46
Ungeachtet dieses Streitstands erscheint ferner denkbar, darauf abzustellen, ob schwerpunktmäßig das Recht am eigenen Bild (dann KUG), wie etwa bei Veranstaltungsfotos oder deren Nutzung in Werbematerialien, oder aber das Recht auf informationelle Selbstbestimmung der abgebildeten Personen (dann DSGVO) betroffen ist, etwa bei der Vorstellung von Personen im Internet oder Intranet mitsamt Namen und Kontaktdaten, bei dem die Mitteilung des in dem jeweiligen Bildnis verkörperten Informationsgehalts im Vordergrund steht.113 Dieser Sichtweise folgend wäre bei einer schwerpunktmäßigen Betroffenheit des Rechts am eigenen Bild konsequenterweise jedoch auch davon auszugehen, dass die DSGVO umfassend keine Anwendung fände, demnach auch nicht für die Erstellung und Speicherung eines Bildnisses. Aufgrund des eindeutigen Anwendungsbereichs der §§ 22ff. KUG unterläge diese somit einer Abwägung der beiderseits betroffenen Grundrechte, etwa im Rahmen einer Prüfung nach § 823 Abs. 1 BGB,114 wobei hierbei die Wertungen des §§ 22ff. KUG zu berücksichtigen wären.115
e) Anonyme Daten
47
Anonyme Daten sind der Konterpart zu personenbezogenen Daten, also Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die (nachträglich) in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Sie sind dementsprechend gemäß ErwG 26 Satz 5 und 6 nicht vom Anwendungsbereich der DSGVO umfasst; demgemäß unterliegt die Verarbeitung von anonymen Daten keinen datenschutzrechtlichen Limitierungen.116 Die DSGVO hat der Anonymisierung – im Gegensatz zur Pseudonymisierung – keine eigene Definition in Art. 4 DSGVO gewidmet, sondern behandelt anonyme Daten lediglich in ErwG 26 Satz 5.117 Interessanterweise legaldefinieren einige Landesdatenschutzgesetze die Anonymisierung als das Verändern personenbezogener Daten dergestalt, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.118 Diese Begriffsbestimmung greift dabei offenbar den Wortlaut relevanter Erwägungsgründe sowie einschlägiger EuGH-Rechtsprechung auf; hierzu nachfolgend.
48
Es gibt in der DSGVO keine spezifischen Vorgaben, wann die Schwelle zur Anonymität erreicht ist, weshalb für jeden Einzelfall auf die oben dargestellten allgemeinen Erwägungen zur Bestimmung des Personenbezugs von Informationen abzustellen ist.119 Von einer Anonymisierung aufgrund fehlenden Bezugs zu einer identifizierten oder identifizierbaren natürlichen Person kann daher gesprochen werden, wenn alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich eingesetzt werden können, um die betreffende Person zu identifizieren, und sich dennoch kein Personenbezug herstellen lässt.120 Die Zielstellung einer solchen Analyse stellt sich somit als Negativ zur Prüfung, ob ein Datum personenbeziehbar ist, dar (vgl. oben Rn. 30ff.). Ersteres dürfte entsprechend der EuGH-Rechtsprechung der Fall sein, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko einer Identifizierung de facto vernachlässigbar erscheint.121 Berücksichtigungswerte Mittel dürften neben technischen Mitteln insbesondere auch verfügbare Datenbestände (z.B. öffentlich verfügbare Daten, Rohdaten, im Rahmen von M&A-Transaktionen neu erworbene Datensätze) sein.122 Keinesfalls kann z.B. von einer Anonymisierung ausgegangen werden, wenn beim Verantwortlichen eine Kopie des Originaldatenbestandes mit Personenbezug nach der Anonymisierung erhalten bleibt und eine entsprechende Rückverfolgung möglich ist.123 Wegen der sich kontinuierlich ändernden zur Verfügung stehenden Mittel (insbesondere im Hinblick auf die technologische Entwicklung) handelt es sich auch bei der Frage der Anonymität von Daten um eine kontinuierliche Prüfung des Verantwortlichen.124 Insofern kann eine Situation eintreten, in der ein ursprünglich wirksam anonymisierter Datensatz (etwa durch Einfließen neuer Informationen oder Zugang zu neuen Verarbeitungs-Technologien) für eine datenverarbeitende Stelle im Laufe der Zeit (re-)identifizierbar wird und daher ab diesem Zeitpunkt wieder als personenbezogen zu behandeln ist.
49
In der DSGVO sind auch keine Anonymisierungsverfahren geregelt. Die Art.-29-Datenschutzgruppe hat sich allerdings ausführlich mit Anonymisierungstechniken auseinandergesetzt.125 Sie prüfte im Rahmen der DSRl die Robustheit von Anonymisierungstechniken danach, ob es nach Anwendung der Technik weiterhin möglich ist, eine Person herauszugreifen oder eine Person betreffende Datensätze zu verknüpfen, und ob Informationen über eine Person weiterhin durch Interferenz hergeleitet werden können.126 Nach der Art.-29-Datenschutzgruppe können Anonymisierungsverfahren dabei in zwei Kategorien eingeteilt werden: Randomisierung und Generalisierung. Wichtig ist, dass für eine wirksame Anonymisierung häufig nicht nur ein Anonymisierungsverfahren nötig ist, sondern eine Kombination von mehreren. Eine Dokumentation der gewählten Anonymisierungsverfahren und der oben dargestellten Anonymisierungsschwelle ist im Hinblick auf die gestiegenen Nachweis- und Dokumentationspflichten gemäß der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO verpflichtend.127
50
Unter die Kategorie der Randomisierung fallen Anonymisierungstechniken, welche die Daten in einer Weise verfälschen, dass die direkte Verbindung zwischen Daten und betroffener Person entfernt wird.128 Hierzu gehören die stochastische Überlagerung (Veränderung von Merkmalen mithilfe von Zufallsgrößen, z.B. statt der zentimetergenauen Angabe der Körpergröße einer Person die Veränderung auf eine +/– 10 cm genaue Angabe),129 die Vertauschung (Verschiebung von Merkmalswerte innerhalb eines Datensatzes)130 und die Ansätze der Differential Privacy (Erstellung einer anonymisierten Ansicht eines Datensatzes für Dritte bei gleichzeitigem Vorhalten des Originaldatensatzes).131 Dabei sind unter Umständen weitere Techniken, insbesondere die Entfernung von offensichtlichen Identifikationsmerkmalen, erforderlich, um zu gewährleisten, dass die Datensätze nicht die Identifizierung einer einzelnen Person erlauben.
51
Die Möglichkeit, einzelne Identifizierungsmerkmale gänzlich zu entfernen,132 kommt einer extremen Form der Randomisierung gleich (vollständige Überlagerung des Merkmals).133 Hierbei ist darauf zu achten, dass nicht nur die offensichtlich identifizierenden Informationen aus dem Datenbestand gelöscht werden, sondern zumindest die identifizierenden Informationen bis zur Schwelle der nicht mehr vorliegenden Wahrscheinlichkeit der Identifizierung. Beispielsweise reicht es für eine Anonymisierung regelmäßig nicht aus, bei Videoaufnahmen nur das Gesicht einer Person mit einem schwarzen Balken zu versehen bzw. zu verpixeln, weil auch andere Merkmale der gefilmten Person, wie z.B. Figur, Frisur, Kleidung oder Gangart, die Identifizierung ermöglichen können.134 Durch eine Einweg-Verschlüsselung oder Verhashung entstehen gewöhnlich ebenfalls anonymisierte Daten,135 es sei denn, der jeweils anderen Stelle stehen Mittel zur Verfügung, um den Personenbezug mit verhältnismäßigem Aufwand wiederherzustellen.136
52
Die Kategorie der Generalisierung enthält Anonymisierungstechniken, die Merkmale betroffener Personen durch die Veränderung der entsprechenden Größenskala oder -ordnung generalisieren, also durch einen weniger spezifischen Wert ersetzen.137 So wird beispielsweise aus einer Stadt eine Region oder einer Woche ein Monat.138 Zu den Generalisierungstechniken zählen die Aggregation und k-Anonymität (Verhindern des Singling-Out einer Person durch