Anonymisierung im Datenschutzrecht…

Anony­mi­sie­rung bezeich­net den Vor­gang, bei dem Daten so ver­än­dert wer­den, dass nicht mehr auf die betrof­fe­ne Per­son geschlos­sen wer­den kann. Der Mas­stab ist aber nicht abso­lut: Ent­schei­dend ist, dass der Per­so­nen­be­zug mit ver­nünf­ti­gem Auf­wand nicht mehr her­ge­stellt wer­den kann. Das ergibt sich aus der Defi­ni­ti­on des “Per­so­nen­da­tums”: Die Anony­mi­sie­rung ist der Vor­gang, der dazu führt, dass ein bestimm­tes Datum nicht mehr unter die Legal­de­fi­ni­ti­on des Per­so­nen­da­tums fällt. Dafür aber gilt auch nach der DSGVO ein rela­ti­ver Mas­stab, wie sich insb. in Erwä­gungs­grund 26 zeigt:

Um fest­zu­stel­len, ob eine natür­li­che Per­son iden­ti­fi­zier­bar ist, soll­ten alle Mit­tel berück­sich­tigt wer­den, die von dem Ver­ant­wort­li­chen oder einer ande­ren Per­son nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren.

Folg­lich gilt die­ser rela­ti­ve Mas­stab (sie­he dazu hier) auch für die Anony­mi­sie­rung (auch im schwei­ze­ri­schen Daten­schutz­recht; s. zum Begriff des Per­so­nen­da­tums den Logi­step-Ent­scheid und zur Anony­mi­sie­rung den Ent­scheid VPB 70.73).

Für die Pseud­ony­mi­sie­rung (Art. 4 Abs. 5 DSGVO) gilt im Grund­satz das­sel­be, doch ist der Blick­win­kel ein ande­rer: Ob ein Datum per­so­nen­be­zo­gen ist, wird hier nicht abstrakt, son­dern aus der Per­spek­ti­ve bestimm­ter Per­so­nen betrach­tet – für die­je­ni­ge Per­son, die nicht über den Schlüs­sel ver­fügt, ist das Per­so­nen­da­tum im Ergeb­nis ein jeden­falls vor­läu­fig anony­mes Datum (was im Gegen­satz zur Anony­mi­sie­rung aller­dings noch nicht aus dem Anwen­dungs­be­reich der DSGVO hin­aus­führt).

… und im Persönlichkeitsrecht

Das gilt im Daten­schutz­recht – in der Bericht­erstat­tung der Medi­en gilt aber eine ande­re Vor­stel­lung der Anony­mi­sie­rung. Damit hat­te sich der Pres­se­rat kürz­lich (nicht zum ersten Mal) zu beschäf­ti­gen (Stel­lung­nah­me 32/2016):

Der «Beob­ach­ter» publi­zier­te am 25. Novem­ber 2015 einen Schwer­punkt zum The­ma Ana­bo­li­ka. Auf neun Sei­ten beschrieb das Maga­zin, wie gross die­ser Markt sei, zeig­te den Zusam­men­hang mit der wach­sen­den Fit­ness-Indu­strie und infor­mier­te über die Gefähr­lich­keit von Ana­bo­li­ka und ande­rer Dro­gen. Zwei Text-Abschnit­te illu­strier­ten gestützt auf eine Ankla­ge­schrift, mit wel­chen Metho­den ein Dea­ler ope­rier­te.

Die­ser als Bei­spiel auf­ge­führ­te Mann beschwer­te sich beim Pres­se­rat: Er sei im Arti­kel zu wenig anony­mi­siert wor­den, sein Umfeld habe erken­nen kön­nen, dass er gemeint sei. Der Pres­se­rat lehnt die­sen Ein­wand ab: Da der «Beob­ach­ter» den Vor­na­men änder­te und vom Nach­na­men nur den ersten Buch­sta­ben nann­te, respek­tier­te er die Pri­vat­sphä­re des Beschwer­de­füh­rers genü­gend. Damit konn­te höch­stens noch das näch­ste Umfeld erken­nen, um wen es sich han­delt, nicht aber Drit­te, die nur durch die Medi­en vom Vor­gang erfuh­ren.

[…]

Der Grund dafür liegt aber nicht – oder jeden­falls nicht allei­ne – dar­in, dass an der Tätig­keit der Medi­en ein öffent­li­ches Inter­es­se unter­stellt und folg­lich ein ande­rer Mas­stab ange­legt wird. Es geht viel­mehr um einen kon­zep­tio­nel­len Unter­schied zwi­schen dem Daten­schutz- und dem all­ge­mei­nen Per­sön­lich­keits­recht:

  • Eine Per­sön­lich­keits­ver­let­zung setzt eine gewis­se Ein­griffs­in­ten­si­tät vor­aus oder, anders for­mu­liert, eine kon­kre­te Beein­träch­ti­gung, die nur auf­grund der Umstän­de fest­zu­stel­len ist und bei deren Beur­tei­lung z.B. die Sozi­al­ad­äquanz des zu prü­fen­den Ver­hal­tens zu berück­sich­ti­gen ist (mit ande­ren Wor­ten: gewis­se Beein­träch­ti­gun­gen sind im sozia­len Nah­be­reich als unver­meid­bar hin­zu­neh­men).
  • Das ist im Daten­schutz­recht anders: Bei einer Ver­let­zung der Bear­bei­tungs­grund­sät­ze wird eine Per­sön­lich­keits­ver­let­zung nicht nur ver­mu­tet, son­dern fin­giert, wie sich in Art. 12 Abs. 2 DSG zeigt. Was im Per­sön­lich­keits­recht noch akzep­ta­bel ist, ist es im Daten­schutz­recht des­halb nicht unbe­dingt, weil eine Ver­let­zung rascher vor­liegt und die Zuläs­sig­keit des­halb von einer Recht­fer­ti­gung abhän­gig ist. Es gibt hier also auf der Tat­be­stands­ebe­ne kei­ne Grau­zo­ne – erst im Bereich der Recht­fer­ti­gung, was mate­ri­ell auf das­sel­be hin­aus­lau­fen mag; aber die Beweis­last für die Tat­sa­chen, die zu einer Recht­fer­ti­gung füh­ren, liegt hier nicht beim Ver­letz­ten, son­dern beim Ver­let­zer. Unter ande­ren aus die­sem Grund ist die Fra­ge des Ver­hält­nis­ses des Daten­schutz- zum all­ge­mei­nen Per­sön­lich­keits­recht im Medi­en­be­reich eine wich­ti­ge Fra­ge, wobei das Daten­schutz­recht m.E. auf die Medi­en Anwen­dung fin­den soll­te (vgl. dazu die­ses Refe­rat).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.