11 Abs. 1 eben nicht verarbeitet werden, um allein den Vorgaben der DS-GVO Rechnung zu tragen. Dem in Art. 11 Abs. 1 enthaltenen Zweckbindungsgrundsatz nach, sollen diese zur reinen Identifizierung nötigen Daten nur dann aufbewahrt, erhoben oder verarbeitet werden, wenn der Personenbezug für die Zwecke der Datenverarbeitung (weiter) erforderlich ist. Im Umkehrschluss lässt sich konstatieren: Ist die Identifizierung des Betroffenen für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, nicht oder nicht mehr erforderlich ist, entfällt die Erforderlichkeit der Identifizierung und der Verantwortliche muss hierzu keine zusätzlichen Informationen über den Betroffenen verarbeiten.
8
Praktisch erforderlich wird die Identifizierung der betroffenen Person dann, wenn der Verantwortliche in Kontakt mit ihr treten will oder ihre Betroffenenrechte als Erfüllung seiner Rechtspflichten gewährleisten möchte.[4] Im Ergebnis wird der Verantwortliche dann von der (Re-)Identifizierung sowie der Beachtung aller weiteren Vorschriften der DS-GVO, die eine Identifizierung der betroffenen Person erforderlich machen, entbunden, sofern die dazu benötigten Daten nicht vorliegen.[5] Die Einhaltung von Datenschutzvorschriften soll schließlich nicht zum Selbstzweck verkommen.
3. Auswirkungen auf den Betroffenen
9
Wenn die Identität für die Zwecke der Datenverarbeitung nicht oder nicht mehr erforderlich ist, werden dafür keine weiteren personenbezogenen Daten der betroffenen Person erhoben. Die Minimierung der Datenverarbeitung stärkt den Einzelnen grundsätzlich in seinem Recht auf informationelle Selbstbestimmung. Vielmehr dient sie ihm mittelbar insofern, dass dessen Identifizierung erschwert wird und Personenbezug zwischen ihm und seinen Daten nicht mehr herstellbar ist. Der materielle Schutz personenbezogener Daten der von der Datenverarbeitung betroffenen Person wird somit gestärkt.
10
Hat der Verantwortliche die betroffene Person nicht identifiziert, so erscheint es zunächst einmal schwierig in Kontakt mit ihr zu treten. Eine Interaktion zur Erfüllung von Pflichten oder Wahrnehmung von Rechten ist damit