Follow Up: Spruchpraxis bestätigt wohl GEISTWERT’s „Bewegliches System“ für die Beurteilung „anonymer Daten“

GEISTWERT hat letztes Jahr das „Bewegliche System für die Anonymisierung von personenbezogenen Daten“ vorgestellt (Link: https://geistwert.at/gilt-ein-bewegliches-system-fuer-die-anonymisierung-von-personenbezogenen-daten/). Die aktuelle Spruchpraxis der österreichischen Datenschutzbehörde und des Obersten Gerichtshofes bestätigen nunmehr den Ansatz dieses Systems:

Wann die Verarbeitung von Daten aufgrund ihres Personenbezugs überhaupt dem Datenschutzrecht unterliegen, ist eine Frage, die GEISTWERT seit Jahren in der täglichen Beratungspraxis begegnet. Die gesetzlichen Grundlagen (insb DSGVO und DSG) sind hinsichtlich dieses zentralen Anknüpfungspunkts des Datenschutzrechts auslegungsbedürftig – vgl dazu oben verlinkten GEISTWERT-Blog-Beitrag, welcher zu folgendem Ergebnis kommt:

Nach Ansicht von GEISTWERT ist in einer datenschutzrechtlichen ex ante-Betrachtung darauf abzustellen, wie hoch nach allgemeinem Ermessen die Wahrscheinlichkeit ist, dass in den konkreten Datenbeständen in einer ex post-Betrachtung ein Personenbezug hergestellt werden kann. Hierfür sind nach Ansicht von GEISTWERT folgende Beurteilungsdimensionen – im Sinne eines „beweglichen Beurteilung-Systems“ – heranzuziehen:

  • Mittel, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um Personenbezug herzustellen und dabei:
  • Art, Umfang, Umstände und Zwecke der Verarbeitung;
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen;
  • Kosten der Identifizierung; und
  • erforderlicher Zeitaufwand,
  • wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
  • Soweit man dabei zum Schluss kommt, dass ohne unverhältnismäßigen Aufwand eine Wiederherstellung des Personenbezugs nicht erwartbar ist, liegen anonyme Daten vor.

Neuere Spruchpraxis zum „Personenbezug“ – anonyme und pseudonyme Daten

Der Oberste Gerichtshof (OGH) hat in seiner Entscheidung vom 27.11.2019, 6 Ob 150/19f (https://www.ris.bka.gv.at/Dokumente/Justiz/JJT_20191127_OGH0002_0060OB00150_19F0000_000/JJT_20191127_OGH0002_0060OB00150_19F0000_000.pdf) wiederum einige „Pflöcke“ zur Frage der Beurteilung des Personenbezugs von Daten eingeschlagen und diese scheinen GEISTWERT’s System – zumindest im Ansatz – zu bestätigen:

Nach der Entscheidung des OGH ist der Begriff der „personenbezogenen Daten“, den die DSGVO in Art 4 Z 1 definiert („alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“), weit zu verstehen. Die Begriffsdefinition der personenbezogenen Daten enthält drei Komponenten: (i) Eine Verarbeitungskomponente, (ii) eine Inhaltskomponente und (iii) eine Identitätskomponente. Für die Identitätskomponente reicht es – insb im Fall von Bilddaten – auch aus, dass die Betroffenen im Nachhinein bestimmbar sind. Außerdem ist eine Identifikation einer Person möglich, wenn zwar die Information für sich genommen nicht ausreicht, um sie einer Person zuzuordnen, jedoch dies möglich ist, sobald man diese Information mit anderen Informationen verknüpft, wobei Erwägungsgrund 26 Satz 3 der DSGVO heranzuziehen ist: bei der Frage, ob es sich um eine identifizierbare Person handelt, sollen alle Mittel berücksichtigt werden, die von dem Verantwortlichen nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Daraus geht hervor, dass ein vorliegender Personenbezug auch erst im Nachhinein entstehen kann, weil es bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, auf den Zeitpunkt der Verarbeitung ankommen soll und nicht den der Erhebung. Dies steht mit der (bisherigen) zu § 16 ABGB indizierten Rechtsprechung im Einklang, wonach eine Videoaufzeichnung dann „identifizierend“ ist, wenn sie aufgrund eines oder mehrerer Merkmale letztlich einer bestimmten Person zugeordnet werden kann.

Leider ging der OGH dann – mangels Entscheidungsrelevanz – nicht konkret auf die Frage der Feststellung, wann Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, ein und sprach lediglich aus: Bei den aufgenommenen Bilddaten handelt es sich um personenbezogene Daten, weil diese zumindest im Nachhinein einer bestimmten Person, nämlich dem Kläger bzw dessen Familie, zugeordnet werden können. Bei den Aufnahmen des Zugangswegs zu den Gärten kann der Kläger sogar unmittelbar durch die Aufnahme erkannt werden. Schließlich handelt es sich auch um eine (zumindest teil-)automatisierte Verarbeitung, weil der Beklagte eine Handyapplikation sowie die vorinstallierte Software für die Steuerung seiner Kamera verwendet.

Die Österreichische Datenschutzbehörde (DSB) hatte sich auch im Bescheid vom 8.11.2019 zu DSB-D122.970/0004-DSB/2019 (https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=DSB-D122.970%2f0004-DSB%2f2019&VonDatum=01.01.1990&BisDatum=12.02.2020&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Position=1&SkipToDocumentPage=true&ResultFunctionToken=811b2766-0c86-48d0-becf-3e59e1c0b992&Dokumentnummer=DSBT_20191108_DSB_D122_970_0004_DSB_2019_00) im Rahmen der Geltendmachung des Auskunftsrechts und der Identifikation des Auskunftswerbers mit der Frage des Personenbezugs zu beschäftigen.

Leider ist die DSB ohne weitergehende Begründung davon ausgegangen, dass pseudonyme Daten vorlagen, ohne zu hinterfragen, dass es sich unter Umständen um anonyme Daten handeln könnte; offensichtlich handelte es sich aber bei der E-Mail-Adresse als Benutzername um eine solche im Format „vorname.nachname@provider.at“, sodass sich die Frage der Abgrenzung im konkreten Fall nicht gestellt hat:

Die DSB stellte fest, dass die Beschwerdegegnerin den Beschwerdeführer dadurch in seinem Recht auf Löschung verletzt hat, dass sie seinem Antrag auf Löschung des durch den „unique identifier“ „Petra“ + „j***@***isp.at“ bezeichneten Nutzerprofils vom 28. Mai 2018 nicht nachgekommen ist und den Beschwerdeführer stattdessen mit E-Mail vom 4. Juni 2018 aufgefordert hat, ein Formular auszufüllen und dabei seine vollständigen Namens- und Adressdaten bekanntzugeben sowie Angaben zu früheren Kontakten („Kundennummer, Zahlen früherer Verfahren, Personalnummer oder Vergleichbares“) zu machen oder nicht näher bezeichnete „Unterlagen“ zur Bescheinigung seiner Identität vorzulegen.

Die DSB sprach aus: Da die Beschwerdegegnerin anlässlich der Verarbeitung der Daten des Beschwerdeführers keine Absicht hatte, den Beschwerdeführer zu identifizieren, das heißt, die Existenz und rechtserhebliche Identität (Übereinstimmung) des Beschwerdeführers als natürlicher Person (vgl. § 16 ABGB, Art. 4 Z 5 DSGVO spricht auch von einer „spezifischen betroffenen Person“) mit der im angelegten Nutzerprofil dargestellten „Online-Person“ zu überprüfen und entsprechende Daten (etwa die vollständigen Namensdaten, das Geburtsdatum oder eine überprüfbare Wohnadresse) zu speichern, lagen aus Sicht der Beschwerdegegnerin von Beginn an pseudonymisierte Daten gemäß Art. 4 Z 5 DSGVO vor. Es wäre zwar denkbar möglich gewesen, den Beschwerdeführer durch Erhebung zusätzlicher Daten zu identifizieren, die Beschwerdegegnerin hat es jedoch, was aus Sicht der Datenschutzbehörde entscheidend ist, ihren Nutzern als den von der Verarbeitung betroffenen Personen ausdrücklich freigestellt, pseudonyme Nutzerprofile anzulegen, indem sie bei der Registrierung keinerlei Identitätsnachweis verlangt hat. Die Beschwerdegegnerin hat damit von Beginn an im Sinne des Art. 11 Abs. 1 DSGVO auf eine Identifizierung des Beschwerdeführers als spezifischer betroffener Person verzichtet. Der Beschwerdeführer war für sie bis zum Zeitpunkt des Löschungsantrags gewissermaßen nur ein Pseudonym, ein Vorname und eine E-Mail-Adresse in ihrer Nutzerdatenbank.

Gemäß Art. 12 Abs. 2 DSGVO trifft die Beschwerdegegnerin die ausdrückliche Pflicht, der betroffenen Person u.a. die Ausübung des Löschungsrechts zu erleichtern. Eine Identifizierung der betroffenen Person darf dabei nur insoweit stattfinden, als sie notwendig ist, um die Berechtigung zur Ausübung des Löschungsrechts zu überprüfen. Dabei werden im vorliegenden Fall der verlangten Löschung eines pseudonymen Nutzerprofils die gespeicherten Profildaten heranzuziehen sein. Ein pseudonymer Nutzer kann sich etwa durch Kenntnis der Login-Daten (User-ID, Passwort), durch Angaben zum gespeicherten Dateninhalt des Profils oder durch die nachgewiesene Verfügungsgewalt über die Mailbox, deren E-Mail-Adresse anlässlich der Registrierung angegeben worden ist, identifizieren. Neue Daten (wie Vorname, Familienname, Wohnadresse, eine Ausweiskopie oder das grafische Bild einer eigenhändigen Unterschrift) müssen aus diesem Anlass nicht erhoben werden (vgl. Art. 11 Abs. 1 DSGVO). Diese wären im Übrigen für den angestrebten Zweck der Identitätsprüfung gar nicht geeignet, da bei der Beschwerdegegnerin keine Vergleichsdaten gespeichert sind, deren Identität (Übereinstimmung) mit den neu erhobenen Daten überprüft werden könnte.

Hätte kein Benutzername im Format „vorname.nachname@provider.at“ vorgelegen, hätte die DSB wohl nach oben genannten Kriterien prüfen müssen, ob überhaupt personenbezogene Daten vorliegen.

GEISTWERT’s Schlussbemerkung – insbesondere, weil in GEISTWERT’s täglicher Beratungspraxis oft auf Dokumente und Meinungen von (deutschen) Datenschutzbehörden verwiesen wird: Das von der Beschwerdegegnerin benutzte Formular stammte gemäß dem DSB-Bescheid von der Website der DSB (Bezeichnung: „Antrag an den Verantwortlichen Recht auf Löschung Art.17.pdf“); dieses Formular sah den Nachweis der Identität durch Angabe der vollständigen Namens- und Adressdaten sowie Angaben zu früheren Kontakten („Kundennummer, Zahlen früherer Verfahren, Personalnummer oder vergleichbares“) oder die Vorlage nicht näher bezeichneter „Unterlagen“ vor. Trotz ihres eigenen Musters sah die DSB hier im Einzelfall diese Angaben als überschießend an.