Gibt es eigentlich noch Daten, die nicht personenbezogen sind?
PSP Case Study zur DSGVO: Praxisfall 15

DSGVO: Praktischer Fall

Herr Huber ist Mehrheits-Kommanditaktionär der „Huber Metallverarbeitung GmbH & Co. KGaA“, während Inhaber der Gesellschaftsanteile sowie Geschäftsführer der Komplementärin, der „Huber Metallverarbeitung Verwaltungs GmbH“, sein Schwager, Herr Meier, ist. Ein Abnehmer der „Huber Metallverarbeitung GmbH & Co. KGaA“, die Schulze AG, erhebt eine interne Statistik über ihre Lieferanten und das jährliche Umsatzvolumen mit diesen Lieferanten, in der für die „Huber Metallverarbeitung GmbH & Co. KGaA“ und das Jahr 2018 die Zahl „2,4 Mio. EUR“ angegeben ist.

Die DSGVO beginnt mit einem Paukenschlag in Form eines Zirkelschlusses: Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt identifiziert werden kann (Art. 4 Nr. 1 DSGVO). Hier wird also nicht einmal nur ein abstrakter Begriff durch einen anderen abstrakten Begriff ersetzt – wie es Juristen so gerne mögen –, sondern durch denselben. Identifizierbarkeit ist die Möglichkeit einer Verknüpfung zwischen natürlicher Person und einem „Identifier“ (wie einer Versicherungsnummer oder einer IP-Adresse), sodass zwischen beiden Identität hergestellt werden kann. Man stelle sich also einen Datenverarbeiter oder einen „Angreifer“ vor, der diese Verknüpfung herstellen möchte, und frage, welche Fähigkeiten (Mittel), welches Wissen (Vergleichsdatenbestand) und welche Rationalität (Vorgehensweise) dieser Person „nach allgemeinem Ermessen wahrscheinlich“ (Erwägungsgrund 26 zur DSGVO) unterstellt werden kann. Irgendwann ist diese Person dann „identifizierbar“. Wieder einmal türmen sich die „Begriffspyramiden“, weshalb es sogar Vorschläge gibt, den Personenbezug im Datenschutzrecht insgesamt als veraltet und nicht praktikabel abzuschaffen.

Wann sind Daten auf Personen beziehbar?

Zur Identifizierbarkeit der Person des Betroffenen kommt der Personenbezug der Daten selbst: Sämtliche Informationen, die sich auf den Betroffenen „beziehen“, sind „personenbezogene“ Daten. Was bezieht sich nicht auf Personen? Vielleicht Dinosaurierfunde aus dem Mesozoikum, als es noch keine Menschen gab? Oder kann nicht auch jeder Dinosaurierknochen einem Paläontologen zugeordnet werden, der diesen ausgegraben und beschriftet hat? „Bezieht“ sich das Foto eines Pflanzenbeets auf den Gärtner, der das Beet angelegt hat, oder auf den Fotografen, der den Bildausschnitt gewählt hat? „Bezieht“ sich Kommunikation zwischen Maschinen auf den Erfinder der Maschine, den Programmierer der Software, den Bediener der Maschine (Autofahrer)? „Bezieht“ sich der Wert eines Grundstücks auf den Eigentümer, der die aus dem Wert abgeleitete Grundsteuer zu zahlen hat? „Bezieht“ sich die Anmerkung eines Prüfers am Rande einer Klausur auf den Prüfling? „Bezieht“ sich die handschriftliche Anmerkung „Maier: Er will keinen höheren Preis zahlen“ in einem anwaltlichen Protokoll einer Verhandlung, das gescannt und Teil der elektronischen Handakte des Anwalts wird, auf Herrn Maier? „Bezieht“ sich die Information „Genehmigt durch die Buchhaltung“ auf Frau Huber, die die einzige Mitarbeiterin der Buchhaltungsabteilung der Firma Müller ist? „Bezieht“ sich der gesamte Sonderprüfungsbericht eines Wirtschaftsprüfers, in dem mögliche Verfehlungen einer natürlichen Person untersucht werden, auf diese Person? Das Wort „Bezug“ verfügt über eine sehr große begriffliche Unschärfe – Stichwort „Graukeil“. Man mag sich in allen diesen Beispielen vorstellen, wie es datenschutzrechtlich „weitergeht“: Pflichthinweise bei Erhebung, Auskunftsrecht, technische und organisatorische Maßnahmen etc. etc.

Daten juristischer Personen

In diesem Zusammenhang ist auch noch auf eine andere, wenig beachtete Diskussion hinzuweisen, nämlich, inwieweit auch Daten, die nicht auf natürliche Personen, aber auf juristische Personen (insbesondere Unternehmen) als solche bezogen sind, „Datenschutz“ genießen. Das „alte“ deutsche Datenschutzrecht wurde in einigen Gerichtsentscheidungen wie selbstverständlich analog auf Unternehmen angewandt und diese Analogie mit den auch für Unternehmen geltenden Grundrechten begründet. Es war nur immer unklar, ob dies ausschließlich gegenüber staatlichen Datenerhebungen gelten soll oder auch – über die im Datenschutzrecht besonders weitgehende „Drittwirkung der Grundrechte“ – im normalen privatwirtschaftlichen Geschäftsverkehr.

Nach Erwägungsgrund 14 gilt die DSGVO „nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person“. Dies kann allerdings nach einhelliger Meinung in der juristischen Literatur nur gelten, soweit diese Daten ausschließlich im Kontext der juristischen Person verarbeitet werden. Erfolgt hingegen die Verarbeitung erkennbar mit Inhalts-, Zweck- oder Ergebnisbezug zu der hinter der juristischen Person stehenden natürlichen Person, sind die Vorgaben der DSGVO auf diese Verarbeitung anzuwenden.

Verschiedene Staaten in der EU haben sowohl den Geltungsbereich der Vorläuferregelung, der EU-Datenschutzrichtlinie, als auch die DSGVO selbst auf juristische Personen erweitert. Europarechtlich spricht nichts dagegen, den Wirkungskreis der DSGVO regional größer zu ziehen, auch wenn dadurch ein inhomogener Datenschutz in der EU etabliert wird.

Mittelbare Personenbeziehbarkeit auf einen Inhaber

Wie oben angedeutet, können aber auch unter der DSGVO selbst Daten, die sich vordergründig „nur“ auf eine juristische Person beziehen – im Beispielsfall auf die „Huber Metallverarbeitung GmbH & Co. KGaA“ –, einen Bezug zu der/den „hinter“ dem Unternehmen stehende(n) natürliche(n) Person(en) herstellen. Der EuGH sagt dazu, dass der Name einer juristischen Person eine oder mehrere natürliche Personen „bestimmen“ kann. Ebenso kommt es vor, dass einer natürlichen Person eine juristische Person unmittelbar oder mittelbar „gehört“ und deshalb Aussagen über die juristische Person auch eine signifikante Aussage über die natürliche Person darstellen. In diesem Fall gilt die DSGVO auch für unternehmensbezogene Daten mit Personenbezug, d. h. die Umsatzangabe sagt nicht nur etwas über die „Huber Metallverarbeitung GmbH & Co. KGaA“ aus, sondern ist auch ein personenbezogenes Datum betreffend Herrn Huber selbst. Da kann man beinahe froh sein, dass Gottlieb Daimler schon vor Langem gestorben ist.

Das soll nun nicht bedeuten, dass sich jedes Datum, dass sich auf eine juristische Person bzw. Gesellschaft oder Institution bezieht, auch auf die natürliche Person „hinter“ der juristischen Person – vorausgesetzt es gibt eine solche – bezieht. Sicher wird es keine Aussage über eine „hinter“ der Gesellschaft stehende Person ermöglichen, wenn die Gesellschaft einen neuen Schreibtisch für ihren Prokuristen erwirbt. Aber wenn eine Gesellschaft ein Darlehen aufnimmt und dieses notleidend wird, bezieht sich diese Information dann auch auf den Alleingesellschafter der Gesellschaft? Oder kann nur dann eine signifikante Aussage über den Alleingesellschafter getroffen werden, wenn dessen Gesamtvermögen im Wesentlichen aus der Beteiligung an der Gesellschaft besteht? In diesem Fall würde ein Tilgungsausfall, eine Sicherheitenverwertung und Ähnliches den Schluss zulassen, dass es der natürlichen Person „hinter“ der Gesellschaft finanziell „nicht gut geht“.

Das Problem besteht hier nicht nur in einer „Relevanzschwelle“, d. h. dass die unternehmensbezogenen Daten eine relevante Aussage über die natürliche Person ermöglichen müssen, um personenbeziehbar zu sein. Vielmehr können verschiedene unternehmensbezogene Einzeldaten, die aus unterschiedlichen Quellen zusammengetragen und „verkettet“ werden, zusammengenommen Aussagen über natürliche Personen ermöglichen, die nur anhand einzelner Einzeldaten nicht möglich wären. Beispielsweise ist für die Frage, ob der Umstand, dass ein der Gesellschaft eingeräumtes Darlehen notleidend wird, auch auf die natürliche Person „hinter“ der Gesellschaft „durchschlägt“, die (weitere) Information entscheidend, ob die natürliche Person ihr Vermögen zu einem großen Teil in dieser Gesellschaft hält. Nur wer beides „weiß“, kann einen Schluss auf die aktuelle Vermögenssituation der natürlichen Person „hinter“ der Gesellschaft ziehen. Da die Frage der Personenbeziehbarkeit von Daten als „on/off“-Kriterium den Anwendungsbereich der DSGVO eröffnet bzw. nicht eröffnet – die DSGVO gilt nur für personenbezogene Daten –, würde die DSGVO noch nicht bei Kenntnis der Einzeldaten einschlägig sein. Vielmehr würde die Information, dass das Darlehen notleidend ist, erst dadurch zu einem personenbezogenen Datum für einen bestimmten Verantwortlichen werden, dass dieser die Relation zwischen Gesamtvermögen und dem in der betreffenden Gesellschaft gebundenen Vermögen kennt. Dabei geht es nicht um die „Identifizierbarkeit“ des Betroffenen im Sinne von Art. 4 Nr. 1 DSGVO, von Erwägungsgrund 26 und der Rechtsprechung des Europäischen Gerichtshofs zur dynamischen IP-Adresse, sondern um den Personenbezug an sich (als weiteres Kriterium für das Vorliegen eines personenbezogenen Datums). Die DSGVO wäre daher erst in dem Moment anwendbar, in dem diese (sämtliche) Einzeldaten beim Verantwortlichen vorliegen und damit der Personenbezug (tatsächlich) vorliegt. Dann wäre aber das Risiko, dass ein „Täter“ die notwendigen Daten aus verschiedenen Quellen zusammenträgt und verkettet, für den Verarbeiter eines einzelnen, nicht personenbezogenen Datums – etwa des Umstands, dass das der Gesellschaft eingeräumte Darlehen notleidend geworden ist – datenschutzrechtlich irrelevant, weil sein „Teildatum“ nicht Gegenstand der DSGVO wäre.

Mittelbare Personenbeziehbarkeit auf Organe

Das Beispiel des notleidenden Darlehens, das an eine Gesellschaft ausgegeben wurde, kann aber nicht nur Schlüsse auf die wirtschaftliche Situation des hinter der Gesellschaft stehenden „Inhabers“ zulassen. Vielmehr kann sich aus gesellschaftsbezogenen Daten auch eine Information über die (mutmaßliche) Verantwortlichkeit natürlicher Personen ergeben. Jemand, der über die Daten über ein schleppendes Zahlungsverhalten einer Gesellschaft gegenüber ihren Gläubigern verfügt, kann daraus folgern, dass sich der Geschäftsführer in einer Insolvenzverschleppungssituation befindet, für die er persönlich haftet (Insolvenzantragspflicht). Auch hierfür wird es notwendig sein, verschiedene Einzeldaten zusammenzutragen und zu bewerten, die diesen Schluss für sich genommen jeweils noch nicht zulassen. Und auch hier würde den einzelnen Daten, soweit sie nur an die Gesellschaft anknüpfen (die Gesellschaft bezahlt ihre Rechnungen seit einiger Zeit nicht pünktlich), noch kein Schutz unter der DSGVO zukommen. Würde man dies anders sehen wollen, könnte wohl aus jedem gesellschaftsbezogenen Datum potenziell – im Rahmen irgendeiner „Story“ bzw. eines Szenarios – auch eine Aussagewirkung im Hinblick auf natürliche Personen entnommen werden. Damit wäre die Beschränkung der DSGVO auf personenbezogene Daten „hinterrücks“ entwertet und der Erwägungsgrund 14 zumindest irreführend.

Wo genau verläuft also hier die „rote Linie“? Es scheint, als habe sich bislang noch niemand vertieft mit dieser Frage beschäftigt, obwohl doch viele unternehmensbezogene Daten kursieren und hinter vielen Gesellschaften Privatpersonen stehen bzw. jede Gesellschaft über Organe verfügt.

Werturteile

Ein weiteres Problemfeld bei der Beantwortung der Frage, wo „personenbezogene Daten“ eigentlich aufhören bzw. anfangen, stellt sich bei subjektiven oder errechneten Werturteilen eines Verantwortlichen über einen Betroffenen anhand personenbezogener Daten. In einer Verwaltungsstrafe der österreichischen Datenschutzaufsichtsbehörde vom Oktober 2019 über EUR 18 Mio. (s. zu einem anderen Aspekt des Falles auch noch Fall 28) wurde unter anderem die statistische Herleitung einer (vermuteten) „Parteiaffinität“ aus den der österreichischen Post vorliegenden Daten über Betroffene thematisiert. Die Parteiaffinität wäre natürlich ein personenbezogenes Datum, wenn sie vom Betroffenen selbst mitgeteilt würde. Aber ist sie auch ein personenbezogenes Datum, wenn man sie schätzt? Wenn dies so wäre, könnte darüber hinaus Art. 9 DSGVO für die zugrundeliegenden „Basisdaten“ einschlägig sein, denn dort heißt es, dass die Verarbeitung personenbezogener Daten, „aus denen [...] politische Meinungen [...] hervorgehen“, den zusätzlichen Erfordernissen des Art. 9 DSGVO unterliegen. Kann dies aber auch dann gelten, wenn man mit statistischen Mitteln aus Daten, die mit der politischen Meinung zunächst wenig zu tun haben – wie Adresse, Geburtsdatum etc. –, eine vermutete Parteiaffinität ableitet?

Eine ähnliche Fragestellung behandelt ein Urteil des LG Karlsruhe vom August 2019. Dort hatte eine Auskunftei einen „Basisscore“ über Betroffene gebildet, der aus Sicht des klagenden Betroffenen zu niedrig ausgefallen war, da er stets seine Rechnungen gegenüber seinen Gläubigern pünktlich bezahlt habe. Nach Ansicht des LG Karlsruhe ist der Scorewert ein subjektives Werturteil und kein personenbezogenes Datum. Lediglich unrichtige personenbezogene Daten dürfen in die Ermittlung des Scorewertes nicht einbezogen werden. Das Ergebnis ist nach dieser Entscheidung nicht mehr Gegenstand des Datenschutzrechts. Darüber hinaus stellt das LG Karlsruhe klar, dass selbst die Annahme einer Datenschutzverletzung den vom Kläger begehrten Schadensersatz nur dann rechtfertigen würde, wenn eine konkrete, tatsächliche Persönlichkeitsverletzung vorlag (s. zum Schadensersatzanspruch bei immateriellen Schäden auch Fall 9). Dafür genüge es nicht, dass der Betroffene bei einer Bank aufgrund seines Scorewerts keinen Kredit erhält, denn er könne seine Bonität der Bank gegenüber auch anders nachweisen und im Übrigen bestehe kein Anspruch auf Vergabe eines Kredits „zu Konsumzwecken“, d. h. die Bank könnte ohnehin die Kreditvergabe (warum auch immer) verweigern.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden