6
Unter den Informationsbegriff des Art. 4 Nr. 1 DSGVO fallen sowohl Tatsachen (sog. „objektive“ Informationen; z.B. „X hat diese Saison bereits 20 Tore geschossen“), egal, ob wahr oder bewiesen, als auch Meinungen und Beurteilungen (sog. „subjektive“ Informationen; z.B. Werturteile wie „X ist ein guter Stürmer und ist sein hohes Gehalt wert“ oder Wahrscheinlichkeitswerte).6 Es kommt im Prüfungspunkt der Information auch nicht auf den Aussagegehalt und die persönlichkeitsrechtliche Implikation der Information an, sondern es sind auch vermeintlich belanglose Informationen geschützt.7
7
Der Informationsbegriff ist dabei formneutral (z.B. akustisch, alphabetisch, fotografisch,8 grafisch, numerisch etc.) und unabhängig von der Speicherart (z.B. auf einem Videoband, schriftlich auf Papier, binär auf einer Festplatte, im menschlichen Gewebe9 etc.).10 Die Form der Verarbeitung und die Speicherart spielen lediglich eine Rolle beim sachlichen Anwendungsbereich der DSGVO nach Art. 2 Abs. 1 DSGVO (siehe dazu unten Rn. 56ff.).11
3. Personenbezug
8
Wäre jede Information, ganz gleich welchen Inhalts, von der DSGVO geschützt, würde dies zu einer maximal extensiven Anwendbarkeit der DSGVO und damit zu einem weder zu rechtfertigenden noch zu verkraftenden Aufwand für Datenverarbeiter führen. Von der Definition des Art. 4 Nr. 1 DSGVO sind dementsprechend nur Daten umfasst, die einen Personenbezug im Hinblick auf natürliche Personen aufweisen.
9
Der Personenbezug nach Art. 4 Nr. 1 DSGVO liegt vor, wenn die Information sich auf eine Person und nicht ausschließlich auf Sachen bezieht, die in Bezug genommene Person eine natürliche Person ist und die Person durch den Bezug identifiziert oder identifizierbar ist.12
a) Personenbezogene Daten/Sachdaten
10
Eine Information muss zuvorderst eine Verbindung zu einer natürlichen Person aufweisen. Weist eine Information hingegen ausschließlich Bezüge zu Gegenständen auf (sog. Sachdaten; z.B. „Der hier ausgestellte Computer hat einen Prozessor mit einer Taktfrequenz von 3,4 Gigahertz“), besteht kein Personenbezug nach Art. 4 Nr. 1 DSGVO. In diesem Prüfungspunkt geht es noch nicht darum, ob die konkrete Person hinter der Information wirklich identifizierbar ist (insbesondere durch die jeweils verarbeitende Stelle, vgl. nachfolgend Rn. 33ff.), sondern ob die Information je nach Kontext überhaupt mit natürlichen Personen in Verbindung gebracht werden kann.
11
Nach der Art.-29-Datenschutzgruppe beziehen sich Daten auf Personen, wenn sie die Identität, die Merkmale oder das Verhalten dieser Person betreffen oder wenn sie verwendet werden, um die Art festzulegen oder zu beeinflussen, in der die Person behandelt oder beurteilt wird.13 Sie unterscheidet personenbezogene Daten insofern in solche mit Inhalts- („über“), Zweck- („um“) und Ergebniselementen („auswirken“), wobei mehrere Elemente vorhanden sein können, aber nicht müssen.14
12
Zu beachten ist dabei, dass reine Sachdaten in der Praxis äußerst selten sind. So lassen sich viele Angaben, die sich zwar vordergründig auf Sachen beziehen, je nach Kontext, entsprechender Zuordnung zu einer Person oder durch entsprechendes Zusatzwissen zumindest mittelbar auch auf eine Person beziehen. Die Funktion einer IP-Adresse15 ist beispielsweise, Computer untereinander adressierbar und damit erreichbar zu machen. Eine IP-Adresse ist somit zwar in erster Linie eine Information über eine Sache, nämlich den Computer. Da IP-Adressen in der Regel jedoch von Internetzugangsanbietern an ihre jeweiligen Kunden vergeben werden, können IP-Adressen damit auch durch die Zuweisung an bestimmte Vertragspartner eine Verbindung zu natürlichen Personen aufweisen (zur Identifizierbarkeit des Nutzers anhand der IP-Adresse sogleich unten Rn. 34).16 Weitere Beispiele von sich zwar in der Hauptfunktion auf Sachen beziehende Informationen, die aber potenziell auch einen Personenbezug aufweisen können, sind Cookies,17 Geodaten,18 KfZ-Scheckhefte und Kreditkartennummern.
13
Eine Personenbezogenheit von Daten kann sich auch erst im Zuge deren Verarbeitung ergeben. So können eigentlich (inhaltsleere) sachbezogene Daten so zusammengeführt und kombiniert werden, um einen Personenbezug erst herzustellen.19 Aufgrund dieses Zweckelements handelt es sich um Daten mit Personenbezug.20 Daten mit Ergebniselement haben den Personenbezug weder als Inhalt noch als Zweck, ihre Verarbeitung kann aber Auswirkungen auf die Person haben (z.B. die bei einer Standortüberwachung von Taxis zur Verbesserung der Servicequalität erhobenen Daten, die als ungeplanter Nebeneffekt auch zur Kontrolle der Taxifahrer verwendet werden können).21
14
Auch im Rahmen des Internet of Things-Trends produzieren die miteinander vernetzten Haushaltsgeräte häufig Daten, die grundsätzlich auch einer bestimmten Person, etwa dem jeweiligen Nutzer oder Inhaber des jeweiligen Endgeräts, zugeordnet werden können; Entsprechendes gilt etwa für Telemetriedaten von Fahrzeugen.22
b) Natürliche/Betroffene Person
15
In der Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO ist ausdrücklich festgelegt, dass sich die Information auf eine natürliche Person (also einen Menschen)23 beziehen muss. Die natürliche Person, auf welche sich die Informationen beziehen, wird in Art. 4 Nr. 1 DSGVO beiläufig auch als „betroffene Person“ definiert, was ebenfalls einer der meist gebrauchten Termini in der DSGVO ist, insbesondere im Zusammenhang mit den Betroffenenrechten. Ausweislich ErwG 14 Satz 1 ist das Recht auf den Schutz personenbezogener Daten ein allgemeines Recht, welches unabhängig von der Staatsangehörigkeit und dem Aufenthaltsort der natürlichen Person ist.24
aa) Juristische Personen
16
Daten, die sich ausschließlich auf juristische Personen beziehen, sind nicht nur im Umkehrschluss zu der Begrenzung auf natürliche Personen in Art. 4 Nr. 1 DSGVO, sondern auch explizit nach ErwG 14 Satz 2 keine personenbezogenen Daten. Nach letzterem ErwG sind insbesondere als juristische Person gegründete Unternehmen, einschließlich Name, Rechtsform und Kontaktdaten der juristischen Person, nicht geschützt. Der Begriff der juristischen Person umfasst insofern nicht nur Kapitalgesellschaften, sondern auch Personengesellschaften und Vereine.25 Der Ausschluss von juristischen Personen als Bezugspunkt ist insofern nicht selbstverständlich, als einige Mitgliedstaaten wie Italien, Luxemburg und Österreich nach alter Rechtslage den Anwendungsbereich ihres nationalen Datenschutzrechts zum Teil auch auf juristische Personen ausgeweitet hatten.26 Auch der deutsche Gesetzgeber schützt im Sozialrecht Betriebsgeheimnisse durch das Sozialgeheimnis des § 35 Abs. 4 SGB I i.V.m. § 67 SGB X.27 Im Rahmen des Fernmeldegeheimnisses sind gemäß § 91 Abs. 1 Satz 2 TKG auch Einzelangaben über juristische Personen und Personengesellschaften geschützt, soweit sie mit der Fähigkeit ausgestattet sind, Rechte zu erwerben oder Verbindlichkeiten einzugehen.28 Auch die ePrivacy-Richtlinie (2002/58/EG) sieht in Art. 1 Abs. 2, Art. 12 und 13 die Anwendung einiger Bestimmungen für Teilnehmerverzeichnisse und unerbetene Nachrichten auch auf juristische Personen vor.29
17
Die Ausnahme der Informationen mit Bezug zu juristischen Personen greift im Rahmen des Art. 4 Nr. 1 DSGVO allerdings nur, wenn die Informationen tatsächlich keinerlei Bezug zu natürlichen Personen aufweisen. Es ist nämlich sehr gut möglich, dass eine Information über eine juristische Person