Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Ähnliche Dokumente
Stellungnahme. des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht

Stellungnahme. des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Arbeitsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Informationelle Selbstbestimmung bei Forschungsvorhaben

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht unter Mitwirkung des Verfassungsrechtsausschusses

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme. des Deutschen Anwaltvereins durch den Ausschuss Berufsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Migrationsrecht

V orw ort... Abkürzungsverzeichnis... XVII. Literaturverzeichnis... XXI. Einführung B. Gang der Darstellung Teil: Grundlagen...

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Außergerichtliche Konfliktbeilegung

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Verfassungsrechtsausschuss

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Ausländer- und Asylrecht

Datenschutz ist Grundrechtsschutz

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Elektronischer Rechtsverkehr

Datenschutzrechtliche Anforderungen an epidemiologische Studien

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Familienrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Elektronischer Rechtsverkehr

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme der Bundesrechtsanwaltskammer

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Verkehrsrecht

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Familienrecht

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Stellungnahme Nr. 14/2017 März 2017

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Erbrecht

LG Berlin zum Personenbezug dynamischer IP-Adressen

Die EU-DSGVO und die anonymen Daten

Einführung Datenschutz in der Pflege

Datenschutz und Datensicherheit. Norbert Höhn Datenschutzbeauftragter des BHV Stand: September 2017

Datenschutzreform 2018

Diskussionsvorschlag des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Jahrestagung GRUR 2013

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Steuerrecht

Stellungnahme des Deutschen Anwaltvereins durch die Taskforce Reformbedarf Nachrichtendienste

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme der Bundesrechtsanwaltskammer

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Zivilrecht

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Anonymisierung und Pseudonymisierung in Patientenversorgung und Forschung

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Familienrecht

Anonymität contra Straftatverfolgung im Internet

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Datenschutzreform 2018

AG Hamburg v , Az. 25b C 431/13:, CR 2014, 536 m.anm. Mantz: Keine Störerhaftung des Hotelbetreibers bei Passwortschutz;

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Vergaberecht

Datenschutzreform 2018

Stellungnahme des Deutschen Anwaltvereins

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Geistiges Eigentum

Datenschutz-Grundverordnung. einige Grundlagen. Wenn die DSGVO am 25. Mai 2018 in Kraft tritt, gibt es keine Umstellungsfristen *

Medizinische Forschung und Datenschutz. Alexander May

5.2 Datenverarbeitung zwischen Personenbezug und Sozialbezug [Prof. Niko Härting Härting Rechtsanwälte]

Stellungnahme des Deutschen Anwaltvereins. Antwort zum Fragebogen der Europäischen Kommission vom 09. Januar 2006 zum Patentschutzsystem in Europa

Big Data und Datenschutz

Stellungnahme des Deutschen Anwaltvereins

Die Europäische Datenschutz- Grundverordnung. Schulung am

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Stellungnahme des Deutschen Anwaltvereins durch den Zivilrechtsausschuss zum Referenten-Entwurf zur Änderung des Vereinsrechts

Stellungnahme der Bundesrechtsanwaltskammer

Stellungnahme des Deutschen Anwaltvereins

Berlin, 7. Dezember 2016

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Erbrecht

Beschäftigtendatenschutz Die neuen Regelungen. Rechtsanwalt Andrés Heyn Hamburg

BUNDESGERICHTSHOF BESCHLUSS. 28. Oktober in dem Rechtsstreit. Richtlinie 95/46/EG (Datenschutz-Richtlinie) Art. 2 a, Art.

EU-DatenschutzGrundverordnung. in der Praxis

Stellungnahme des Deutschen Anwaltvereins

Die neue Grundverordnung des europäischen Datenschutzes

Datenschutz und Geoinformationen - Ampelstudie eine Studie für die GIW-Kommission

Deutschland hat Zukunft Neue Entwicklungen im Datenschutzrecht

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Datenschutz in der empirischen IT-Forschung

o Nomos Die systematische Aufnahme des Straßenbildes Prof. Dr. Thomas Dreier/ Prof. Dr. Indra Spiecker gen. Döhmann

Bundesdatenschutzgesetz

CUSTOM AUDIENCES DARF MAN DAS?

Big Data und das Konzept der Datenschutzgesetze

Referent: Benjamin Butz

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Berlin, den 27. September 2016 GG 33/2016

Stellungnahme des Deutschen Anwaltvereins

Transkript:

Stellungnahme des Deutschen Anwaltvereins durch den Ausschuss Informationsrecht zu Anreizen für anonyme und pseudonyme Kommunikation durch Regelungen in dem Vorschlag der EU-Kommission für eine Datenschutz- Grundverordnung (KOM(2012) 11 endgültig) Stellungnahme Nr.: 37/2013 Berlin, im Juni 2013 Mitglieder des Ausschusses - Rechtsanwalt Dr. Helmut Redeker, Bonn (Vorsitzender und Berichterstatter) - Rechtsanwältin Isabell Conrad, München - Rechtsanwalt Prof. Niko Härting, Berlin (Berichterstatter) - Rechtsanwalt Peter Huppertz, LL.M., Düsseldorf - Rechtsanwalt Prof. Dr. Jochen Schneider, München - Rechtsanwalt Dr. Robert Selk, LL.M. (EU), München (Berichterstatter) - Rechtsanwalt und Notar Ulrich Volk, Wiesbaden - Rechtsanwalt Prof. Dr. Holger Zuck, Stuttgart Deutscher Anwaltverein Littenstraße 11, 10179 Berlin Tel.: +49 30 726152-0 Fax: +49 30 726152-190 E-Mail: dav@anwaltverein.de Zuständig in der DAV-Geschäftsführung - Rechtsanwalt Thomas Marx, Berlin Büro Brüssel Rue Joseph II 40 1000 Brüssel, Belgien Tel.: +32 2 28028-12 Fax: +32 2 28028-13 E-Mail: bruessel@eu.anwaltverein.de Registernummer: 87980341522-66 www.anwaltverein.de

- 2 - Verteiler Verteiler Europa: Europäische Kommission o Generaldirektion Justiz Europäisches Parlament o Ausschuss Bürgerliche Freiheiten, Justiz und Inneres o Ausschuss Recht o Ausschuss Beschäftigung und soziale Angelegenheiten o Ausschuss Industrie, Forschung und Energie o Ausschuss Binnenmarkt und Verbraucherschutz Rat der Europäischen Union Ständige Vertretung der Bundesrepublik Deutschland bei der EU Justizreferenten der Landesvertretungen Rat der Europäischen Anwaltschaften (CCBE) Vertreter der Freien Berufe in Brüssel Deutsche Industrie- und Handelskammertag e. V. (DIHK) in Brüssel Bundesverband der Deutschen Industrie (BDI) in Brüssel Verteiler Deutschland: Deutscher Bundestag o Rechtsausschuss o Ausschuss für Wirtschaft und Technologie Bundesregierung o Bundesministerium der Justiz o Bundesministerium für Wirtschaft und Technologie Arbeitskreise Recht der Bundestagsfraktionen Justizministerien und Justizsenatoren der Länder Wirtschaftsministerien der Länder Bundesrechtsanwaltskammer Bundesnotarkammer Bundesverband der Freien Berufe Deutscher Richterbund Deutscher Notarverein e.v. Deutscher Steuerberaterverband Bundesverband der Deutschen Industrie (BDI) GRUR BITKOM DGRI

- 3 - DAV-Vorstand und Geschäftsführung Vorsitzende der DAV-Gesetzgebungsausschüsse Vorsitzende der DAV-Landesverbände Mitglieder des DAV-Verwaltungsrechtsausschusses Mitglieder des DAV-Verfassungsrechtsausschusses Mitglieder des DAV-Umweltrechtsausschusses Vorsitzende des FORUMs Junge Anwaltschaft Redaktion NJW Juve-Verlag Redaktion Anwaltsblatt Juris

- 4 - Der Deutsche Anwaltverein (DAV) ist der freiwillige Zusammenschluss der deutschen Rechtsanwältinnen und Rechtsanwälte. Der DAV mit derzeit ca. 67.000 Mitgliedern vertritt die Interessen der deutschen Anwaltschaft auf nationaler, europäischer und internationaler Ebene. 1. In dem Vorschlag der Europäischen Kommission für eine Datenschutz- Grundverordnung (DS-GVO) 1 wird die Anonymisierung nur in einem Erwägungsgrund genannt (Erwägungsgrund 23), der Begriff des Pseudonyms kommt in dem gesamten Entwurf nicht vor 2. Diese Lücke bedarf der Schließung durch Regelungen, die Anreize für eine anonyme und pseudonyme Kommunikation setzen. 2. Die Nutzung eines Pseudonyms ist eine nach außen gerichtete Selbstdarstellung und daher als Akt der kommunikativen Persönlichkeitsentfaltung durch das allgemeine Persönlichkeitsrecht geschützt 3. Das Recht auf freie Entfaltung der Persönlichkeit umfasst das Verfügungsrecht über die Darstellung der eigenen Person. Dabei ist es Sache des Betroffenen selbst, zu bestimmen, was seinen sozialen Geltungsanspruch ausmachen soll. Der Inhalt des allgemeinen Persönlichkeitsrechts ist wesentlich durch das Selbstverständnis seines Trägers geprägt 4. Das Pseudonym ist bei der Netzkommunikation als ein typisches Instrument der Selbstdarstellung schutzbedürftig. 3. Hinter einer anonymen Meinungsäußerung steht oft ein legitimes Bedürfnis nach Geheimhaltung. Die Möglichkeit der Anonymität erleichtert die Ausübung der Meinungsfreiheit. Daher ist die anonyme Kommunikation ebenso schutzwürdig wie die Kommunikation unter Klarnamen 5. 4. Die Anonymität und die Pseudonymität sind als Instrumente zum Schutz der informationellen Selbstbestimmung anerkannt. Pseudonymisierung und Anony- 1 2 3 4 5 DS-GVO, KOM(2012) 11 endg., vgl. Dehmel/Hullen, ZD 2013, 147 ff.; Eckhardt, CR 2012, 195 ff.; Eckhardt/Kramer, DuD 2013, 287, 288 f.; Härting, BB 2012, 459 ff.; Giesen, CR 2012, 550 ff.; Hornung, ZD 2012, 99 ff.; Lang, K&R 2012, 145 ff.; Nebel/Richter, ZD 2012, 407 ff.; Roßnagel/Richter/Nebel, ZD 2013, 103 ff.; Schneider, ITRB 2012, 180 ff.; Schneider/Härting, ZD 2012, 199 ff.; Wagner, DuD 2012, 676 ff. Eckhardt/Kramer, DuD 2013, 287, 288 f. Scholz in Simitis, BDSG, 7. Aufl. 2011, 3, Rdnr. 213. BVerfG v. 25.10.2005, Az. 1 BvR 1696/98, Rdnr. 25; BVerfG v. 23.7.2007, Az. 1 BvR 150/06, Rdnr. 19. Vgl. BGH v. 23.6.2009, NJW 2009, 2888 spickmich.de; OLG Frankfurt v. 8.3.2012, 16 U 125/11, Rdnr. 28 ff.

- 5 - misierung sind Methoden, die Persönlichkeitsrechte schonen, indem Datenbestände um Identifikationsmerkmale bereinigt werden. Darüber hinaus bedarf die originäre Anoynmität bzw. Pseudonymität der Förderung. Bei der originär anonymen bzw. pseudonymen Kommunikation fallen Klarnamen von vornherein gar nicht an, ohne dass es einer nachträglichen Anonymsierung bzw. Pseudonymisierung bedarf. 5. Das geltende (deutsche) Datenschutzrecht kennt nur einige punktuelle Regelungen zur Anonymität und Pseudonymität und kann kein Vorbild für die DS-GVO sein: 3a Satz 2 BDSG schreibt eine Anonymisierung oder Pseudonymisierung personenbezogener Daten vor, soweit dies möglich und zumutbar ist. Allerdings führt ein Verstoß gegen 3a Satz 2 BDSG nicht zu einer Rechtswidrigkeit der Datenverarbeitung und bleibt sanktionslos 6. Somit handelt es sich um einen bloßen Programmsatz 7. 3 Abs. 6 und 6a BDSG definieren die Begriffe der Anonymisierung und Pseudonymisierung. Ob eine Anonymisierung ausreicht, um den Personenbezug von Daten gemäß 3 Abs. 1 BDSG auszuschließen, ist streitig und hängt davon ab, wie man den Begriff des Personenbezugs versteht 8. Wer einen absoluten Begriff des Personenbezuges befürwortet, muss bei faktisch anonymisierten Daten einen Personenbezug bejahen, wenn sich eine Reidentifizierung nicht mit Sicherheit ausschließen lässt. Anonymität und Personenbezug schließen sich bei einer solchen Sichtweise nicht aus 9. Pseudonyme können zugleich personenbezogene Daten sein, wenn bekannt ist oder mit zugänglichem Zusatzwissen festgestellt werden kann, auf welche Person sie sich beziehen 10. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar vertrat bereits 2002 die Auffassung, dass das Pseudonym im Normalfall den Personenbezug nicht aufhebt 11. 6 7 8 9 10 11 Taeger in Taeger/Gabel, BDSG 2010, 28, Rdnr. 29; Zscherpe in Taeger/Gabel, BDSG 2010, 3a, Rdnr. 55 ff. Gola/Schomerus, BDSG, 11. Aufl. 2012, 3a, Rdnr. 2; Schreiber in Plath, BDSG 2013, 3a, Rdnr. 14. Vgl. Krüger/Maucher, MMR 2011, 433 ff.; Sachs, CR 2010, 547, 548 ff.; Venzke, ZD 2011, 114 ff. A.A. Gola/Schomerus, BDSG, 11. Aufl. 2012, 3a Rdnr. 10. Dammann in Simitis, BDSG, 3, Rdnr. 67. Schaar, Datenschutz im Internet, München 2002, S. 59, Rdnr. 162.

- 6 - Da weder die Anonymität noch das Pseudonym den Personenbezug sicher ausschließen, ist es für den Datenverarbeiter ratsam, im Hinblick auf das Verbotsprinzip ( 4 Abs. 1 BDSG) vorsorglich Einwilligungserklärungen einzuholen ( 4a Abs.1 BDSG). Da sich eine Einwilligung jedoch auch so formulieren lässt, dass sie die Nutzung des Klarnamens mit umfasst, entsteht ein sinnwidriger Anreiz, auf anonyme und pseudonyme Verfahren zu verzichten. 13 Abs. 6 TMG verpflichtet den Anbieter eines Telemediums zur Ermöglichung einer anonymen oder pseudonymen Nutzung des Dienstes. 15 Abs. 3 TMG erlaubt dem Anbieter eines Telemediums die Profilbildung. Eine der Voraussetzungen der Erlaubnis ist die Pseudonymisierung der Profildaten. 6. Das Verbotsprinzip gehört bei Daten, die ein selbstverständlicher Bestandteil der alltäglichen Kommunikation sind, abgeschafft 12. Für anonyme und pseudonyme Daten gilt dies in besonderem Maße. Das Verbotsprinzip, das vordergründig auf die Einwilligung des Nutzers setzt, überzeugt nicht mehr. Es steht und fällt mit der Entscheidung des Nutzers, auf Netzkommunikation ganz oder doch weitgehend zu verzichten. Ein solcher Verzicht ist in der Informationsgesellschaft eine Option, die weder realistisch erscheint noch wünschenswert ist im Hinblick darauf, dass das Internet mehr und mehr zur Hauptverkehrsader des demokratischen Meinungs- und Informationsaustauschs wird 13. 7. Die Abschaffung des Verbotsprinzips soll nicht bedeuten, dass ein rechtsfreier Raum für die anonyme und pseudonyme Kommunikation entsteht. Vielmehr bedarf es jedenfalls folgender Regeln: Die Begriffe Pseudonymisierung und Anonymisierung sollten definiert werden. Darüber hinaus sollte klargestellt werden, dass der relative Begriff des Personenbezugs gilt. 12 13 DAV-Stellungnahme 4/2011, Januar 2011, Nr. 9, http://www.anwaltverein.de/downloads/stellungnahmen- 11/SN4-2011.pdf. Vgl. Giesen, CR 2012, 550, 553; Hoffmann-Riem, JZ 2008, 1009, 1010; Hoffmann-Riem AöR 2009, 513, 519 ff.

- 7 - Es bedarf eines Regelwerks, das nach dem Beispiel des 15 Abs. 3 Satz 3 TMG die Identifikation pseudonymer und anonymer Nutzer verbietet. Ausnahmetatbestände müssen sorgsam formuliert werden, für Verstöße gegen das Identifikationsverbot müssen empfindliche Sanktionen gelten. Auch ohne Identifikation stellt die Erfassung, Verarbeitung und Nutzung von Informationen einen Eingriff in das Persönlichkeitsrecht der Betroffenen dar. Eine intransparente Sammlung von Informationen über die eigene Person wird mit einem Gefühl des ständigen Überwachtwerdens als diffuse Bedrohlichkeit wahrgenommen 14. Um diesem Gefühl entgegenzuwirken, bedarf es auch bei der anonymen und pseudonymen Datenverarbeitung der Transparenz und einer gesetzlichen Verpflichtung des Datenverarbeiters, den Nutzer über Datenverarbeitungsprozesse zu informieren 15. Es bedarf einer gezielten Förderung originär anonymer und pseudonymer Verfahren, bei denen Persönlichkeitsrechte in stärkerem Maße geschützt sind als bei einer bloßen Anonymisierung und Pseudonymisierung. Der Fall ULD./. Facebook 16 hat unlängst gezeigt, dass das Verbot der Klarnamenpflicht gemäß 13 Abs. 6 TMG nicht europaweit gilt. Der Entwurf der Europäischen Kommission für eine DS-GVO würde hieran nichts ändern. Zur Förderung der anonymen und pseudonymen Kommunikation erscheint es angezeigt, auf europäischer Ebene eine Regelung nach dem Vorbild des 13 Abs. 6 TMG zu schaffen. Auch eine Pseudonymisierungspflicht für Nutzungsprofile nach dem Vorbild des 15 Abs. 3 TMG erscheint auf europäischer Ebene wünschenswert. Eine entsprechende Regelung fehlt in dem Entwurf der Kommission. 8. Im Rahmen des in Ziffer 7. geforderten Regelwerks zur Anonymität und Pseudonymität sind für die Pseudonymisierung die folgenden Aspekte zu beachten: Schaffung einer Legaldefinition Pseudonymisierte Daten zeichnet aus, dass es eine Zuordnungsfunktion gibt, über die das Pseudonym aufgelöst, also einer bestimmten Person zugeordnet werden 14 15 16 BVerfG v. 2.3.2010, NJW 2010, 833, 843 Vorratsdatenspeicherung. Vgl. Hoffmann-Riem, JZ 2008, 1009, 1010 f. OVG Schleswig vom 22.4.2013, Az. 4 MB 10/13 und 11/13.

- 8 - kann. Mit anderen Worten: Aus der Bestimmbarkeit wird Bestimmtheit. Dies führt dazu, dass pseudonymisierte Daten zunächst in der Regel als personenbezogene Daten angesehen werden müssen. Wenn aber zugleich ausreichend sichergestellt ist, dass die datenverarbeitende, also verantwortliche Stelle keine Kenntnis von der Zuordnungsfunktion (mehr) erlangen kann, liegen für diese Stelle nicht-personenbezogene Daten vor. Es ist damit wichtig, diese Abstufung in die Definition mit aufzunehmen. Die Definition in 3 Abs. 6a BDSG ist insofern unklar, was in der Praxis dazu führt, dass hohe Rechtsunsicherheit besteht, ob nun pseudonymisierte Daten personenbezogene oder nicht mehr personenbezogene Daten sind. Dabei ist nicht nur auf der einen Seite die Abgrenzung zu den personenbezogenen Daten zu beachten. Auf der anderen Seite stellt sich zugleich die Frage, ab wann und für wen pseudonymisierte Daten nicht mehr personenbezogen und damit anonym sind. Diese Rechtsunsicherheit in beiden Richtungen, also sowohl die Grenze zum Personenbezug wie auch zur Anonymität, führt aber dazu, dass das für sich genommen datenschutzfreundliche Modell der Pseudonymisierung bislang nicht die Verbreitung gefunden hat, die wünschenswert ist. Um diese Unsicherheiten zu beseitigen und dem besonderen Charakter der pseudonymisierten Daten zu entsprechen, müssen pseudonymisierte Daten als eigene Kategorie verankert werden, da auf sie das bisherige Ja-Nein -Schema zum Personenbezug nicht passen. - Schaffung von spezifischen Rechtsfolgen 3 Abs. 6 a BDSG enthält zwar eine Definition von pseudonymisierten Daten. Bis auf eine Ausnahme für den Bereich der Forschung wurden jedoch keinerlei Rechtsfolgen für den Einsatz von pseudonymen Daten vorgesehen, vor allem nicht für die alltäglichen Fälle und Anwendungsszenarien. Dies führt dazu, dass im Ergebnis pseudonymisierte Daten entweder als personenbezogene oder nichtpersonenbezogene Daten gesehen werden müssen, da es nur für diese beiden Kategorien Regelungen gibt und das BDSG eine andere Art von Daten nicht kennt. Da bei pseudonymisierten Daten für die verarbeitende Stelle die Zuordnung zu einer bestimmten Person entweder nicht, nicht ohne weiteres oder nur mit Zusatz-

- 9 - aufwand möglich ist, ist es einerseits gerechtfertigt und andererseits nötig, pseudonymisierte Daten im Verhältnis zu normalen personenbezogenen Daten privilegiert zu behandeln. Die DS-GVO sollte daher Regelungen enthalten, wie pseudonymisierte Daten im Verhältnis zu personenbezogenen Daten erleichtert verarbeitet werden dürfen. Ohne die Anknüpfung von positiven Rechtsfolgen hat die Wirtschaft kein Interesse an der Pseudonymisierung, da deren Einsatz technisch aufwendig ist. Die Schaffung einer neuen Datenkategorie in Form der pseudonymisierten Daten und darauf abgestimmte gesetzliche Erlaubnisnormen zur Erhebung, Verarbeitung und Nutzung von pseudonymisierten Daten erlaubt ein in sich abgestimmtes System, das einerseits zwischen den normalen personenbezogenen Daten und anonymen Daten liegt, anderseits sich dort auch nahtlos einfügt. - Regelungen für den Fall, dass die Zuordnungsfunktion innerhalb einer verantwortlichen Stelle vorhanden ist Große Schwierigkeiten in der Praxis wirft die Konstellation auf, dass innerhalb einer verantwortlichen Stelle sowohl die pseudonymisierten Daten als auch die Zuordnungsfunktion liegen sollen, beides sorgfältig durch technische, organisatorische und rechtliche Regelungen voneinander getrennt. Geht man innerhalb einer Stelle von einer Wissenszurechnung aus, liegt Bestimmbarkeit vor, so dass selbst beim hier vertretenen relativen Ansatz zum Personenbezug ein Personenbezug vorliegt. Dies wiederum führt dazu, dass selbst bei sehr sorgfältiger Trennung von Zuordnungsfunktion und pseudonymisierten Daten innerhalb einer Stelle kein Anreiz besteht, mit einer datenschutzfreundlichen Pseudonymisierung zu arbeiten: Denn es entsteht rechtlich kein Vorteil, bringt aber technisch hohen Aufwand mit sich, die Daten zu pseudonymisieren und Trennungsmaßnahmen zu definieren und implementieren. Konkrete und klare Regelungen sind nötig, unter welchen Voraussetzungen ausnahmsweise auch innerhalb einer Stelle mit pseudonymisierten Daten gearbeitet werden darf, ohne dass diese Daten den strengen Maßstäben unterliegen, die für personenbezogene Daten gelten. Insbesondere sollte gesetzlich festgelegt werden, dass die Geschäfts- oder Behördenleitung auf die Zuordnungsfunktion nur in

- 10 - den gesetzlich geregelten Fällen zugreifen darf (vgl. 15 Abs. 3 Satz 3 TMG: Identifizierungsverbot). Auch sollte ein Zugriff zur Zuordnungsfunktion bei behördlichen Maßnahmen nur zulässig sein, wenn die Behörde auf die Zuordnungsfunktion auch zugreifen könnte, wenn sie bei einem inländischen Dritten gespeichert ist. - Angepasste datenschutzrechtliche Begleitpflichten Bei den datenschutzrechtlichen Begleitpflichten darauf zu achten, dass einerseits für die verantwortliche Stelle Anreize bestehen für den Einsatz der Pseudonymisierung. Andererseits muss bei den Begleitpflichten berücksichtigt werden, dass bestimmte Rechte des Betroffenen nur noch eingeschränkt ausgeübt werden können. So würde ein Auskunftsverlangen des Betroffenen, das sich auch auf pseudonymisierte Daten erstreckt, zur Folge haben, dass die verantwortliche Stelle die gegebenenfalls sehr sorgfältig und mit großem Aufwand intern aufgetrennten Daten zusammenführen muss, um die Auskunft zu erteilen. Dieser Moment birgt große Gefahren, die Vorteile der Pseudonymisierung würden ab diesem Zeitpunkt weitgehend entfallen. Da zugleich eine Auskunft gegenüber einer sich nicht identifizierenden und legitimierenden Person nicht möglich ist, bleibt nur der Weg, Sonderregelungen zu schaffen: Die Auskunftspflicht muss etwa so geregelt sein, dass keine Auskunft zu pseudonymisierten Daten zu erteilen ist, wenn dies zu einer Aufdeckung führen würde. Insofern kann auch nicht ohne Weiteres die Wahl dem Betroffenen gegeben werden: Denn selbst wenn dieser die Aufdeckung zum Zwecke der Auskunft wünscht, könnte eine Zusammenführung bei der verantwortlichen Stelle dazu führen, dass diese aufgrund des dann vorliegenden echten Personenbezugs keine datenschutzrechtliche Legitimation mehr hat, die Daten zu speichern und zu verarbeiten. Dies ist jedenfalls dann der Fall, wenn die Legitimation nur deswegen besteht, weil es sich um pseudonymisierte Daten handelt. 9. Ein zentrales Anliegen bei Regelungen für die anonyme und pseudonyme Kommunikation ist Transparenz, da Transparenz zu einer Verstärkung der Selbstbe-

- 11 - stimmung auf Seiten des Nutzers führt 17. Zugleich wird das Vertrauen in Kommunikationsdienste und damit in eine Infrastruktur gestärkt, die für den freien Informationsaustausch und die freie Entfaltung der Persönlichkeit in der Informationsgesellschaft einen hohen Stellenwert hat. Es geht nicht nur um die individuelle Grundrechtsausübung, sondern auch um eine Stärkung der Verlässlichkeit und Durchschaubarkeit von Kommunikationsinfrastruktur 18. 17 18 Vgl. Wieczorek, DuD 2011, 476, 480. Vgl. Hoffmann-Riem, AöR 2009, 513, 527.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback