| Missverständnis: „Das sind keine personenbezogenen Daten!“ |
Ramon Steenbergen
Die niederländische Datenschutz-Grundverordnung, die „Algemene Verordening Persoonsgegevens“ (kurz: „AVG“), findet, verkürzt dargestellt, auf alle Verarbeitungen personenbezogener Daten innerhalb der EU und/oder von Personen, die sich in der EU befinden, Anwendung. Obwohl sich immer mehr Organisationen der Notwendigkeit bewusst sind, die damit einhergehenden Regeln erfüllen zu müssen, kommt es häufig vor, dass die Verarbeitungstätigkeiten bei der Planung der erforderlichen Maßnahmen vergessen werden. Manchmal geschieht dies einfach, weil nicht realisiert wird, dass der Begriff „personenbezogene Daten“ außergewöhnlich weit gefasst ist.
Was sind personenbezogene Daten?
Der Begriff „personenbezogene Daten“ umfasst alle Informationen, die sich direkt oder indirekt auf eine natürliche Person zurückführen lassen. Der Gesetzestext, den wir hier aus Gründen der Lesbarkeit nicht wiederholen, ist derart allgemein formuliert, dass er fast alle Daten erfasst, die sich in irgendeiner Weise auf natürliche Personen beziehen. Es handelt sich dabei nicht nur um Daten wie Namen, Telefonnummern und Wohnadressen, sondern beispielsweise auch Daten über die Interessen, das Verhalten und den Aufenthaltsort einer Person. Die Informationen müssen nicht als solche gespeichert sein: Wenn sich diese in irgendeiner Form aus den verarbeiteten Informationen ableiten lassen, handelt es sich dabei bereits um eine Verarbeitung personenbezogener Daten. Der Begriff „Verarbeitung“ ist in der AVG ebenfalls sehr weit formuliert – die Verarbeitung ist nahezu alles, was man mit den personenbezogenen Daten machen kann. Die AVG ist daher schnell anwendbar.
Umfang „personenbezogene Daten“
In der Praxis beziehen sich die Missverständnisse oft auf den Umfang des Begriffs „personenbezogene Daten“ (und deren „Rückverfolgbarkeit“). Nahezu jeder ist sich darüber im Klaren, dass eine Verarbeitung personenbezogener Daten vorliegt, wenn bestimmte Informationen über eine Person bewusst gespeichert werden. Was jedoch manchmal übersehen wird, ist, dass bestimmte Daten, die für sich genommen keine personenbezogenen Daten sein müssen, in Kombination mit anderen Daten doch (neue) personenbezogene Daten darstellen können.
Ein Beispiel: Ein Webseitenanbieter registriert die IP-Adresse eines Webseitenbesuchers. Das ist eine Verarbeitung personenbezogener Daten. Der Webseitenanbieter sieht auch, wie lange jede Webseite von der IP-Adresse besucht worden ist. Auf Grundlage dieser Informationen (erhoben von zahlreichen Besuchern der Webseite) wird die Webseite ab und zu überarbeitet. Der Webseitenanbieter gibt vor, nur die IP-Adresse zu verarbeiten, und gibt dies in seinem Verarbeitungsverzeichnis und der Datenschutzerklärung ordnungsgemäß an. Erfüllt er damit die AVG?
Nun ja: nein. Unabhängig davon, ob alle Anforderungen nach der AVG erfüllt sind, gilt, dass der Webseitenanbieter auch Informationen zu den Interessen der Webseitenbesucher verarbeitet – da klar ist, wie lange welche Webseiten von einer IP-Adresse besucht worden sind und daraus Rückschlüsse gezogen werden, inwieweit die Webseiten für die verschiedenen IP-Adressen von Interesse waren. Auch für diese personenbezogenen Daten (zu den Interessen von Webseitenbesuchern) müssen alle „AVG“-Hürden überwunden werden: Vorliegen müssen ein rechtmäßiger Zweck und eine Verarbeitungsgrundlage, die betroffene Person muss über die Verarbeitung dieser personenbezogenen Daten informiert werden, die Verarbeitungstätigkeiten müssen in dem Verzeichnis der Verarbeitungstätigkeiten aufgeführt sein, usw.
Besondere personenbezogene Daten
Dass eine Verarbeitung (ergänzender) personenbezogener Daten bereits schnell vorliegt, ist vor allem bei besonderen personenbezogenen Daten wichtig. Dabei handelt es sich um Daten zur rassischen und ethnischen Herkunft, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder zur Gewerkschaftszugehörigkeit, zu genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualverhalten oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Daten ist verboten, wenn nicht eine Ausnahme zu diesem Verbot vorliegt. Allerdings kann es vorkommen, dass besondere personenbezogene Daten verarbeitet werden, ohne dass man sich dessen bewusst ist – was die notwendigen Risiken zur Folge hat.
Ein anderes Beispiel: Ein Unternehmen verarbeitet im Rahmen einer anzubietenden Navigations-App Standortdaten von Kunden. Aus diesen Standortdaten lässt sich rückverfolgen, dass eine betroffene Person jeden Sonntagvormittag die lokale Kirche oder regelmäßig eine Moschee besucht. Es ist sehr wahrscheinlich, dass die Religion der betroffenen Person mit der der betreffenden Kirche oder Moschee übereinstimmt – dadurch handelt es sich schnell um eine Verarbeitung besonderer personenbezogener Daten. Angesichts des „grundsätzlichen“ Verarbeitungsverbotes solcher personenbezogener Daten muss der Verantwortliche eine (ergänzende) Prüfung der Rechtmäßigkeit dieser Verarbeitung vornehmen.
Anonymisierte personenbezogene Daten
Neben der Tatsache, dass oft mehr oder andere personenbezogene Daten als erwartet verarbeitet werden, kommt es auch vor, dass fälschlicherweise angenommen wird, dass bestimmte personenbezogene Daten anonymisiert sind. An sich stimmt es, dass Informationen, wenn bestimmte personenbezogene Daten anonymisiert sind, nicht mehr als „personenbezogene Daten“ qualifiziert werden – und damit nicht mehr in den Geltungsbereich der AVG fallen. Unter Berücksichtigung der Auffassungen der Datenschutzbehörden (in den Niederlanden ist das die „Autoriteit Persoonsgegevens“, kurz: „AP“) handelt es sich jedoch nur bei außergewöhnlichen Umständen um eine tatsächliche Anonymisierung, weil sich aus den Informationen oft doch in irgendeiner Weise personenbezogene Daten rückverfolgen lassen (beispielweise durch „singling out“, das Verbinden bestimmter personenbezogener Daten an ein Individuum und die mögliche Rückverfolgung personenbezogener Daten). Wenn der Originaldatensatz noch existiert und man Informationen aus dem anonymisierten Datensatz durch eine Kombination mit dem Original rückverfolgen kann, handelt es sich nicht um eine Anonymisierung. Oft handelt es sich stattdessen um eine „Pseudonymisierung“ – auf die die AVG einfach anwendbar ist. Die Pseudonymisierung ist zwar ein schönes Beispiel für eine Maßnahme zum Schutz personenbezogener Daten, aber das System der AVG bleibt dennoch anwendbar. Dabei darf die Anmerkung nicht fehlen, dass auch die Handlung selbst (das Anonymisieren oder Pseudonymisieren) eine Verarbeitung personenbezogener Daten ist – worauf die AVG Anwendung findet.
Zusammenfassung
Zusammenfassend lässt sich feststellen: Eine Verarbeitung personenbezogener Daten ist schnell gegeben, und damit auch die Anwendbarkeit der AVG. Deshalb ist es wichtig, Informationsprozesse nicht zu schnell als „datenschutzrechtlich irrelevant“ abzutun. Achten Sie auf Ihr Informationsmanagement – und behalten Sie die sehr weit gefassten Definitionen der relevanten Begriffe im Hinterkopf, wenn Sie Ihre AVG-Konformität bewerten. Um die Vorgaben der AVG zu erfüllen, ist es wichtig, Einblick in alle Verarbeitungen personenbezogener Daten in Ihrer Organisation zu haben. |
|
|
| |
 |
| |
|
|
