Was versteht die Datenschutz-Grundverordnung eigentlich unter „personenbezogenen Daten“?
Art. 4 Abs. 1 bzw. Abs. 2 DS-GVO definieren diesen, für die Anwendbarkeit des Datenschutzrechts so wichtigen Begriff. Dabei gehen alle drei Vorschläge der DS-GVO davon aus, dass es sich hierbei um Informationen handeln soll, die sich auf die sogenannte „betroffene Person“ beziehen.
Dies ist eine „bestimmte“ natürliche Person. Juristische Personen können sich also nicht auf den Schutz der DS-GVO berufen. Ausreichend ist jedoch auch, wenn diese natürliche Person „bestimmbar“ ist. Wann genau diese Bestimmbarkeit der betroffenen Person gegeben ist, da gehen die Vorschläge jedoch auseinander. So verlangt das Parlament etwa die Möglichkeit der direkten oder indirekten Identifizierung (!). Für den Rat und die Kommission ist ausreichend, dass die natürliche Person unter Zuhilfenahme und Zuordnung zu Kennnummern, Standortdaten oder einer Online-Kennung bestimmt werden kann. Die Voraussetzung der Identifizierung (Parlament) scheint jedoch dem Wortlaut nach höhere Anforderungen zu stellen.
Was sind Online-Kennungen? Nach Erwägungsgrund 24 (sowohl Kommission als auch Rat) handelt es sich dabei zum Beispiel um IP-Adressen oder Cookie-Kennungen. Jedoch stellen beide Versionen der Datenschutz-Grundverordnung im selben Erwägungsgrund klar, dass allein etwa die IP-Adresse (selbst wenn sie unter den Begriff der Online-Kennung fällt), für sich betrachtet noch kein personenbezogenes Datum darstellt. Zu diesem wird sie erst dann, wenn in Kombination/zusammen mit eindeutigen Kennungen betroffene Personen identifiziert (Achtung: Hier verweisen die Kommission und der Rat jeweils dann also doch auf die Voraussetzung der Identifizierung, die das Parlament in Art. 4 selbst verlangt) werden können.
Das Parlament schlägt zudem vor, in Art. 4 Abs. 2a DS-GVO den Begriff der „pseudonymisierten Daten“ zu definieren. Der Rat hingegen möchte in Art. 4 Abs. 3b DS-GVO die „Pseudonymisierung“, also den Vorgang selbst, definieren.
Etwas unklar scheinen die Entwürfe von Rat und Parlament mit Blick auf die Frage zu sein, ob denn „pseudonymisierte Daten“ auch personenbezogene Daten sind. Art. 4 Abs. 2a DSG-VO der Parlamentsversion etwa sieht vor: „“pseudonymisierte Daten“ personenbezogene Daten, die…“. Dem Wortlaut nach handelt es sich also um personenbezogene Daten. Ansonsten hätte man auch Formulierungen wie „Daten“ oder „Informationen“ wählen können. Art. 4 Abs. 3b DS-GVO der Ratsversion definiert die „Pseudonymiserung“ als „Verarbeitung personenbezogener Daten“. Dies ist nicht wirklich überraschend, denn es liegen personenbezogene Daten vor, die nun pseudonymisiert werden sollen. Die Frage ist eher, was für das Ergebnis der Pseudonymisierung gilt. Diesbezüglich scheint der Rat davon auszugehen, dass pseudonymisierte Daten keinen Personenbezug aufweisen. Denn das Ergebnis der Pseudonymisierung soll sein, „dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“.