11.11.2012

EU-Datenschutz: Europaparlament und Art. 29-Gruppe fordern Präzisierung des Anwendungsbereichs

Portrait von Niko Härting
Niko Härting

Zwei aktuelle Stellungnahmen zum EU-Datenschutzpaket zeigen, wie schwierig es ist, den Anwendungsbereich des Datenschutzrechts zu definieren.

EU-Parlament: Ansatz im Ausschuss für bürgerlicher Freiheiten, Justiz und Inneres

In einem von drei Arbeitsdokumenten zur DS-GVO des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments ("Arbeitsdokument 2 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Warenverkehr (Datenschutz-Grundverordnung" v. 8.10.2012) vertritt der Ausschuss die Auffassung, der Begriff des Personenbezuges von Daten müsse noch deutlicher als in dem Entwurf definiert werden. Dabei bedürfe es einer Klarstellung, dass anonymisierte Daten nicht dem Datenschutzrecht unterfallen. Bei pseudonymisierten Daten seien zudem "Erleichterungen" bei der Anwendung des rigiden Datenschutzrechts zu erwägen:

"Um das optimale Datenschutzniveau zu erreichen und neue Geschäftsmodelle zu ermöglichen, müssen wir die Nutzung von Dienstleistungen mit pseudonymisierten und anonymisierten Daten fördern. Die deutliche Definition des Begriffs „Anonymität“ dürfte den für Verarbeitung Verantwortlichen auch helfen zu wissen, wann sie vom Geltungsbereich der Verordnung ausgenommen sind. Was die Verwendung pseudonymisierter Daten – in dem Sinn, dass der für die Verarbeitung Verantwortliche einzelne Personen mittels eines Pseudonyms von anderen trennen kann – betrifft, könnte es Erleichterungen geben, die sich auf die Pflichten des Verantwortlichen beziehen."

Dies klingt auf den ersten Blick einleuchtend: Persönlichkeitsrechte der Bürger können durch Anreize zur Anonymisierung von Datenbeständen geschützt werden. Und der User, der einen Online-Dienst unter einem Pseudonym nutzt, bedarf eines anderen Schutzes vor Datenmissbrauch, als dies bei Verwendung des Klarnamens der Fall ist.

§ 15  Abs. 3 TMG: Ansatz und Wirklichkeit zur Pseudonymisierung

Ein abgestuftes Schutzsystem, das an die Pseudonomysierung von Daten anknüpft, liegt auch § 15 Abs. 3 TMG zugrunde:

"Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden."

Bei pseudonymen Profilen lautet das Prinzip nach geltendem deutschen Recht also "Opt Out" statt "Opt In". Auch dies klingt einleuchtend und vernünftig.

Obwohl § 15 Abs. 3 TMG so alt ist wie Web 2.0 (rund zehn Jahre), hat die Norm in der deutschen Datenschutzpraxis bis heute wenig Bedeutung. Dies liegt daran, dass es stets Wege gibt, wie sich ein Pseudonym - jedenfalls theoretisch und mit erheblichem Aufwand - entschlüsseln lässt. Pseudonyme Profile werden bei der Nutzung mit IP-Adressen verknüpft. Und die IP-Adressen lassen sich - jedenfalls beim TK-Provider des Nutzers - mit dessen Klarnamen in Verbindung bringen. Dies wiederum reicht nach der von den Aufsichtsbehörden vertretenen weiten Auslegung des Begriffs "Personenbezug" aus, um einen Personenbezug zu bejahen. Die Pseudonymisierung bleibt bei einer solchen Sichtweise folgenlos, § 15 Abs. 3 TMG geht ins Leere. Und sogar eine Anonymisierung von Datenbeständen beseitigt nach dieser Lesart den Personenbezug nur dann, wenn jedwede Spuren der Verknüpfung restlos beseitigt werden.

Ansatz der Art. 29-Gruppe zum Personenbezug

Das Augenmerk richtet sich damit auf die Art. 29-Gruppe der EU-Datenschutzbehörden, die sich unlängst gleichfalls noch einmal ausführlich zu der DS-GVO geäußert hat ("Opinion 08/2012 providing further input on the data protection reform discussions" v. 5.10.2012). Die Art- 29-Gruppe hält es gleichfalls für erforderlich, den Begriff der Personenbezogenheit und damit den Anwendungsbereich der DS-GVO zu präzisieren:

"One of the main conclusions of this analysis is that a natural person can be considered identifiable when, within a group of persons, he or she can be distinguished from other members of the group and consequently be treated differently." (Opinion 08/2012 v. 8.10.2012, Seite 5)

Die EU-Datenschützer plädieren dafür, einen Personenbezug schon dann zu bejahen, wenn eine Person, auf die sich Daten beziehen, von anderen Personen "unterschieden" werden kann. Für eine solche "Unterscheidbarkeit" würde es nicht notwendig sein, dass der Klarname der Person festgestellt werden kann. Im Ergebnis läuft dies darauf hinaus, dass eine Pseudonymisierung und auch eine Anonymiserung von Daten den Personenbezug im Normalfall nicht in Frage stellen kann. Auch anoyme Profildaten wären vom Datenschutzrecht in vollem Maße erfasst, solange das Profil von anderen Profilen "unterscheidbar" ist.

Paradoxie der Ansätze

So einig sich somit Parlamentarier und Datenschützer bei dem Postulat nach einer präziseren Definition des GVO-Anwendungsbereichs sind, die Blinker zeigen in unterschiedliche Richtungen: Während der EU-Parlamentsausschuss sich um eine Eingrenzung des Anwendungsbereichs anhand der Begriffe "Anonymisierung" und "Pseudonymisierung" bemüht, möchte die Art- 29-Gruppe eine sehr weitgehende Geltung des Datenschutzrechts sicherstellen.

Die Position der EU-Datenschützer hat einen bedenkenswerten Kern: Die Profilbildung und -auswertung im Netz bedarf der Regulierung. Wenn der Internetnutzer beim Surfen eine Vielzahl von Spuren hinterlässt, kann dies zu einem "Gefühl des ständigen Überwachtwerdens"  und damit einer "diffusen Bedrohlichkeit" der Datenspeicherung führen (BVerfG, Urt. v. 11.3.2010 - 1 BvR 256/08 (u.a.), CR 2010, 232 (239) Ziffer V.3.a)aa) m. Anm. Heun). Dieses "Gefühl" besteht auch dann, wenn der Nutzer sicher davon ausgehen kann, dass niemand bei Amazon, Google & Co. die "Spuren" mit einer konkreten, namentlich bekannten Person in Verbindung bringen kann und wird. Die Pseudonymisierung und Anonymisierung von Daten reicht daher allein nicht (mehr) aus, um Persönlichkeitsrechte der Bürger umfassend zu schützen.

Auch die Position der EU-Parlamentarier ist alles andere als unvernünftig: Solange das Verbotsprinzip gilt, bedarf jede Verarbeitung personenbezogener Daten der Legitimation durch eine Erlaubnisnorm oder eine Einwilligung aller Betroffenen. Wenn dieses harrsche Regime auch für pseudonymisierte und anonymisierte Daten gelten soll, gibt es für Unternehmen keinerlei Anreiz, auf Persönlichkeitsrechte der Bürger durch Pseudonymisierung und Anonymisierung Rücksicht zu nehmen.

Auflösungsvorschlag

Und damit liegt auch die Antwort auf der Hand: Das rigide Verbotsprinzip gehört abgeschafft. Statt sich über den Begriff der Personenbezogenheit von Daten zu streiten, brauchen wir abgestufte Regelungen, die nach Gefahrstufen für Persönlichkeitsrechte unterscheiden (Härting, "Personenbezug: Warum der Auslegungsstreit sinnleer ist", CRonline Blog v. 3.10.2012). Für die Verarbeitung und Nutzung intimer Informationen brauchen wir strenge Beschränkungen, eine umfassende Rechtsdurchsetzung und empfindliche Sanktionen. Bei "Spuren im Netz", die anonym, pseudonym oder auch unter Namensnutzung anfallen, besteht ein Bedürfnis nach Transparenz, präzise Informationspflichten sind hier als Regulativ im Kern ausreichend, aber auch angezeigt. Das "Schwarz-Weiß" des heutigen Datenschutzes muss durch ein differnziertes, risikoorientiertes Normenwerk ersetzt werden.

 

Zurück