A. Gesetzeswortlaut von Art. 4 DSGVO

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

11.„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;

14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

16. „Hauptniederlassung“

a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;

21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;

22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil

a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,

b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann

oder

c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;

23. „grenzüberschreitende Verarbeitung“ entweder

a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;

25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates;

26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

B. Inhaltsverzeichnis
Klicken Sie im Inhaltsverzeichnis auf die Überschriften, um direkt zu den jeweiligen Abschnitten zu gelangen!

I.  Europarecht / Historie

II.  Allgemeines

III. Einzelne Begriffbestimmungen

1. Personenbezogene Daten
2. Verarbeitung
3. Einschränkung der Verarbeitung
4. Profiling
5. Pseudonymisierung
6. Dateisystem
7. Verantwortlicher
8. Auftragsverarbeiter
9. Empfänger
10. Dritter
11. Einwilligung
12. Verletzung des Schutzes personenbezogener Daten
13. Genetische Daten
14. Biometrische Daten
15. Gesundheitsdaten
16. Hauptniederlassung
17. Vertreter
18. Unternehmen
19. Unternehmensgruppe
20. Verbindliche interne Datenschutzvorschriften
21. Aufsichtsbehörde
22. Betroffene Aufsichtsbehörde
23. Grenzüberschreitende Verarbeitung
24. Maßgeblicher und begründeter Einspruch
25. Dienst der Informationsgesellschaft
26. Internationale Organisation

C. Literatur

I.   Europarecht / Historie

II.  Allgemeines

Art.4 DSGVO enthält sechsundzwanzig gesetzliche Definitionen (sog. „Legaldefinitionen“) für die Datenschutzgrundverordnung.

1. Begriffskatalog

Dieser Begriffskatalog ist weder vollständig, noch ist er als abschließend zu verstehen (Schild in: BeckOK Datenschutzrecht, Wolff/Brink, 22. Edition [Stand: 01.11.2017], Art. 4, Rn. 1-2), Beispielsweise finden sich in Art. 9 DSGVO Erläuterungen zu der Formulierung „besondere Kategorien personenbezogener Daten“, die in Art. 4 DSGVO nicht abgebildet sind. Die gewählten Definitionen stimmen auch nicht durchgängig mit der Umgangssprache oder IT-Fachsprache überein (Paal/Pauly, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 1).

2. Verhältnis zu Begriffskatalogen anderer Gesetze und Richtlinien

Der Begriffskatalog in Art. 4 DSGVO ist nicht deckungsgleich mit Art. 2 DSRL („Begriffsbestimmungen“, Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (hier). Letzterer weist mit lediglich acht Begriffsdefinitionen einen deutlich kleineren Definitionsbereich auf, wobei auch die Definitionen in den beiden Artikeln dem reinen Gesetzeswortlaut nach, trotz identischer Begrifflichkeiten als Ausgangspunkt, nicht deckungsgleich sind. Dies ist bei Heranziehung entsprechender älterer Kommentierung zu berücksichtigen. Kühling/Klar (in: Kühling/Buchner, DS-GVO, 1. Auflage [2017], Art. 4 Rn. 2) halten die Änderungen in der Rechtsanwendung von DSGVO, DSRL und BDSG teilweise für marginal. Zitat: „Auch soweit die DS-GVO nunmehr die Begriffe „identifiziert“ und „identifizierbar“ sowie die Formulierung „Informationen, die sich […] beziehen“ verwendet, statt wie die DSRL und das BDSG von „bestimmt“ und „bestimmbar“ sowie von „Informationen über“ bzw. „Einzelangaben über“ zu sprechen, ändert sich hierdurch an der Reichweite der Personenbezugs nichts. Dasselbe gilt mit Blick auf den Umstand, dass es nunmehr nicht mehr auf die zusätzlichen Merkmale („Einzelangabe“, „persönliche oder sachliche Verhältnisse“) ankommt, die noch das BDSG in dessen § 3 Abs. 1 gefordert hatte.“

Der Begriffskatalog in Art. 4 DSGVO ist ebensowenig deckungsgleich mit der nationalen Gesetzesvorschrift § 3 BDSG a.F. Begrifflichkeiten aus § 3 BDSG a.F., wie „Mobile Speicher- und Verarbeitungsmedien“ (§ 3 Abs. 10) und  „Beschäftigte“ (§ 3 Abs. 11 BDSG), werden in Art. 4 DSGVO nicht erwähnt, da diese Formulierungen und Wörter in der DSGVO keine Rolle spielen. Auch § 3 BDSG a.F. weist mit lediglich elf bzw. achtzehn Begriffsdefinitionen einen kleineren Definitionsbereich als Art. 4 DSGVO auf, wobei die in § 3 Abs. 1 bis 11 BDSG a.F. aufgeführten Definitionen in Unterabteilungen durch weitere Erläuterungen zusätzlich Legaldefinitionen enthalten, vgl. zum Beispiel § 3 Abs. 4 Nr. 1 bis Nr. 5 BDSG a.F. Einige Definitionen des § 3 BDSG a.F. finden sich in der DSGVO nicht mehr wieder, z.B. „Mobile personenbezogene Speicher- und Verarbeitungsmedien“ (§ 3 Abs. 10 BDSG a.F.) oder „Beschäftigte“ (§ 3 Abs. 11 BDSG a.F.). Umgekehrt wird der Begriff „Verarbeitung“ durch Art. 4 DSGVO derart weit gefasst, dass die in § 3 Abs. 3 bis Abs. 4 BDSG a.F. enthaltenen Formen der Verarbeitung von personenbezogener Daten (Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen) im neuen Definitionskatalog des BDSG n.F. entfallen sind. Dies dürfte auch für die Definition des Begriffs „Nutzen“ (§ 3 Abs. 5 BDSG a.F.) gelten, welcher nunmehr von dem Begriff der „Verwendung“ in Art. 4 DSGVO erfasst sein dürfte (im Ergebnis ebenso Gola in: DS-GVO, 1. Auflage [2017], Art. 4 Rn. 1-2). Allgemein gilt, dass im Zeitpunkt der ersten Anwendbarkeit der DSGVO in nationalen Kodifikationen noch vorzufindende Legaldefinitionen ungültig werden, und zwar selbst dann, wenn sie gleichlautend sind. Die DSGVO sieht zwar zahlreichen Gestaltungsmöglichkeiten auf nationaler Ebene vor (Art. 6 Abs. 2 DSGVO), allerdings nicht für Neubestimmung von in Art. 4 DSGVO vorhandenen Legaldefinitionen. Für ein Recht der EU-Mitgliedsstaaten auf Gestaltung „zusätzlicher Begriffsbestimmungen für die Anwendung der Präzisierung von Vorschriften …, die sich aber nicht mit denen des Art. 4 überschneiden dürfen“ plädieren
Kühling/Martini (Die DSGVO und das nationale Recht, 1. Auflage [2016], S. 308 f.) sowie Klabunde (Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 3).

Die DSGVO berührt nicht die eigenständigen Begriffsbestimmungen der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (hier; so auch Klabunde in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 4).

Ebensowenig hat die DSGVO Einfluss auf die Verordnung (EG) Nr. 45/2001 des europäischen Parlaments und des Rates vom 18.12.2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (Klabunde in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 4).

Art. 94 Abs. 1 DSGVO bestimmt ein Außerkrafttreten der EU-Richtlinie 2002/58/EG des europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, hier) und ersetzt deren Begriffsbestimmungen durch diejenigen in Art. 4 DSGVO (vgl. Art. 94 Abs. 1 DSGVO: „Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung“, so auch Klabunde in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 4).

III. Einzelne Begriffsbestimmungen

1. Personenbezogene Daten

Die Datenschutzgrundverordnung gelangt nur dann zur Anwendung, wenn die Verarbeitung von „personenbezogenen Daten“ betroffen ist (sachlicher Anwendungsbereich). Art. 4 Nr. 1 DSGVO ist damit eine zentrale Regelung der Datenschutzgrundverordnung insgesamt.

a. Direkt identifizierte Person

Die erforderliche Personenbezogenheit des Datums ist gegeben, sobald es eine Information über eine bereits identifizierte, konkret benannte natürliche Person enthält („direkt identifiziert“, vgl. auch Gola in: DS-GVO, 1. Auflage [2017], Art. 4 Rn. 3).

b. Indirekt identifizierbare Person

Die Personenbezogenheit ist auch dann noch gegeben, wenn die Person zwar noch nicht identifiziert ist, sie aus der mosaikartigen Zusammensetzung von Einzelinformationen aber konkret bestimmt werden kann („indirekt identifizierbar“).

aa. Bestimmbarkeit durch datenerhebende Stelle oder Dritte

Zur Beantwortung der Frage, ob eine Person indirekt identifzierbar ist, ist vorab zu klären, wem diese Identifizierbarkeit möglich sein muss, damit ein Personenbezug zu bejahen ist: Demjenigen, der die Daten als verantwortliche Stelle unmittelbar erhebt (relativer Personenbezug) oder auch jedem Dritten, dem eine Zuordnung technisch und rechtlich möglich ist (absoluter Personenbezug). Diese Frage ist umstritten.

(1) Gerichte

Der BGH (BGH, Beschluss vom 28.10.2014, Az. VI ZR 135/13) hat die vorstehende Frage dem EuGH vorgelegt und erkennen lassen, dass er den relevativen Personenbezug für maßgeblich hält. Der EuGH hat in einer Einzelentscheidung (EuGH, Urteil vom 24.11.2011, Az. C-468/10) wohl den absoluten Personenbezug ausreichen lassen. In dieser Entscheidung ging es allerdings auch um einen Access-Provider, für den die IP-Adressen, die er Nutzern zuteilt, auch einen relativen Personenbezug besitzen. Ohne Relevanz für den Meinungsstreit ist die frühere Entscheidung BGH, Urteil vom 12.05.2010, Az. I ZR 121/08 – Sommer unseres Lebens, da der 1. Senat lediglich verkündete, IP-Adressen nicht als Verkehrsdaten anzusehen, ohne aber zu der Frage des relativen oder absoluten Personenbezugs Stellung zu nehmen.

Das AG Berlin-Mitte (AG Berlin-Mitte, Urteil vom 27.03.2007, Az. 5 C 314/06) und das VG Wiesbaden (VG Wiesbaden, Beschluss vom 27.02.2009, Az. 6 K 1045/08.WI) sind der Ansicht, dass ein absoluter Personenbezug zu Grunde zu legen ist.

Für einen relativen Personenbezug argumentieren dagegen das OLG München (OLG München, Beschluss vom 04.07.2011, Az. 6 W 496/11), das OLG Hamburg (OLG Hamburg, Beschluss vom 03.11.2010, Az. 5 W 126/10), das LG Wuppertal (LG Wuppertal, Beschluss vom 19.10.2010, Az. 25 Qs 10 Js 1977/08-177/10), das LG Frankenthal (LG Frankenthal, Beschluss vom 21.05.2008, Az. 6 O 156/08), das AG München (AG München, Urteil vom 30.09.2008, Az. 133 C 5677/08), das AG Bamberg (AG Bamberg, Urteil vom 01.03.2012, Az. 101 C 1912/11) und das VG Düsseldorf (VG Düsseldorf, Urteil vom 21.06.2011, Az. 27 K 6586/08).

Unklar schwankt das LG Berlin (LG Berlin, Urteil vom 31.01.2013, Az. 57 S 87/08) zwischen dem relativen Personenbezug und der Möglichkeit des Empfängers, die Daten an Dritte zu übermitteln (objektiver Personenbezug). Wohl dem objektiven Personenbezug zuneigend das KG Berlin (KG Berlin, Beschluss vom 29.04.2011, Az. 5 W 88/11 – Facebook Like-Button).

(2) Behörden

Die Artikel 29-Datenschutzgruppe (Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 136, S. 18 ff.; Artikel-29-Datenschutzgruppe Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen, WP 148, S. 9.) hat sich zu diesem Aspekt bislang nicht eindeutig positioniert. IP-Adressen werden als personenbezogene Daten gewertet, da im Zweifel eine Identifizierung mit HIlfe von Dritten (z.B. Access Provider) möglich wäre (Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 136, S. 19; Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 150, S. 6). Dies soll aber nicht für IP-Adressen von Internetcafés darstellen, welche die Inanspruchnahme des Internetzugangs nicht von einer Identifizierung der Nutzer abhängig machten (Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 136, S. 20). Bei anderen Daten als IP-Adressen soll der relative Personenbezug maßgeblich sein (vgl. (Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 136, S. 22 ff.).

Das Bundesministerium der Justiz (BMJ) hat keine explizite Stellung genommen; das Schreiben an die Landesjustizverwaltungen aus dem Jahre 2009 (BMJ, Schreiben vom 02.02.2009, RB3 zu 4104/8 – 1 – R5 39/2008) ist insoweit unergiebig.

Ähnlich beschränkt aufschlussreich zeigt sich eine Stellungnahme der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich („Düsseldorfer Kreis“; Beschluss vom 26./27.11.2009, hier).

(3) Literatur

In der Literatur geht die wohl herrschende Meinung von einem relativen Personenbezug aus. Personenbezogen sind nach dieser Meinung ausschließlich solche Daten, die von der speichernden Stelle mit den ihr üblicherweise zur Verfügung stehenden Mitteln ohne außerordentliche Mühe auf eine konkret identifizierbare Person zurückgeführt werden können (Gola/Schomerus, BDSG, 12. Auflage [2015], § 3, Rn. 10; Plath/Schreiber, in: Plath, BDSG, 2. Auflage [2016], § 3, Rn. 15; Hullen/Roggenkamp, in: Plath, BDSG 2. Auflage [2016], § 12 TMG, Rn. 8; Bergmann/Möhrle/Herb, Datenschutzrecht, Stand: 47. EL [2014], § 3, Rn. 16; Schmitz, in: Gierschmann/Saeugling, Datenschutzrecht, 1. Auflage [2014], § 3, Rn. 25; Härting, Internetrecht, 5. Auflage [2014], Rn. 192; Härting, CR 2008, S. 743, Härting, ITRB 2009, S. 37; Meyerdierks, MMR 2009, S. 8; Roßnagel/Scholz, MMR 2000, S. 723; Kühling/Klar, NJW 2013, S. 3615; Meyer, WRP 2002, S. 1030; Höfinger, MMR 2008, S. 635; Krüger/Maucher, MMR 2011, S. 436; Voigt, MMR 2009, S. 379; Voigt/Alich, NJW 2011, S. 3542; Köcher, MMR 2007, S. 801; Polenz, in: Kilian/Heussen (Hrsg.), Computerrecht, Stand: 32. EL [2013], 1. Abschn. Teil 13 Rn. 68; Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Auflage [2015], § 11 TMG, Rn. 8; Schmitz, in: Hoeren/Sieber/Holznagel, Multimedia-Recht, Stand: 40. EL [2014], Teil 16.2 Rn. 103; Redeker, IT-Recht, 5. Auflage [2012], Rn. 935; Barnitzke, DuD 2010, S. 483, Brink/Eckhardt, ZD 2015, S.205; Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Auflage [2011], S. 81 f.; Eckhardt, K&R 2007, S. 602; Eckhardt, CR 2011, S. 342; Tinnefeld, in: Roßnagel, Hdb. Datenschutzrecht, Kap. 4.1 Rn. 22; Kirchberg-Lennartz/Weber, DuD 2010, S. 480; Moos, K&R 2008, S. 139; Moos, CR 2003, CR 2003 S. 387; Gerlach, CR 2013, S. 481; Seiler, jurisPR-BKR 2/2015 Anm. 1).

Hierzu werden auch mehr oder midner abweichende Meinungen formuliert: So wird einerseits relativiert, dass von einem Personenbezug der Daten auszugehen sei, wenn die verantwortliche Stelle die erhobenen Daten an eine Stelle übermittle, die in der Lage sei, den Personenbezug herzustellen (Gola/Schomerus, BDSG, 12. Auflage [Jahr], § 3, Rn. 10, 44a; Kühling/Klar, NJW 2013, S. 3615; Krüger/Maucher, MMR 2011, S. 437; Eckhardt, K&R 2007, S. 602; differenzierend: Dammann in: Simitis, BDSG, 8. Auflage [2014], § 3, Rn. 196; Eßer in: Auernhammer, BDSG, 4. Auflage [2014], § 3, Rn. 19; Specht/Müller-Riemenschneider, ZD 2014, S. 71). Forgó/Krügel vertreten völlig abweichend den Ansatz vom objektiven Personenbezug, unter Ausnahme von sog. „geschlossenen Netzwerken“ (Forgó/Krügel, MMR 2010, S. 17, 18); im Ergebnis auch Lutz (DuD 2012, S. 587).

(4) DSGVO

Die Frage, ob ein relativer oder absoluter Personenbezug maßgeblich ist, wird durch die DSGVO nicht eindeutig beantwortet.

Nach Erwägungsgrund 26 müssen bei der Beurteilung der Frage der Identifizierbarkeit „alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“ Allerdings schränkt auch Erwägungsgrund 26 dahingehend ein, dass die Nutzung der Mittel durch die andere Person „wahrscheinlich“ ist. In der Literatur wird für eine solche Wahrscheinlichkeit vorausgesetzt, dass der Dritte vom Verantwortlichen Zugriff auf die Daten erhält, z.B. durch Übermittlung des Verantwortlichen (Lutz, DuD 2012, S. 584). Insoweit hängt alles von dem Verhalten des Verantwortlichen ab, was für einen relativen Personenbezug spricht.

bb. Zur Gruppe an kombinierbaren Bestimmungsfaktoren („Kennung“) gehören nach dem ausdrücklichen Wortlaut von Art. 4 Nr. 1 DSGVO insbesondere der Name, eine Kennnummer, Standortdaten, eine Online-Kennung oder physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale.

In der Rechtsliteratur finden sich als erläuternde Beispiele das Arbeitszeiterfassungsformular (EuGH, Urteil vom 30.05.2013, Az. C-342/12), das Kfz-Kennzeichen, über welches mit Hilfe des Kraftfahrt-Bundesamtes auf den Halter, eine konkrete natürliche Person, geschlossen werden kann (vgl. Buschbaum/Rosak, ZD 2015, 354 ff., 355; Kühling/Klar in: Kühling/Buchner, DS-GVO, 1. Auflage [2017], Art. 4 Rn. 30). Gleiches gilt für die Telefonnummer, mit deren Hilfe auf den Anrufer geschlossen werden kann (Gola in: DS-GVO, 1. Auflage [2017], Art. 4 Rn. 4). Auch Grundbuchdaten sind personenbezogen, wenn etwa ein Müllentsorgungsunternehmen anhand dieser Daten die Verpflichtung einer konkreten natürlichen Person zur Zahlung von Entsorgungskosten feststellen kann (ThürLfDI, TB für den nicht öffentl. Bereich (2014/2015), Ziff. 5.8). Ferner sind Standortdaten, auch RFID-Codes und Bewegungsprofile, wie sie den Angaben eines Fahrtenschreibers zu entnehmen sind, als personenbezogene Angaben einzustufen (Mantz, K&R 2013, S. 7). Schild (in: BeckOK Datenschutzrecht, Wolff/Brink, 22. Edition [Stand: 01.11.2017], Art. 4, Rn. 210), wohl aufbauend auf der Veröffentlichung Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 136, S. 20, dort „Schäden durch Grafitti“, hier) ist mit der Artikel-29-Datenschutzgruppe der Ansicht, dass auch Graffiti-Tags personenbeziehbare Daten darstellen. Es handele sich um eine „Unterschrift“, „also das persönliche Kennzeichen des Sprayers bei einem Graffiti“. Zitat: „Durch das Sammeln der Tags und damit verbundener Begleitumstände, sowie der Bilder der durch Graffiti geschädigten Gegenstände, kann langfristig die Möglichkeit bestehen, den Verursacher doch zu ermitteln. Die grundsätzliche Bestimmbarkeit ist auch gegeben, wenn vielleicht der Schadensverursacher niemals gefunden wird.“ Die Personenbezogenheit bejaht Gola auch in Hinblick auf das sog. Scoring. Dabei handelt es sich zwar nur um Daten, die nach einer bestimmten statistisch-mathematischen Berechnungsweise mit einer gewissen Wahrscheinlichkeit auf eine bestimmte Person zutreffen. Das Ergebnis weist allerdings einen derart hohen Erfolgsprozentsatz aus, dass z.B. diesen Scoring-Wert als Kreditvergabegrund heranziehen (Gola in: DS-GVO, 1. Auflage [2017], Art. 4 Rn. 6). Zu den personenbezogenen Daten zählen auch Gesundheitsdaten, Fingerabdrücke, Röntgenbilder (in Zusammenhang mit seltenem Vornamen: Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten”, WP 136, S. 18, dort „Beispiel 12“, hier), Tastenanschlag oder Sprechweise (Gola in: DS-GVO, 1. Auflage [2017], Art. 4 Rn. 6). Fotografien von einer Person sind personenbezogene Daten, und zwar selbst dann, wenn es sich um mehrere Einzelfotos handelt, auf denen zwar noch keine identifizierte Person zu erkennen ist, die aber, z.B. jeweils mit unterschiedlichen Perspektiven, miteinander kombiniert werden können und damit die Identitätsermittlung der konkreten Person ermöglichen (Paal/Pauly, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 12).

Unter einer Online-Kennung ist insbesondere die (statische oder dynamische) IP-Adresse zu verstehen (LG Berlin, Urteil vom 06.09.2007, Az. 23 S 3/07; AG Offenburg, Beschluss vom 20.07.2007, Az. Gs 442/07; AG Berlin-Mitte, Urteil vom 27.03.2007, Az. 5 C 314/06; EuGH, Urteil vom 19.04.2012, Az. C-461/10; EuGH, Beschluss vom 08.06.2012, Az. C-600/11; Schild in: BeckOK Datenschutzrecht, Wolff/Brink, 22. Edition (Stand: 01.11.2017), Art. 4, Rn. 19; aA OLG Hamburg, Beschluss vom 03.11.2010, Az. 5 W 126/10; AG München, Schlussurteil vom 30.09.2008, Az. 133 C 5677/08; s. auch Vorlage-Beschl. BGH, Beschluss vom 28.10.2014, Az. VI ZR 135/13, der auf die Kenntnis der verantwortlichen Stelle zum Zwecke der Verknüpfung abstellt; nach dieser Meinung wären auch KfZ-Kennzeichen keine personenbeziehbaren Daten und die Antwort des EuGH, Urteil vom 19.10.2016, Az. C-582/14). Bei der dynamischen IP-Adresse reicht es aus, wenn die konkrete Person unter Mitwirkung des zuständigen Providers ermittelt werden kann bzw. der Internetdienstleister die dynamische IP-Adresse der betreffenden Person bei Aufruf seiner Website speichert und über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen (EuGH, Urteil vom 19.10.2016, Az. C-582/14 – Breyer; dem nun folgend BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13). Eine Personenbeziehbarkeit über eine „Online-Kennung“ ist auch bei sog. Cookies anzunehmen. Hierzu führt Erwägungsgrund 30 der DSGVO aus: „Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.“ Gleiches gilt für sog. Tracking-Daten von Analysetools wie Google Analytics. Auch hier ist in Verbindung mit weiteren Informationen eine Identifizierbarkeit einer konkreten Person möglich (Stellungnahme der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich („Düsseldorfer Kreis“; Beschluss vom 26./27.11.2009, hier; Paal/Pauly, Datenschutz-Grundverordnung, 1. Auflage [2017], Art. 4, Rn. 11).

c. Anonyme Daten

Die DSGVO ist bei anonymen Daten nicht anwendbar. Aus Erwägungsgrund 26 der DGSVO ergibt sich (Unterstreichungen durch den Verfasser):

„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“

Ob eine natürliche Person nicht mehr identifizierbar und das Datum damit anonym ist, bestimmt sich ebenfalls nach dem Erwägungsgrund 26:

„Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“

Eine Anonymisierung ist nicht anzunehmen, wenn das nicht anonyimisierte Original des Datenbestandes in Form eines Datenbackups o.ä. erhalten bleibt (Klabunde in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage 2017, Art. 4, Rn. 16).

Klar/Kühling (Kühling/Buchner, DS-GVO, 1. Auflage 2017, Art. 4 Rn. 33) gehen davon aus, dass der Gesetzgeber über Erwägungsgrund 26 indirekt technische Vorgaben zur Anonymisierung mache. Zitat: „Die Verordnung macht keine technischen Vorgaben dazu, welche Anforderungen an eine Anonymisierung zu stellen sind. EG 26 bestimmt jedoch, dass im Rahmen der Feststellung der Identifizierbarkeit einer Person die zum Zeitpunkt der Verarbeitung jeweils verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Daraus folgt, dass eingesetzte Anonymisierungsverfahren zumindest dem aktuellen Stand der Technik entsprechen müssen.“ Diese Herleitung deckt sich nicht mit dem Wortlaut von Erwägungsgrund 26, der den Zusatz „zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen“ lediglich in Bezug auf Mittel, die nach allgemeinem Ermessen zur „Identifizierung“ (also nicht Anonymisierung) der natürlichen Person genutzt werden verstanden wissen will.

Mit den technischen Notwendigkeiten einer datenschutzrechtskonformen Anonymisierung befasst sich die Artikel-29-Datenschutzgruppe Stellungnahme 4/2007 5/2014 zu Anonymisierungstechniken, WP 216, S. 13 ff. (hier).

Bergt, Die Bestimmbarkeit als Grundproblem des Datenschutzrechts. Überblick über den Theorienstreit und Lösungsvorschlag,
ZD 2015, 365

Brinck/Eckhardt, Was ist ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts
ZD 2015, 293

Brinkert/Stolze/Heidrich, Der Tod und das soziale Netzwerk
ZD 2013, 153

Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO
DuD 2016, 155

Buschbaum/Rosak, Kfz-Kennzeichenerfassung in Parkhäusern,
ZD 2015, 354

Dammann, Erfolge und Defizite der EU-Datenschutzgrundverordnung,
ZD 2016, 307

Eckhardt, Anmerkung zu Urteil des LG Berlin vom 06.09.2007, 23 S 3/07,
K&R 2007, S. 602

Eckhardt, IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer,
CR 2011, S. 339

Brink/Eckhardt, Wann ist ein Datum ein personenbezogenes Datum? – Anwendungsbereich des Datenschutzrechts
ZD 2015, 205

Forgó/Krügel, Der Personenbezug von Geodaten – Cui bono, wenn alles bestimmbar ist?
MMR 2010, 17

Faust/Spittka/Wybitul, Milliardenbußgelder nach der DS-GVO
ZD 2016, 120

Franck, Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO)
RDV 2016, 111

Gerlach, Personenbezug von IP-Adressen, Praktische Konsequenzen aus dem Urteil des LG Berlin vom 31.1.2013,
CR 2013, 478

Härting, Datenschutz im Internet – Wo bleibt der Personenbezug?, 
CR 2008, 743

Härting, Schutz von IP-Adressen – Praxisfolgen der BVerfG – Rechtsprechung zur Onlinedurchsuchung und Vorratsdatenspeicherung, ITRB 2009, 35

Härting, Auftragsverarbeitung nach der DSGVO
ITRB 2016, 137

Heinemann/Heinemann, Postmortaler Datenschutz
DuD 2013, 242

Herzog, Der digitale Nachlass – ein bisher kaum gesehenes und missverstandenes Problem,
NJW 2013, 3745

Höfinger, Anmerkung zum Urteil des AG Wuppertal vom 03.04. 2007, Az.: 22 Ds 70 Js 6906/06 (Strafbarkeit des „Schwarz-Surfens“)
MMR 2008, 632

Karg, Anonymität, Pseudonyme und Personenbezug revisited?,
DuD 2015, 520

Kirchberg-Lennartz/Weber, Ist die IP-Adresse ein personenbezogenes Datum?
DuD 2010, 479

Köcher, Anmerkung zum Urteil des LG Berlin vom 06.09.2007 (23 S 3/07 (AG Mitte),
MMR 2007, S. 799

Kartheuser/Schmitt, Der Niederlassungsbegriff und seine praktischen Auswirkungen,
ZD 2016, 155

Klabunde, Datenschutz bei der Erfassung und Nutzung von Standortdaten,
Datenschutz-Nachrichten, 2014, S. 98–102;

Krohm, Abschied von der Schriftform der Einwilligung,
ZD 2016, 368

Krohm/Müller-Peltzer, (Fehlende) Privilegierung der Auftragsverarbeitung unter der DS-GVO?,
RDV 2016, 307

Krüger/Maucher, Krüger, Maucher: Ist die IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis
MMR 2011, 433

Kühling/Klar, Unsicherheitsfaktor Datenschutzrecht – Das Beispiel des Personenbezugs und der Anonymität,
NJW 2013, 3611

Kugelmann, Datenfinanzierte Internetangebote,
DuD 2016, 566

Lauber/Rönsberg, Internetveröffentlichungen und Medienprivileg,
ZD 2014, 177

Leeb, Bekannt verstorben – Rechtsfragen des Umgangs mit social-media-daten Verstorbener,
K&R 2014, 693

Lutz, Identifizierung von Urheberrechtsverletzern
Zulässigkeit der Ermittlung von IP-Adressen durch Anti-Piracy Firmen
DuD 2012, S. 587

Mantz, Verwertung von Standortdaten und Bewegungsprofilen durch Telekommunikationsanbieter,
K&R 2013, 7

Marnau, Anonymisierung, Pseudonymisierung und Transparenz für Big Data,
DuD 2016, 428

Martini, Der digitale Nachlass und die Herausforderungen digitalen Persönlichkeitsschutzes im Internet,
JZ 2012, 1145

Meyer, Cookies & Co – Datenschutz und Wettbewerbsrecht
WRP 2002, 1028

Meyerdierks, Sind IP-Adressen personenbezogene Daten
MMR 2009, 8

Monreal, Der für die Verarbeitung Verantwortliche,
ZD 2014, 611

Moos, Die Entwicklung des Datenschutzrechts im Jahr 2007,
K&R 2008, 137

Moos, CR 2003, Dürfen Access-Provider IP-Nummern speichern?, Analyse und Kritik der T-Online-Entscheidung der hessischen Datenschutz-Aufsichtsbehörde,
CR 2003, 385

Nink/Pohle, Die Bestimmbarkeit des Personenbezugs. Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze,
MMR 2015, 563

Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität,
MMR 2000, 721

Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht,
NJW 2016, 1841

Schierbaum, Datenschutz im Betriebsratsbüro – verantwortlich ist allein der Betriebsrat,
CuA 4/2013, 31

Schmitz/v. Dall’Armi, Auftragsdatenverarbeitung in der DS-GVO – das Ende der Privilegierung?,
ZD 2016, 427

Schütze/Spyra, DS-GVO: Was ändert sich im Gesundheitswesen?,
RDV 2016, 285

Specht/Müller-Riemenschneider, Dynamische IP-Adressen: Personenbezogene Daten für den Webseitenbetreiber? – Aktueller Stand der Diskussion um den Personenbezug,
ZD 2014, 71

Spelge, Der Beschäftigtendatenschutz nach Wirksamwerden der DS-GVO,
DuD 2016, 775

Taeger, Scoring in Deutschland nach der EU-Datenschutzgrundverordnung,
ZRP 2016, 72

Voigt, Datenschutz bei Google,
MMR 2009, 377

Voigt/Alich, Facebook-Like- Button und Co. – Datenschutzrechtliche Verantwortlichkeit der Webseitenbetreiber,
NJW 2011, 3541

Wendler/Günther, Europäischer Gerichtshof: Anwendungsbereich des nationalen Datenschutzrechts in Europa,
PinG 2016, 115