Deutscher Bundestag – 16. Wahlperiode
– 127 –
ständnisses hat die Artikel-29-Gruppe ergänzend einen
Rahmen ausgearbeitet, der zeigt, wie eine verbindliche
unternehmensinterne Datenschutzregelung aussehen
könnte (WP 154 vom 24. Juni 2008). Eine Zusammenstellung häufig gestellter Fragen soll den Antragstellern
ein klares Bild von den Anforderungen für die Genehmigungsvoraussetzungen ihrer BCR vermitteln (WP 155
Rev. 01 vom 1. Oktober 2008).
Darüber hinausgehend hat ein Kreis von inzwischen
15 europäischen Datenschutzaufsichtsbehörden einschließlich Deutschlands eine politische Absichtserklärung zur
gegenseitigen Anerkennung von BCR abgegeben. Ziel ist
es, das Verfahren zur EU-weiten Anerkennung verbindlicher Unternehmensregelungen zu beschleunigen, indem
eine positive Entscheidung der federführenden Behörde
hinsichtlich der Genehmigungsfähigkeit eingereichter
BCR von den anderen Behörden als ausreichende Grundlage angesehen wird, ihrerseits eine zustimmende Entscheidung zu erlassen.
Im Mai 2007 hat die Deutsche Post AG mich gebeten, das
Verfahren zur Anerkennung verbindlicher unternehmensinterner Datenschutzregelungen nach den Vorgaben der
Artikel-29-Gruppe durchzuführen. Grundlage für die
„Privacy Policy der Deutschen Post World Net“ sind im
Wesentlichen die Richtlinie 95/46/EG und die Standardvertragsklauseln II (vgl. 20. TB Nr. 14.1.2). Gleichzeitig
will die Deutsche Post AG mit der Einführung verbindlicher unternehmensinterner Datenschutzregelungen ein
funktionierendes Netzwerk von Datenschutzbeauftragten
in den einzelnen Konzernunternehmen einrichten.
Ich unterstütze diese Bemühungen.
13.2.4 Stellungnahme zu personenbezogenen
Daten
Die Artikel-29-Gruppe beschäftigte sich mit der Frage,
wann Daten als personenbezogen anzusehen sind. Dies
ist deshalb von zentraler Bedeutung, weil das Datenschutzrecht nur für personenbezogene Daten gilt.
In der Stellungnahme 4/2007 (WP 136 vom 20. Juni 2007)
äußert sich die Artikel-29-Gruppe umfassend zum Begriff
der personenbezogenen Daten. Eine Erläuterung dieses
Begriffs war notwendig geworden, da es immer wieder
Auslegungsschwierigkeiten insbesondere bei der Wirtschaft hinsichtlich dieses zentralen Begriffs der europäischen Datenschutzrichtlinie 95/46/EG gegeben hatte. Die
Stellungnahme soll deshalb eine einheitliche Auslegung
der Richtlinie bewirken und damit zur Rechtssicherheit
beitragen (s. Kasten zu Nr. 13.2.4).
Die Abgrenzungsschwierigkeiten personenbezogener von
anonymen Daten werden angesichts der rasanten technologischen Entwicklung immer bedeutsamer. Während in
der frühen Phase der elektronischen Datenverarbeitung
überwiegend gezielt Daten erhoben und verarbeitet wurden und sich der Personenbezug aus dem Verwendungskontext ergab, entstehen heute vielfältige Daten beiläufig,
etwa bei der Erbringung digitaler Telekommunikationsdienste oder bei der Abwicklung elektronischer Zahlungen. Auch bei der Inanspruchnahme des Internets hinter-
Drucksache 16/12600
lassen die Nutzer umfangreiche Datenspuren sowohl bei
den Netzbetreibern als auch bei den Diensteanbietern.
Selbst wenn diese Daten nicht erhoben werden, um die
Nutzer persönlich zu identifizieren, entstehen auf diese
Weise umfangreiche Datensammlungen, die letztlich auf
die Betroffenen zurückgeführt werden können und vielfältige Rückschlüsse auf ihre Interessen, Kommunikationsbeziehungen und soziodemographischen Eigenschaften ermöglichen.
K a s t e n zu Nr. 13.2.4
Der Begriff der „personenbezogenen Daten“ in der
Richtlinie 95/46/EG
Die Richtlinie 95/46/EG definiert in Artikel 2 lit. a den
Begriff der „personenbezogenen Daten“ weit und versteht hierunter „alle Informationen über eine bestimmte
oder bestimmbare natürliche Person“. Die Artikel-29Gruppe konzentriert sich in ihrer Analyse auf die vier
Hauptbausteine der Definition und untermauert diese
durch Beispiele aus der Anwendungspraxis europäischer Datenschutzbehörden. Im Folgenden sollen die
zentralen Auslegungskriterien dieser Definition erläutert werden:
„alle Informationen“: Einbezogen sind Informationen
unabhängig von ihrer Art, Inhalt und Form. Es gibt insbesondere keine belanglosen oder freien Daten, welche
grundsätzlich nicht unter das Datenschutzrecht fallen.
„über“: Die Informationen müssen sich in irgendeiner
Form auf die Person beziehen lassen. Der Bezug kann
über den Inhalt (Informationen werden über eine bestimmte Person gegeben), über den Verwendungszweck
(Daten werden verwendet, um eine Person zu beurteilen, in einer bestimmten Weise zu behandeln oder ihre
Stellung oder ihr Verhalten zu beeinflussen) oder über
das Ergebnis der Verarbeitung (die Verwendung der Daten hat Auswirkungen auf die Person) hergestellt werden.
„bestimmte oder bestimmbare“: Neben einem direkten
Personenbezug ist es auch möglich, dass sich Daten indirekt auf Personen beziehen lassen. Selbst wenn der
verantwortlichen Stelle die Identität einer Person nicht
bekannt ist, kann es sich also um personenbezogene
Daten handeln, insbesondere wenn Dritte die Informationen auf eine Person beziehen können. Zweifelsfälle
entstehen insbesondere bei der Verwendung pseudonymisierter Daten. Entscheidend ist, dass die Daten bei
realistischer Betrachtung unter Einbeziehung des Aufwandes und des Interesses der Person zugeordnet
werden können.
„natürliche Personen“: Im Sinne der europäischen
Datenschutzrichtlinie ist ein Personenbezug nur bei natürlichen Personen (Menschen) möglich; juristische Personen (Körperschaften, z. B. Vereine, Aktiengesellschaften, öffentliche Stellen) werden nicht einbezogen.
Ebenso wenig umfasst sind Daten über verstorbene Personen oder ungeborene Kinder.
BfDI 22. Tätigkeitsbericht 2007-2008