bb) Identifizierbare Person
30
Der sachliche Anwendungsbereich der DSGVO ist jedoch bereits eröffnet, sofern sich ein Datum auf eine identifizierbare Person bezieht. Eine Information macht eine natürliche Person identifizierbar, wenn durch sie allein die Identifizierung (also die Wiedererkennung) zwar selbst nicht unmittelbar möglich ist, eine entsprechende Identifizierung aber mittels Verknüpfung mit weiteren Informationen hergestellt werden kann. Als identifizierbar wird nach Art. 4 Nr. 1 DSGVO eine natürliche Person angesehen, die direkt oder indirekt, insbesondere63 mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen,64 psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die Kenntnis des Namens der natürlichen Person ist dementsprechend für eine Identifizierbarkeit nicht unbedingt erforderlich.65
(1) Wahrscheinlichkeit der Identifizierung
31
Um festzustellen, ob eine natürliche Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich66 genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren (ErwG 26 Satz 3). Die rein hypothetische Möglichkeit zur Identifizierung der Person reicht somit nicht aus, um die Person als identifizierbar anzusehen.67 Es ist allerdings auch nicht notwendig, dass der Verantwortliche tatsächlich Bestrebungen einleitet oder über entsprechende Mittel bereits verfügt, um eine Identifizierung herbeizuführen, sondern es reicht die festgestellte Wahrscheinlichkeit, dass er diese einleitet bzw. entsprechende Mittel erwerben wird.68 Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sind im Rahmen einer Risikoanalyse bzw. -prognose nach ErwG 26 Satz 4 alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, heranzuziehen, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklung zu berücksichtigen sind. Nach der Breyer-Entscheidung des EuGH ist dabei ein faktisches Risiko der Herstellung eines Personenbezugs erforderlich.69 Zur Bestimmung, ob ein solches Risiko gegeben ist, dürften als objektive Faktoren (neben den in ErwG 26 Satz 4 ausdrücklich genannten) zu berücksichtigen sein, ob der Zweck der Verarbeitung eine Identifizierung erfordert, ob die Identifizierung zu einer Nutzungssteigerung führt (je nach Verarbeitungszweck) und ob der Identifizierung vertragliche und/oder organisatorische Hemmnisse entgegenstehen (z.B. Vertragsstrafen). Abschließend dürfte in einer Abwägung zu entscheiden sein, ob der Aufwand für den erwarteten Kenntnisgewinn der Identifizierung unverhältnismäßig ist. Hat ein Unternehmen beispielsweise in zwei unterschiedlichen Datenbanken Informationen über Personen gespeichert (die isoliert betrachtet jedoch keine eindeutige Zuordnung zu einer Person ermöglichen), deren Zusammenführung dabei zu einer Identifizierung führen würde und unter Berücksichtigung der typischerweise am Markt verfügbaren Datenanalysetools mit einem vertretbaren Aufwand an Zeit und Kosten auch möglich wäre, wäre die Identifizierbarkeit auch der (noch) nicht zusammengeführten Datenbanken zu bejahen.70 Vice versa kann durchaus zu beachten sein, dass ein Verantwortlicher erhebliche Anstrengungen unternehmen und Aufwände auf sich nehmen kann, um einen Datenbestand anhand eines entwickelten Anonymisierungskonzepts nicht personenbeziehbar zu halten, da dies zur Erreichung der jeweils verfolgten Zwecke nicht erforderlich ist. In solchen Fällen würde eine Re-Identifizierung dieses Unterfangen geradezu konterkarieren und gefährden. Demnach erscheint die Gefahr einer Re-Identifizierung jedenfalls durch den Verantwortlichen in derartigen Konstellationen als de facto ausgeschlossen. Gesetzlich verbotene Mittel zur Herstellung der Identifizierbarkeit sind jedenfalls nach dem EuGH bei der Betrachtung ausdrücklich nicht einzubeziehen.71
(2) Relevanter Beurteilungszeitpunkt
32
Entscheidender Zeitpunkt für die Frage der wahrscheinlich vom Verantwortlichen verwendeten Mittel zur Identifizierung ist der Zeitpunkt der Verarbeitung, nicht erst der eigentlichen Identifizierung.72 Zu beachten ist, dass die Einschätzung der Individualisierbarkeit sich bei jeder Verarbeitung aufgrund des zeitlichen Moments z.B. durch neu erlangte Zusatzinformationen, neue technologische Analysemöglichkeiten oder ein neues Geschäftsmodell verändern kann.73 Insofern sieht auch ErwG 26 Satz 4 im Vergleich zur DSRl vor, dass auch die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.74
(3) Berücksichtigung von Zusatzwissen Dritter
33
Darüber hinaus stellt sich die Frage, ob das Wissen und die Mittel Dritter und nicht nur des Verantwortlichen bei der Identifizierbarkeit ebenfalls Berücksichtigung finden müssen. Diese altbekannte Streitfrage klärt die DSGVO leider nicht. Der Streit zwischen dem absoluten und relativen Verständnis des Personenbezugs lebt daher fort.75 Das absolute Verständnis geht davon aus, dass im Sinne einer objektiven Betrachtungsweise jegliche potenzielle Kenntnisnahmemöglichkeit eines Dritten, inkl. eines rechtswidrigen Zugriffs auf den Datenbestand bzw. sogar das „gesamte Weltwissen“,76 zu einer Identifizierbarkeit führt,77 wovon unter der alten Rechtslage insbesondere die deutschen Datenschutzaufsichtsbehörden78 ausgingen.
34
Nach dem relativen Verständnis ist hingegen im Sinne einer subjektiven Betrachtungsweise nur auf die Kenntnisnahmemöglichkeiten des jeweiligen Verantwortlichen abzustellen.79 Spätestens mit der Breyer-Entscheidung des EuGH scheint sich hingegen auch in der Literatur als herrschende Ansicht eine vermittelnde Ansicht herausgebildet zu haben, die entweder als absoluter Ansatz mit relativierenden Elementen80 oder als relativer Ansatz mit Einschränkungen/objektivierenden Elementen81 bezeichnet wird. Der EuGH hatte im Breyer-Urteil darüber zu entscheiden, ob und wann dynamische IP-Adressen für Webseitenanbieter personenbezogene Daten darstellen. Er stellte dabei nur auf das Wissen ab, über das der Webseitenanbieter verfügt, bezog in diese Betrachtung aber alle vernünftigerweise vom Webseitenanbieter verwendeten rechtlichen Mittel ein, die es dem Webseitenanbieter erlauben, die betreffende Person anhand der Zusatzinformationen Dritter, bestimmen zu lassen.82 Konkret stellt der EuGH auf den Internetzugangsanbieter83 ab, der dem Webseitenanbieter helfen könne, die dynamische IP-Adresse der betroffenen Person zuzuordnen.84 Der BGH hat in Umsetzung des EuGH-Urteils festgestellt, dass dem Beklagten Auskunftsrechte gegenüber Internetzugangsanbietern nach § 100j Abs. 2 und Abs. 1 StPO sowie § 113 TKG zustehen können, durch die der Webseitenbetreiber das für die Identifizierung erforderliche Zusatzwissen über den jeweiligen Anschlussinhaber vom Internetzugangsanbieter erlangen könne, und es sich deshalb bei dynamischen IP-Adressen um personenbezogene Daten handele.
35
Der relative Ansatz ist mit Einschränkungen auch unter der DSGVO vorzugswürdig insofern, als sich der Verantwortliche etwaiges Zusatzwissen Dritter zurechnen lassen muss, über welches er gegenwärtig zwar nicht verfügt, ihm jedoch Mittel zustehen, um sich dieses Zusatzwissen zu verschaffen, und es darüber hinaus noch wahrscheinlich ist, dass er diese Mittel nutzen würde (vgl. insoweit zur Möglichkeit eines Abschneidens dieser Mittel Rn. 51). Für ein solches Verständnis spricht zum einen, dass die DSGVO in ErwG 26 Satz 3 nicht nur auf Mittel abstellt, die nur der Verantwortliche, sondern auch eine andere Person – nach allgemeinem Ermessen wahrscheinlich – verwendet, um eine Person zu identifizieren. Zum anderen wird in ErwG 30 darauf hingewiesen, dass Online-Kennungen, wie z.B. IP-Adressen, mit