53
Je nach avisiertem Einsatzzweck der zu anonymisierenden Daten ist dabei zu evaluieren, bis zu welchem Punkt eine „De-Identifizierung“ möglich ist, ohne den Aussagegehalt der Daten so zu verwässern, dass der Verarbeitungszweck nicht mehr erreicht werden kann oder jedenfalls erhebliche Erkenntnisabstriche zu befürchten sind. Sofern der weitestmögliche Grad festgelegt ist, ist zu prüfen, ob die Daten nach obiger Maßgabe bereits als anonym klassifiziert werden können oder noch von einem Personenbezug ausgegangen werden muss. Entscheidend ist demnach auch hier das faktische Identifizierungsrisiko, mithin ob die jeweils datenverarbeitende Stelle mit verhältnismäßigem Aufwand einen Personenbezug herstellen könnte. Dies ist insbesondere im Bereich der Forschung problematisch, weil eine vollständige De-Identifizierung die Daten für die Forschung häufig praktisch wertlos machen würde.139 Aus zuvor genannten Gründen ist solch eine absolute Anonymisierung datenschutzrechtlich im Regelfall auch nicht erforderlich;140 vielmehr muss das Risiko einer Identifizierung (nur) de facto vernachlässigbar erscheinen (vgl. oben Rn. 48).
54
Die Anonymisierung lässt sich dadurch von der Pseudonymisierung abgrenzen, dass bei erfolgter Anonymisierung für den Verantwortlichen die natürliche Person, auf die sich die Daten beziehen, nicht mehr identifizierbar ist, während bei der Pseudonymisierung weiterhin eine gesondert aufbewahrte Zuordnungsmöglichkeit besteht, um dem Pseudonym die passende natürliche Person zuzuordnen.141 Auch hier kommt es wiederum gemäß des eingeschränkten relativen Ansatzes auf die Perspektive des jeweiligen Datenverarbeiters an. Möglich ist es etwa auch, Informationen durch Dritte (etwa sog. Anonymisierungsdienste) „verschleiern“ zu lassen. Da ausschließlich der jeweilige Dritte über das entsprechende Zusatzwissen verfügt, um eine entsprechende Zuordnung durchzuführen, stellt die Information für andere datenverarbeitende Stellen daher zunächst ein anonymes Datum dar. Hierbei gilt es jedoch sicherzustellen, die Weitergabe dieses Zusatzwissens an den Verantwortlichen vertraglich zu untersagen und ggf. mit einer abschreckenden Vertragsstrafe zu versehen. Ferner sollten korrespondierende, etwaige vertragliche Herausgabeansprüche des Verantwortlichen entsprechend ausgeschlossen werden.142 Durch ein solches Vorgehen lässt sich die Wahrscheinlichkeit des Zugriffs auf die Zuordnungsmöglichkeit so verringern, dass es sich aus Sicht des Verantwortlichen (vorausgesetzt, weitere notwendige technische und organisatorische Absicherungen wurden getroffen) um anonyme Daten handelt.143 Für eine Anonymisierung dürfte es hingegen nicht ausreichen, wenn in einem Unternehmen nur eine einzelne Abteilung (oder der Datenschutzbeauftragte)144 bzw. in einem Konzern nur eine Konzerntochter die Zuordnungsmöglichkeit hat; denn dies dürfte die Wahrscheinlichkeit der Zuhilfenahme für das gesamte Unternehmen bzw. ein anderes Konzernunternehmen ohne weitere Absicherungen regelmäßig nicht ausreichend abbedingen.145
f) Pseudonyme Daten
55
Im Gegensatz zu anonymen Daten bleibt die natürliche Person bei pseudonymen Daten für den Verantwortlichen re-identifizierbar, weil die Auflösung des Pseudonyms durch ihn durch Heranziehung zusätzlicher (separat aufbewahrter) für ihn jedoch zugänglicher Informationen nach allgemeinem Ermessen wahrscheinlich ist. Pseudonyme Daten sind deshalb (zumindest für den Verantwortlichen) als personenbezogene Daten einzustufen, ErwG 26 Satz 2. Die DSGVO findet auf pseudonyme Daten demnach weiterhin Anwendung (ausführlich dazu unten Rn. 124).
III. Verarbeitung (Nr. 2)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
56
Wie schon die EG-DSRl, enthält auch die DSGVO eine Definition des Begriffs der „Verarbeitung“. Hierbei handelt es sich – im Gegensatz zu der im BDSG a.F. verwendeten Terminologie – um den Sammelbegriff, unter dem jegliche Formen des Umgangs mit personenbezogenen Daten zusammengefasst werden. Insoweit entspricht der Begriff der Verarbeitung gem. Art. 4 Nr. 2 DSGVO dem auf Basis des BDSG a.F. verwendeten, dort aber nicht legaldefinierten Begriff des „Umgangs“ mit personenbezogenen Daten. Die Verarbeitung i.S.d. § 3 Abs. 4 Satz 1 BDSG a.F. umfasste (nur) das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Die Erhebung personenbezogener Daten i.S.d. § 3 Abs. 3 BDSG a.F. und das Nutzen personenbezogener Daten gem. § 3 Abs. 5 BDSG a.F. fielen hingegen nicht unter den Begriff der Verarbeitung i.S.d. § 3 Abs. 4 BDSG. Der Begriff der Verarbeitung nach Art. 4 Nr. 2 DSGVO umfasst auch diese Verarbeitungsformen.
57
Demgegenüber ist die „eigentliche“ Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO fast wortgleich mit der in Art. 2 lit. b DSRl enthaltenen Definition der Verarbeitung. Beide bestehen aus zwei Teilen: der „eigentlichen“ Definition sowie aus Beispielen für Verarbeitungsformen. Nach Art. 2 lit. b DSRl bezeichnete der Begriff „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Die in Art. 4 Nr. 2 DSGVO enthaltene Definition unterscheidet sich hiervon nur insoweit, als der Verordnungsgeber das Wort „solche“ vor dem Wort „Vorgangsreihe“ eingefügt hat. Inhaltliche Änderungen der Definition sind hiermit aber nicht verbunden. Unterschiede bestehen zwischen den beiden Begriffsdefinitionen hingegen bei den im Anschluss an diese „eigentliche“ Definition genannten Beispielen für eine Verarbeitung. Auch hierdurch ergeben sich inhaltlich keine Änderungen beim Begriff der „Verarbeitung“, da es sich bei den in der jeweiligen Definition genannten Verarbeitungsformen lediglich um eine nicht abschließende Aufzählung von Beispielen für eine Verarbeitung personenbezogener Daten handelt. Die Beispiele wurden vielmehr vor allem an die im Rahmen der DSGVO verwendete Terminologie angepasst. So nennt Art. 4 Nr. 2 DSGVO nunmehr z.B. die Offenlegung als Verarbeitungsform, also eine Verarbeitungsform, auf die z.B. im Rahmen der Begriffsdefinition des Empfängers in Art. 4 Nr. 9 DSGVO Bezug genommen wird (siehe unten Rn. 265f.).
58
Der Begriff der „Verarbeitung“ bzw. einzelne Datenverarbeitungsformen werden in der DSGVO durchgehend verwendet. Insbesondere dient er gem. Art. 2 DSGVO auch dazu, den sachlichen Anwendungsbereich der DSGVO festzulegen. So setzt die Anwendbarkeit der DSGVO die Verarbeitung personenbezogener Daten voraus. Erfolgt mit anderen Worten keine Verarbeitung, findet auch die DSGVO keine Anwendung (siehe ausführlich zum sachlichen Anwendungsbereich der DSGVO Art. 2 Rn. 6ff.). Ebenso spielt der Begriff im Rahmen der räumlichen Anwendbarkeit der DSGVO gem. Art. 3 DSGVO eine gewichtige Rolle, z.B. indem Art. 3 Abs. 1 DSGVO im Rahmen des Niederlassungsprinzips verlangt, dass die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt (siehe ausführlich zum räumlichen Anwendungsbereich der DSGVO Art. 3 Rn. 7ff.).
59
Im Laufe des Gesetzgebungsverfahrens erfuhr die Definition der Verarbeitung keine wesentlichen Änderungen. So wurde – von rein sprachlichen Anpassungen abgesehen – lediglich in der Fassung des Rates der Europäischen Union das Wort „solche“ vor dem Wort „Vorgangsreihe“ ergänzt, welches – wie oben unter Rn. 57 beschrieben – den einzigen Unterschied zur „eigentlichen“ Definition der Verarbeitung gem. Art. 2 lit. b DSRl ausmacht. Außerdem wurde als Beispiel für einen Datenverarbeitungsvorgang noch die Einschränkung ergänzt.146 In der amtlichen Fassung wurde als Ergebnis der Trilog-Verhandlungen zudem im Rahmen der Beispiele für eine Datenverarbeitung noch das Wort „Weitergabe“ durch „Offenlegung“ ersetzt, sodass nun eine „Offenlegung“ durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen kann und keine „Weitergabe“. Diese Änderung trägt dem Umstand Rechnung, dass das Wort „Weitergabe“ eine aktive Komponente seitens eines „Datenversenders“ enthält, wohingegen das Wort „Offenlegung“ offener ist und auch auf semantischer Ebene besser die Möglichkeit berücksichtigt, dass Daten auch zum Abruf bereitgehalten