Schlagwort: Personenbezogene Daten

Personenbezug von Daten – relativ oder absolut?

6. November 2018

Entscheidend für die Anwendbarkeit des Datenschutzrechts ist der Personenbezug von Daten. Nach dem Wortlaut der DSGVO liegen personenbezogene Daten vor, wenn Informationen einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Art. 4 Nr. 1 DSGVO). Die Qualifikation als personenbezogenes Datum ist manchmal jedoch schwieriger als es die Definition auf den ersten Blick verspricht. In der Rechtsprechung haben sich daher insbesondere zwei Theorien entwickelt, um die Bestimmung zu vereinfachen. So kann es einerseits bei der Herstellung des Personenbezugs auf das Wissen und die Mittel irgendeiner beliebigen Person ankommen (absolute Theorie) oder andererseits auf das Wissen und die Mittel der datenverarbeitenden Stelle (relative Theorie).

Zu unterscheiden sind personenbezogene Daten jedoch zunächst von Sachdaten und aggregierten Daten. Anders als personenbezogene Daten beziehen sich Sachdaten – wie bereits der Wortlaut vermuten lässt – nicht auf Personen sondern ausschließlich auf eine Sache. Demgegenüber beziehen sich aggregierte Daten auf eine Personengruppe und lassen daher keinen Rückschluss auf eine individuelle Person zu. Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn kein Personenbezug besteht. Zu tragen kommt diese Abgrenzungsfrage z.B. bei Informationen, die im Rahmen der Nutzung eines Kfz erhoben werden können. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten. Daher ist in Einzelfällen der Personenbezug erst mit weiterem Wissen eines Dritten herzustellen.

Die Frage nach der Anwendung der absoluten oder relativen Theorie ist umstritten. Um den – meist rechtstheoretisch geführten Streit – zu entscheiden bzw. um Argumente für die eine oder die andere Theorie zu finden können unter Anderem die gesetzgeberischen Erwägungsgründe, die der DSGVO zu Grunde liegen, herangezogen werden.

Erwägungsgrund 26 lautet hierzu wie folgt:

„(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“

Erwägungsgrund 26 stellt zwar neben dem Verantwortlichen auch auf das Wissen Dritter ab. Dieser zunächst absolut klingende Ansatz wird dann aber wieder relativiert. Die Identifizierung der natürlichen Person durch den Verantwortlichen über das Zusatzwissen eines Dritten muss demnach auch nach objektiven Kriterien wahrscheinlich sein.

In dem Verfahren Breyer / Deutschland (Urt. v. 18.10.2016) geht auch der EuGH davon aus, dass der Verantwortliche auch auf Wissen und Mittel Dritter zurückgreifen kann, um den Personenbezug herzustellen. Es kommt dabei jedoch nicht auf das Wissen jedes beliebigen Dritten an. Vielmehr muss die Identifizierung der Person nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis zur Identifizierung der Person wahrscheinlich sein.

Als Folge des umstrittenen und nicht klar entschiedenen Theorienstreits sollte in der Praxis stets aufgrund des vorliegenden und relevanten Sachverhaltes eine Einzelfallprüfung erfolgen, ob Daten personenbezogen sind oder es sich vielmehr um Sach- oder aggregierte Daten handelt.

 

 

Schwere Datenschutzpanne beim Online-Dienst von Panini

2. Juli 2018

Einem Bericht des Nachrichtenmagazins „Der Spiegel“ nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.

„Mypanini“ ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.

Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.

Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.

 

Google bietet persönliche Standortfreigabe in Echtzeit an

28. April 2017

Google bietet seinen Nutzern eine neue Funktion des Live-Trackings an. Danach kann der Nutzer über Google Maps seinen aktuellen Standort in Echtzeit mit von ihm vorher ausgewählten Kontakten auf dem Smartphone oder dem PC teilen.

Aus datenschutzrechtlicher Perspektive ist das Abrufen der Standortdaten in Echtzeit, welche personenbezogene Daten nach dem Bundesdatenschutzgesetz (BDSG) darstellen, kritisch zu betrachten. Um eine Vereinbarkeit mit den Bestimmungen des BDSG zu erzielen, müsste der betroffene Nutzer vor Datenerhebung grundsätzlich darüber informiert werden, welche konkreten personenbezogenen Daten erhoben, gespeichert und für welche Zwecke genau verarbeitet werden. Auch muss den Nutzern die jederzeitige und einfach zu handhabende Löschung seiner  erhobenen personenbezogenen Daten ermöglicht werden.

Der Nutzer des Live-Trackings kann genau einstellen, welche Personen aus seiner Kontaktliste die Standortangaben angezeigt bekommen und den konkreten Zeitraum für die Freigabe festlegen sowie die Übermittlung jederzeit wieder deaktivieren. Die damit angebotene, zielgerichtete Freischaltung des Nutzers gegenüber einer bestimmten Person kann somit als Einwilligung in die Übermittlung der personenbezogenen Standortdaten angesehen werden. Zudem zeigt ein Symbol auf der eigenen Google Maps Karte dem Nutzer an, dass er seinen Standort gerade aktiv mit seinen Kontakten teilt.

Trotz dieser teilweisen datenschutzrechtlichen Konformität, ist davon asuzugehen, dass Google die zusätzlichen Datenangaben der Nutzer im Hinblick auf Sucheingaben nach Restaurants, Geschäften u.s.w. auswerten wird, um sein eigenes Angebot zu erweitern. Denn anhand von Standortdaten und Nutzerverhalten lassen sich immer mehr Informationen über den Nutzer gewinnen. Ob diese Anhäufung personenbezogner Daten von der Einwilligung des Nutzers im Rahmen von Googles Nutzungsbedingungen umfasst ist, bleibt daher stark zu bezweifeln.

EuGH: IP-Adressen sind personenbezogene Daten und unterliegen damit dem Datenschutzrecht, aber…

20. Oktober 2016

…dürfen dennoch unter Umständen vom Bund gespeichert werden, um sich gegen Cyberattacken zu verteidigen. Dies verkündete der EuGH in seinem Urteil vom gestrigen Tage.

Der Kieler Piraten-Abgeordnete Patrick Breyer hatte gegen die Bundesrepublik Deutschland geklagt, weil die von ihm abgerufenen Webseiten von Einrichtungen des Bundes seine Internet-Protokolladressen (IP-Adressen) aufzeichnen und speichern. Dies habe eine einschüchterne Wirkung und behindere das unbeschwerte anonyme Surfen im Internet, so Breyer laut der Nachrichten-Webseite tagesschau.de.

Damit jedoch nicht genug – auch aus datenschutzrechtlichen Gründen sei das Aufzeichnen und Speichern der IP-Adressen als nicht zulässig anzusehen. Breyer beruft sich dabei auf das Telemediengesetz, wonach „personenbezogene Daten“ nur während der laufenden Verbindung gespeichert werden dürfen, nicht jedoch danach – es sei denn, sie werden noch zu Abrechnungszwecken benötigt. Aber sind IP-Adressen überhaupt personenbezogene Daten im Sinne des Telemedien- und Bundesdatenschutzgesetzes? Breyer behauptet „ja“, der Bund – wie soll es auch anders sein – hingegen „nein“: IP-Adressen seien schließlich dynamisch und würden bei jeder Einwahl ins Internet neu vergeben werden.

Die Luxemburger Richter urteilten nun, dass dynamische IP-Adressen eines Nutzers für den Betreiber der Webseite ein personenbezogenes Datum darstellen können, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, bestimmen zu lassen. Allerdings könne die Speicherung unter Umständen dennoch zulässig sein, wenn der Webseitenbetreiber ein berechtigtes Interesse habe. Die deutsche gesetzliche regelung schränke die Tragweite dieses Grundsatzes zu sehr ein, wenn es die Speicherung von „personenbezogenen Daten“ nur während der Internetverbindung oder während der Abrechung zulasse. Insbesondere müsse deutlicher zwischen dem berechtigten Interesse der Webseitenbetreiber und den Grundrechten und Grundfreiheiten des Nutzers abgewogen werden. Der EuGH sieht in Bezug auf den Bund dahingehend ein berechtigtes Interesse an der Speicherung der IP-Adresse, dass nur dadurch die Aufrechterhaltung der Funktionsfähigkeit der von ihm betriebenen Webseiten über die konkrete Nutzung hinaus gewährleistet werden könne.

Antiterrordatei auf dem Prüfstand in Karlsruhe

7. November 2012

Seit dem 06.11.2012 wird in Karlsruhe vor dem Bundesverfassungsgericht  über eine Verfassungsbeschwerde gegen die sogenannte Antiterrordatei verhandelt. Verfassungsbeschwerde wurde von einem pensionierten Richter erhoben. Die Antiterrordatei beinhaltet die personenbezogenen Daten sowie weiterführende Informationen von potentiellen Terroristen. Sie soll den Datenaustausch zwischen den Polizeibehörden und den Nachrichtendiensten von Bund und Ländern erleichtern. Das Bundesverfassungsgericht prüft, ob ein ungerechtfertigter Eingriff in die Grundrechte der Unverletzlichkeit der Wohnung, des Fernmeldegeheimnisses und in das Recht auf informationelle Selbstbestimmung vorliegt. Ebenfalls werden die Verfassungsrichter darüber entscheiden, ob die Antiterrordatei gegen den Grundsatz der Trennung von Polizei und Nachrichtendiensten verstößt.

Am ersten Verhandlungstag wurden Datenschutzexperten sowie Vertreter von Behörden und Nachrichtendiensten angehört. Auf Seiten der Bundesregierung kamen neben Innenminister Hans-Peter Friedrich die Präsidenten des Bundesnachrichtendienstes, des Bundesamts für Verfassungsschutz und des Bundeskriminalamts zu Wort. Nach einem Bericht der ZEIT-ONLINE habe die Bundesregierung erklärt, dass es sich bei der Antiterrordatei um ein wichtiges Werkzeug zur Bekämpfung des „islamistischen Terrorismus“ handele.

Die WAZ berichtete zu Verhandlungsbeginn, dass der Bundesdatenschutzbeauftragte Peter Schaar bezweifele, dass die Antiterrordatei mit dem Grundgesetz vereinbar sei. Ein Urteil wird erst im nächsten Jahr erwartet.

China: Entwurf eines Gesetzes zum Schutz personenbezogener Daten im Internet

19. August 2011

Das Ministerium für Industrie und Informationstechnologie der Volksrepublik China hat einen Gesetzesentwurf vorgestellt, der einen grundlegenden Schutz personenbezogener Daten im Internet sicherstellen soll.

Nach diesem Entwurf sollen für Dienstanbieter im Internet folgende Regeln gelten:

  1. Personenbezogene Daten dürfen nicht ohne Zustimmung der Nutzer erhoben werden, sofern nicht Gesetze oder Verwaltungsvorschriften etwas Anderes bestimmen.
  2. Mit den personenbezogenen Daten ist sorgsam umzugehen. Diese dürfen Dritten nicht ohne Zustimmung der Nutzer zugänglich gemacht werden, es sei denn Gesetze und Verwaltungsvorschriften erlauben dies.
  3. Es dürfen nur solche Daten erhoben werden, die zur Bereitstellung des Dienstes notwendig sind.
  4. Der Nutzer muss ausdrücklich über Art, Umfang und Zweck der erhobenen und verarbeiteten Daten aufgeklärt werden. Die Verwendung der Daten ist auf die angegebenen Zwecke zu beschränken.
  5. Wenn es zu einem unbefugten Zugriff auf die Daten kam, oder die Gefahr eines solchen Zugriffs besteht, müssen Internetdienstanbieter unverzüglich Gegenmaßnahmen ergreifen. Die entstandenen oder zu erwartenden Auswirkungen des Vorfalls sind den zuständigen staatlichen Stellen zu melden. Mit dem Staat ist bezüglich der Aufklärung der Vorfälle zu kooperieren.

Bei den angestrebten Regelungen lassen sich Parallelen zum deutschen Datenschutzrecht erkennen: Die Punkte 1. & 2. statuieren ein Verbot mit Erlaubnisvorbehalt ähnlich dem des § 12 Abs. 1 TMG. Ob der dritte Punkt die Erhebung von Bestands- und/oder Nutzungsdaten betrifft, welche in hierzulande in § 14 TMG (Bestandsdaten) und § 15 TMG (Nutzsungsdaten) geregelt ist, lässt der knapp formulierte Entwurf nicht erkennen. Punkt 4. legt nahe, dass auch chinesische Dienstanbieter die erhoben Daten nur zweckgebunden verwenden dürfen, ähnlich wie dies in § 12 Abs. 2 TMG angeordnet ist. Der letzte Punkt weist schließlich inhaltlich eine gewisse Nähe zum § 15a TMG auf, der für die Informationspflichten der Anbieter bei unrechtmäßiger Kenntniserlangung von Daten auf § 42a BDSG verweist.

Dieses Gesetz würde den Schutz personenbezogener Daten im Internet erstmalig auf eine breite Basis stellen, da in China bisher nur sektorbezogene Regelungen erlassen wurden. Es ist jedoch denkbar, dass bis zum Erlass des endgültigen Gesetzes noch weitreichende Änderungen des Entwurfs vorgenommen werden. (se)