213
Mithin fallen personenbezogene Daten, die (nur) bei Verdachtslagen bzw. vermuteten Straftaten verarbeitet werden, also z.B. im Zusammenhang mit der Verhütung, Ermittlung und Aufdeckung einer Straftat, nach hier vertretener Auffassung nicht in den Anwendungsbereich dieser Vorschrift.325 Damit müssen auch Unternehmen bei der Durchführung von Compliance-Maßnahmen und internen Ermittlungen die Vorgaben des Art. 10 DSGVO nach hier vertretener Ansicht i.d.R. nicht beachten.326
214
Im Hinblick auf die Berichterstattung über strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln zu redaktionellen oder literarischen Zwecken gilt in Deutschland auch weiterhin das (z.B. in § 23 Abs. 1 MStV und in den Presse- und Mediengesetzen der Länder enthaltene) Medienprivileg, welches die Berichterstattung über Strafverfahren und -taten ermöglicht.327
10. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist – Art. 11 DSGVO
215
Art. 11 DSGVO regelt den Sonderfall, dass für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich ist. Der Vorschrift liegt die Konstellation zugrunde, dass der Verantwortliche zwar personenbezogene Daten verarbeitet (andernfalls wäre die DSGVO gar nicht anwendbar), er die betroffene Person selbst aber nicht identifizieren kann.328
a) Keine Pflicht zur Verarbeitung von identifizierenden Merkmalen
216
Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, legt Art. 11 Abs. 1 DSGVO fest, dass der Verantwortliche nicht verpflichtet ist, zur bloßen Einhaltung dieser Verordnung – z.B. der Erfüllung von Auskunftsrechten der betroffenen Person nach Art. 15 DSGVO – zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. Diese Regelung dient der Umsetzung des in Art. 5 Abs. 1 lit. e DSGVO festgelegten Prinzips der Speicherbegrenzung sowie dem Prinzip der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO.329
217
Art. 11 Abs. 1 DSGVO stellt damit klar, dass der Verantwortliche keine (zusätzlichen) identifizierenden Merkmale beschaffen muss bzw. er diese löschen/anonymisieren darf, wenn sie für den Zweck, für den die personenbezogenen Daten verarbeitet werden, nicht (mehr) erforderlich sind, sondern nur der bloßen Einhaltung der DSGVO dienen würden.330 Mithin soll der Verantwortliche also nicht verpflichtet sein, zusätzliche Informationen zur betroffenen Person allein deshalb einzuholen/vorzuhalten, um die Vorgaben der DSGVO einzuhalten, wenn dies ansonsten für den Zweck, für den der Verantwortliche die Daten verarbeitet, nicht erforderlich ist.331 Allerdings verbietet es Art. 11 Abs. 1 DSGVO dem Verantwortlichen auch nicht, zusätzliche Informationen zur Identifizierung der betroffenen Person zu erheben/vorzuhalten.332 In diesem Fall wäre aber stets zu prüfen, ob die Verarbeitung dieser zusätzlichen Informationen (nach den allgemeinen Zulässigkeitsanforderungen, z.B. Art. 6 Abs. 1, Abs. 4 DSGVO) zulässig ist.333
Beispiele
Verarbeitet ein Verantwortlicher z.B. pseudonymisierte Daten, stellt Art. 11 Abs. 1 DSGVO klar, dass er keine zusätzlichen identifizierenden Merkmale bzgl. der betroffenen Person einholen, aufbewahren oder verarbeiten muss (z.B. die Zuordnungstabelle zu den Klarnamen), nur damit diese z.B. die Betroffenenrechte nach Art. 15ff. DSGVO geltend machen kann, obwohl die Einholung, Aufbewahrung oder Verarbeitung dieser identifizierenden Merkmale für den eigentlich durch den Verantwortlichen verfolgten Zweck gar nicht notwendig ist.
Weitere Anwendungsfälle können zum Beispiel beim Tracking/Online Behavioral Advertising, bei bestimmten Compliance-Systemen in Unternehmen (wie z.B. Whistleblowing-Hotlines) oder bei der (massenhaften) Videoüberwachung gegeben sein.334
218
Art. 11 Abs. 1 DSGVO befreit den Verantwortlichen dann auch konsequenterweise von der Einhaltung sämtlicher Vorschriften der DSGVO, die die Identifizierung der betroffenen Person erfordern, wenn die Identifizierung für die Verarbeitungszwecke des Verantwortlichen nicht (mehr) erforderlich ist und der Verantwortliche vor diesem Hintergrund nicht (mehr) über die hierfür erforderlichen Informationen verfügt.335 Für die Befreiung von den Betroffenenrechten gem. Art. 15–20 DSGVO statuiert Art. 11 Abs. 2 DSGVO aber besondere Voraussetzungen. Kann der Verantwortliche die verarbeiteten Daten allerdings mit eigenen Mitteln (ggf. mit einem gewissen technischen Aufwand) der betroffenen Person zuordnen (z.B. die Pseudonymisierung eines Datensatzes aufheben), dann entbindet ihn Art. 11 Abs. 1 DSGVO nicht von der Pflicht, diese Zuordnung durchzuführen, und befreit ihn dann auch nicht von der Einhaltung der Vorschriften der DSGVO.336
b) Pflichten und Privilegierung des Verantwortlichen gem. Art. 11 Abs. 2 DSGVO
219
Art. 11 Abs. 2 DSGVO knüpft an Abs. 1 an und regelt weitere Folgen für den Fall, dass die Voraussetzungen des Abs. 1 erfüllt sind. Insbesondere regelt die Vorschrift, unter welchen Voraussetzungen der Verantwortliche in den Fällen des Art. 11 Abs. 1 DSGVO von der Erfüllung der Betroffenenrechte gem. Art. 15–20 DSGVO befreit ist.337
aa) Nachweispflicht des Verantwortlichen
220
Nach Art. 11 Abs. 2 S. 1 DSGVO muss der Verantwortliche zunächst nachweisen können, dass er – objektiv – nicht (mehr) in der Lage ist, die betroffene Person zu identifizieren.338 Hierzu muss der Verantwortliche – nach hier vertretener Ansicht – zumindest plausibel darlegen,339 dass er die betroffene Person nicht (mehr) mit eigenem Wissen identifizieren kann, z.B. weil er die identifizierenden Merkmale gelöscht oder die entsprechenden Datensätze pseudonymisiert hat und selbst nicht (mehr) über die Zuordnungsregel der Klarnamen zu den Pseudonymen verfügt.340 Umstritten ist, inwieweit beim Nachweis der fehlenden Identifizierbarkeit der betroffenen Person auch das für den Verantwortlichen verfügbare Zusatzwissen zu berücksichtigen ist.341
221
Eine solche Nachweispflicht besteht jedenfalls dann, wenn die vom Verantwortlichen verarbeiteten Daten, bezüglich derer er die betroffene Person nicht (mehr) identifizieren kann, immer noch als personenbezogen i.S.d. Art. 4 Nr. 1 DSGVO zu qualifizieren sind, z.B. weil ein Dritter die betroffene Person identifizieren kann.342 Ebenfalls ist unstreitig, dass eine Nachweispflicht nach Art. 11 Abs. 2 S. 1 DSGVO nicht besteht, wenn der Verantwortliche von Anfang an nicht-personenbezogene Daten verarbeitet hat, weil die DSGVO und damit auch Art. 11 DSGVO sachlich nur auf personenbezogene Daten Anwendung findet.343
222
Nicht abschließend geklärt ist hingegen, ob die Nachweispflicht nach Art. 11 Abs. 2 S. 1 DSGVO auch dann besteht, wenn der Verantwortliche ursprünglich personenbezogene Daten verarbeitet und diese dann anonymisiert hat. In der Literatur werden hierzu beide Ansichten vertreten.344
Praxishinweis
Zur Vermeidung etwaiger Haftungsrisiken sollten Unternehmen überlegen, – sofern möglich – auch