Die von einer Person erhaltenen Daten führen nicht zwangsläufig direkt dazu, dass Rückschlüsse auf ihre Identität gezogen werden können. Es kommt auf den Einzelfall an. Dabei ist der anzuwendende Maßstab umstritten. Insbesondere ist es umstritten, ob ein an sich anonymes Datum, wie z.B. die IP-Adresse für den Inhaber einer Webseite, ein personenbezogenes Datum sein kann, wenn ein Dritter (bei IP-Adressen: der Internet Service Provider), eine Zuordnung vornehmen kann.
Die deutschen und europäischen Regelungen sind insoweit nicht eindeutig. Im Wesentlichen werden in der juristischen Literatur, von den Datenschutzbehörden und den Gerichten drei verschiedene Ansätze vertreten.

1. Objektiver Datenbegriff

Die von den meisten Datenschutzbehörden gewählte Herangehensweise ist sehr vereinfachend und (zu) restriktiv. Sie gehen davon aus, dass es ausreicht, wenn aus objektiver Sicht (sogenannter „objektiver Datenbegriff“) theoretisch die Möglichkeit besteht, dass mithilfe eines Datums eine konkrete Person bestimmbar ist, auch wenn dazu die nutzende Person bzw. das nutzende Unternehmen Informationen von Dritten benötigt. Das gilt unabhängig davon, ob es wahrscheinlich ist, dass eine solche Mitwirkung jemals erfolgt. Relevant ist dies beispielsweise für Big Data Anwendungen, die IP Adressen Profilen zuordnen oder diese anderweitig nutzen. Nach dieser Ansicht ist eine Person neben IP-Adressen auch insbesondere aufgrund folgender Daten bestimmbar: Browser-Fingerprints, Daten eines mobilen Funkgeräts, Kfz-Daten (Fahrzeugnummer, Kennzeichen etc.), mit RFID-Chips ausgestattete Gegenstände, Pseudonyme.

2. Subjektiver Datenbegriff

Nach der liberaleren Gegenansicht ist bei der Frage nach dem Personenbezug von Daten nur zu berücksichtigen, inwieweit die konkrete Stelle, welche Daten verarbeitet, die Möglichkeit hat, eine bestimmte Person zu ermitteln (sogenannter „subjektiver Datenbegriff“). Informationen von außerhalb sind hiernach nicht relevant. Nach dieser Ansicht ist insbesondere die IP-Adresse kein personenbezogenes Datum (außer für den Internet Service Provider bei Einzelanschlüssen), da es sich lediglich um eine Zahlenfolge handelt, welche auch im Zusammenhang mit der Angabe, dass zu einer bestimmten Zeit ein Zugriff auf eine bestimmte Webseite erfolgt ist, kein Rückschluss auf eine Person möglich ist.

3. Vermittelnde Lösung

Unserer Ansicht nach sind beide Seiten zu pauschal und einseitig. Vielmehr ist eine vermittelnde Lösung interessengerecht. Es muss zunächst aus Sicht des jeweiligen Datenverarbeiters bestimmt werden, ob es sich um personenbezogene Daten handelt oder nicht. Dabei können aber auch Daten von Dritten relevant sein, wenn es naheliegend ist, dass dieser Zugriff auf diese Daten hat und mit deren Hilfe die Identität einer konkreten Person bestimmen kann. (Nur) wenn das der Fall ist, liegt ein Personenbezug vor, mit der Folge, dass die datenschutzrechtlichen Anforderungen einzuhalten sind. Für “Big Data” bedeutet dies dennoch, dass im Zweifelsfall personenbezogene Daten involviert sind, da zumeist eine Mischung aus mehreren Datentypen vorliegen wird. Ein Personenbezug ist aber dann auszuschließen, wenn die Daten bereits vor deren Weiterverarbeitung anonymisiert wurden, wobei für die Anonymisierung aus unserer Sicht nicht die strenge Auffassung der meisten Datenschutzbehörden, sondern die hier vertretene vermittelnde Ansicht maßgeblich ist. Wenn man kein Risiko eingehen möchte, muss man allerdings den strengen Maßstab zugrunde legen.

Kostenlose Checkliste zu Rechtsfragen im Big Data Umfeld

Dieser Beitrag ist ein Auszug aus der Checkliste 23 Fragen zu Big Data und Recht von artegic und Bird&Bird. Die Checkliste hilft Unternehmen dabei, rechtliche Fallstricke im Umgang mit Big Data zu vermeiden. Hier geht es zum kostenlosen Download: https://www.elaine.io/big-data-und-recht