Der EuGH hat soeben sein Urteil i.S. Brey­er c. Deutsch­land gefällt. Er hat dar­in fest­ge­hal­ten, dass nach der gel­ten­den Richt­li­nie bei der Qua­li­fi­ka­ti­on einer Infor­ma­ti­on als Per­so­nen­da­tum ein rela­ti­ver Ansatz gilt. Eine Infor­ma­ti­on ist des­halb nur für den den­je­ni­gen ein Per­so­nen­da­tum, der über die Mit­tel ver­fügt, um die Per­son zu iden­ti­fi­zie­ren, auf wel­che sich das Datum bezieht. Dass ein Drit­ter zur Iden­ti­fi­ka­ti­on in der Lage wäre, genügt damit nicht. Die­ses Ergeb­nis ent­spricht der Rechts­la­ge in der Schweiz gemäss dem Logi­step-Urteil des Bun­des­ge­richts.

Die Rechts­la­ge nach der DSGVO ist dage­gen weni­ger klar. Nach mei­ner Les­art gilt im Ergeb­nis fol­gen­des:

  • Die DSGVO ver­folgt kei­nen abso­lu­ten, son­dern einen rela­ti­ven Ansatz.
  • Erfor­der­lich ist aber nicht die nament­li­che Iden­ti­fi­zie­rung einer Per­son. Es genügt die Zuord­nung zu einem ande­ren ein­deu­ti­gen Iden­ti­fi­ka­tor.
  • Im Online-Bereich reicht es daher, dass eine aus­rei­chend unver­än­der­li­che Online-Ken­nung mit einer Per­son ver­bun­den ist und vom Anbie­ter solan­ge gespei­chert wird, dass unter­schied­li­che Vor­gän­ge – zB mehr­ma­li­ge Besu­che auf einer Web­site – der glei­chen (aber nicht unbe­dingt nament­lich bekann­ten) Per­son zuge­ord­net wer­den kön­nen. In einem sol­chen Fall liegt eine Iden­ti­fi­zie­rung vor, die man als “Sin­gu­la­ri­sie­rung” bezeich­nen kann.
  • Fehlt aber eine sol­che Zuord­nungs­mög­lich­keit, ist ein Iden­ti­fi­ka­tor – auch zB eine IP-Adres­se – kein Per­so­nen­da­tum. Die Stel­lung­nah­men, wonach eine IP-Adres­se nach der DSGVO stets ein Per­so­nen­da­tum ist, sind des­halb nicht rich­tig.

Scheinbare Widersprüche

Art. 4 Ziff. 1 defi­niert “per­so­nen­be­zo­ge­ne Daten” wie folgt:

1. „per­so­nen­be­zo­ge­ne Daten“ alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den „betrof­fe­ne Per­son“) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann;

Die Legal­de­fi­ni­ti­on ent­spricht also weit­ge­hend Art. 2 lit. a der gel­ten­den Richt­li­nie, für die dem Brey­er-Ent­scheid zufol­ge ein rela­ti­ver Ansatz gilt, aber mit Unter­schie­den insb. im fett­ge­druck­ten Teil:

a) “per­so­nen­be­zo­ge­ne Daten” alle Infor­ma­tio­nen über eine bestimm­te oder bestimm­ba­re natür­li­che Per­son (“betrof­fe­ne Per­son”); als bestimm­bar wird eine Per­son ange­se­hen, die direkt oder indi­rekt iden­ti­fi­ziert wer­den kann, ins­be­son­de­re durch Zuord­nung zu einer Kennum­mer oder zu einem oder meh­re­ren spe­zi­fi­schen Ele­men­ten, die Aus­druck ihrer phy­si­schen, phy­sio­lo­gi­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät sind;

Dar­aus, dass die DSGVO als Iden­ti­fi­ka­tor aus­drück­lich Online-Ken­nun­gen nennt, lie­sse sich allen­falls schlie­ssen, dass zumin­dest mit Bezug auf sol­che Ken­nun­gen ein abso­lu­ter Ansatz gilt, d.h. dass Online-Ken­nun­gen per se als per­so­nen­be­zo­gen gel­ten. In die­se Rich­tung geht die Mehr­zahl der bis­her ver­füg­ba­ren Stel­lung­nah­men.

Erwä­gungs­grund 26 spricht aber klar gegen eine sol­che Aus­le­gung, indem von sei­nem rela­ti­ven Ansatz aus­ge­gan­gen wird:

(26) […] Um fest­zu­stel­len, ob eine natür­li­che Per­son iden­ti­fi­zier­bar ist, soll­ten alle Mit­tel berück­sich­tigt wer­den, die von dem Ver­ant­wort­li­chen oder einer ande­ren Per­son nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren […]

Auch sonst stün­de ein abso­lu­ter Ansatz im kla­rem Wider­spruch zur DSGVO:

  • Auch die Legal­de­fi­ni­ti­on der pseud­ony­mi­sier­ten Daten in Art. 4 Ziff. 5 geht von einem rela­ti­ven Ansatz aus (“[…] Daten ohne Hin­zu­zie­hung zusätz­li­cher Infor­ma­tio­nen nicht mehr einer spe­zi­fi­schen betrof­fe­nen Per­son zuge­ord­net wer­den kön­nen, sofern die­se zusätz­li­chen Infor­ma­tio­nen geson­dert auf­be­wahrt wer­den […]”): Pseud­ony­mi­sier­te Daten sind ja nichts ande­res als “rela­tiv anony­me” Daten, d.h. Daten, die der Inha­ber kei­ner Per­son zuord­nen kann. Bei einem abso­lu­ten Ansatz bestün­de kein Anlass, pseud­ony­mi­sier­te Daten – die für den Inha­ber des Zuord­nungs­schlüs­sels ja defi­ni­ti­ons­ge­mäss Per­so­nen­da­ten dar­stel­len – zu pri­vi­le­gie­ren.
  • Das glei­che gilt für ver­schlüs­sel­te Daten (die ja eigent­lich eben­falls pseud­ony­mi­sier­te Daten dar­stel­len); vgl. Art. 32 Abs. 1 lit. a und ErwG 83; und eigent­lich auch für anony­me Daten (die in der DSGVO aller­dings nicht erwähnt wer­den): Wäre wie beim abso­lu­ten Ansatz die Gesamt­heit des mensch­li­chen Wis­sens zu berück­sich­ti­gen, gäbe es fak­tisch wohl kei­ne anony­men Daten.
  • In die­ses Bild passt aber Erwä­gungs­grund 30 nicht, der aus­drück­lich auf Online-Ken­nun­gen Bezug nimmt:

    (30) […]

    Natür­li­chen Per­so­nen wer­den unter Umstän­den Online-Ken­nun­gen wie IP-Adres­sen und Coo­kie-Ken­nun­gen, die sein Gerät oder Soft­ware-Anwen­dun­gen und -Tools oder Pro­to­kol­le lie­fern, oder son­sti­ge Ken­nun­gen wie Funk­fre­quenz­kenn­zeich­nun­gen zuge­ord­net. Dies kann Spu­ren hin­ter­las­sen, die ins­be­son­de­re in Kom­bi­na­ti­on mit ein­deu­ti­gen Ken­nun­gen und ande­ren beim Ser­ver ein­ge­hen­den Infor­ma­tio­nen dazu benutzt wer­den kön­nen, um Pro­fi­le der natür­li­chen Per­so­nen zu erstel­len und sie zu iden­ti­fi­zie­ren.

    Auflösung: Identifizierung heisst Singularisierung

    Der schein­ba­re Wider­spruch zwi­schen dem rela­ti­ven Ansatz einer­seits und der aus­drück­li­chen Bezug­nah­me auf Online-Ken­nun­gen ande­rer­seits löst sich aller­dings durch das Kon­zept der Sin­gu­la­ri­sie­rung:

    Unter “Iden­ti­fi­zie­rung” ist ein Vor­gang zu ver­ste­hen, bei dem die Iden­ti­tät einer Per­son fest­ge­stellt ist. Mit “Iden­ti­tät” wird gemein­hin der Name der Per­son ver­stan­den. Die DSGVO – und auch schon die Richt­li­nie – haben aber ein brei­te­res Ver­ständ­nis von Iden­ti­tät. “Iden­ti­tät” ist alles, wor­in sich eine Per­son von allen ande­ren Per­so­nen unter­schei­det. Das ist nur ein (ein­deu­ti­ger) Name, son­dern eben alle ande­en Merk­ma­le der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät. Mit ande­ren Wor­ten ist eine Per­son auch “iden­ti­fi­ziert”, wenn zwar nicht ihr Name bekannt ist, aber ande­re Unter­schei­dungs­merk­ma­le. Es genügt folg­lich, wenn eine Per­son zwar nicht nament­lich bekannt, aber doch sin­gu­la­ri­siert ist, d.h. wenn sie von allen ande­ren Per­so­nen unter­schie­den wer­den kann. 

    Die­ser Ansatz fin­det sich in der Stel­lung­nah­me 4/2007 der Arti­kel-29-Arbeits­grup­pe:

    An die­sem Punkt ist anzu­mer­ken, dass Per­so­nen in der Pra­xis zwar über­wie­gend anhand ihres Namens iden­ti­fi­ziert wer­den, ein Name zur Iden­ti­fi­zie­rung einer Per­son jedoch kei­nes­wegs immer not­wen­dig ist. Bei­spiels­wei­se kann eine Per­son anhand ande­rer „Kenn­zei­chen“ sin­gu­la­ri­siert wer­den. So ord­nen rech­ner­ge­stütz­te Datei­en zur Erfas­sung per­so­nen­be­zo­ge­ner Daten den erfass­ten Per­so­nen gewöhn­lich ein ein­deu­ti­ges Kenn­zei­chen zu, um Ver­wechs­lun­gen zwi­schen zwei Per­so­nen in der Datei aus­zu­schlie­ßen. Auch im Inter­net kann das Ver­hal­ten eines Geräts und somit des Gerä­te­nut­zers mit Hil­fe vonv Über­wa­chungs­werk­zeu­gen für den Inter­net­ver­kehr pro­blem­los iden­ti­fi­ziert wer­den. Dadurch ent­steht Stück für Stück ein Bild von der Per­sön­lich­keit der Per­son, der bestimm­te Ent­schei­dun­gen zuge­schrie­ben wer­den kön­nen. Die Per­son kann also ohne Kennt­nis ihres Namens und ihrer Adres­se anhand sozio­öko­no­mi­scher, psy­cho­lo­gi­scher, phi­lo­so­phi­scher oder son­sti­ger Kri­te­ri­en kate­go­ri­siert und mit bestimm­ten Ent­schei­dun­gen in Zusam­men­hang gebracht wer­den, da der Kon­takt­punkt der Per­son (Com­pu­ter) die Offen­le­gung ihrer Iden­ti­tät im enge­ren Sinn nicht mehr zwin­gend erfor­dert. Mit ande­ren Wor­ten setzt die Iden­ti­fi­zier­bar­keit einer Per­son nicht mehr die Kennt­nis ihres Namens vor­aus.

    Schlussfolgerung

    Mit Bezug auf Online-Ken­nun­gen folgt dar­aus, dass eine IP-Adres­se oder ein ande­rer Iden­ti­fi­ka­tor dann ein Per­so­nen­da­tum ist, wenn sie eine Per­son von ande­ren unter­schei­det, d.h. wann immer ein­deu­tig fest­zu­stel­len ist, dass es sich um die­sel­be Per­son han­delt.

    Letzt­lich ergibt sich die­se Defi­ni­ti­on aus dem Grund­rechts­be­zug der DSGVO und insb. dem Schutz vor Dis­kri­mi­nie­rung, auf den die DSGVO gro­ssen Wert legt (vgl. z.B. Erwä­gungs­grün­de 71, 75 und 85 und vor allem ErwG 1, der auf die Char­ta Bezug nimmt, die in Art. 21 ein Dis­kri­mi­nie­rungs­ver­bot ent­hält; auch ErwG 4 betr. Kopp­lungs­ver­bot bei Ein­wil­li­gun­gen). Dass der Gesetz­ge­ber Dis­kri­mi­nie­run­gen gera­de auch im Online-Bereich ver­mei­den woll­te, zeigt sich z.B. in Erwä­gungs­grund 71 zu Art. 22, der auto­ma­ti­sier­ten Ein­zel­fall­ent­schei­dung:

    (71) Die betrof­fe­ne Per­son soll­te das Recht haben, kei­ner Ent­schei­dung — was eine Maß­nah­me ein­schlie­ßen kann — zur Bewer­tung von sie betref­fen­den per­sön­li­chen Aspek­ten unter­wor­fen zu wer­den, die aus­schließ­lich auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung beruht und die recht­li­che Wir­kung für die betrof­fe­ne Per­son ent­fal­tet oder sie in ähn­li­cher Wei­se erheb­lich beein­träch­tigt, wie die auto­ma­ti­sche Ableh­nung eines Online-Kre­dit­an­trags oder Online-Ein­stel­lungs­ver­fah­ren ohne jeg­li­ches mensch­li­che Ein­grei­fen. […]

    Es ist des­halb fol­ge­rich­tig, wenn Sin­gu­la­ri­sie­rung ins. im Online-Bereich aus­reicht. Andern­falls wäre die DSGVO macht­los, wann immer der Nut­zer einer Web­site zwar pro­fi­liert, aber nicht nament­lich bekannt wird. 

    Vor die­sem Hin­ter­grund folgt aus der Legal­de­fi­ni­ti­on des Per­so­nen­da­tums in der DSGVO also nicht etwa, dass die DSGVO einen abso­lu­ten Ansatz ver­folgt. Erfor­der­lich, aber auch aus­rei­chend ist im Online-Bereich viel­mehr, dass eine aus­rei­chend unver­än­der­li­che Online-Ken­nung mit einer Per­son ver­bun­den ist und vom Anbie­ter solan­ge gespei­chert wird, dass unter­schied­li­che Vor­gän­ge – zB mehr­ma­li­ge Besu­che auf einer Web­site – der glei­chen (aber nicht unbe­dingt nament­lich bekann­ten) Per­son zuge­ord­net wer­den kön­nen.

    Bei der Fra­ge, ob eine Sin­gu­la­ri­sie­rung vor­liegt, sind aber die der betref­fen­den Per­son zur Ver­fü­gung ste­hen­den Mit­tel zu berück­sich­ti­gen. Lässt sich bspw. ein Iden­ti­fi­ka­tor nur mit grö­sse­rem Auf­wand mit ande­ren Iden­ti­fi­ka­to­ren abglei­chen und hat der betref­fen­de Ver­ar­bei­ter kein Inter­es­se dar­an, die­sen Auf­wand auf sich zu neh­men, fehlt es an einer Sin­gu­la­ri­sie­rung und damit an einem Per­so­nen­da­tum.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.