Open Data und Datenschutz. Oft ein nicht ganz simples Thema. Auf der einen Seite sollen bei öffentlichen Stellen vorhandene Informationen allgemein verfügbar und für eine Weiterverwendung nutzbar gemacht werden. Auf der anderen Seite steht das Grundrecht auf den Schutz personenbezogener Daten von Personen, deren Daten betroffen sind.
Grundsätzlich: Personenbezug
Solange es sich bei den von öffentlichen Stellen herausgegebenen Daten um solche Informationen handelt, die nicht auf eine natürliche Person beziehbar sind, spielt das Datenschutzrecht keine Rolle. Denn dann ist sein Anwendungsbereich nicht eröffnet.
Bereits auf dieser Stufe stellt sich jedoch ein Problem: die Auslegung des Begriffs „personenbezogenes Datum“. Gerade Aufsichtsbehörden verstehen diesen, ihrem gesetzlichen Auftrag entsprechend, recht weit und fassen bekanntermaßen z.B. IP- oder MAC-Adressen hierunter. Es kommt nicht darauf an, ob allein jene Stelle, bei der die Daten liegen, einen Personenbezug herstellen kann, sondern es ist auch die Möglichkeit für Dritte, einen Personenbezug herzustellen, zu prüfen, zumindest soweit damit vernünftigerweise gerechnet werden kann.
Werden personenbezogene Daten (z.B. in Dokumenten) etwa durch eine Behörde veröffentlicht oder an eine anfragende Person herausgegeben, so liegt eine rechtfertigungsbedürftige Datenverarbeitung vor.
Nachfolgend möchte ich schlaglichtartig auf die Frage eingehen, welche Vorgaben die in Zukunft in Europa geltende Datenschutz-Grundverordnung (DS-GVO) in dem Bereich Open Data bzw. bei dem Zugang zu Dokumenten bei öffentlichen Stellen aufstellt.
Allein Art. 80a DS-GVO befasst sich recht knapp mit der Datenverarbeitung im Rahmen des öffentlichen Zugangs zu amtlichen bzw. behördlichen Dokumenten.
Wichtig ist zunächst, dass die DS-GVO und damit auch ihr Art. 80a allein dann anwendbar ist, wenn es sich bei den in Rede stehenden Daten um solche mit Personenbezug handelt. Daher ein kurzer Seitenblick auf die Definition in Art. 4 Abs. 1 DS-GVO.
Danach ist ein personenbezogenes Datum jede Information, die sich auf eine bestimmte oder auch nur bestimmbare natürliche Person bezieht. Bei dieser bestimmbaren Person handelt es sich um eine solche, die direkt oder indirekt, insbesondere durch bestimmte Zuordnungsmerkmale, bestimmt werden kann. Grundsätzlich ist der Begriff, betrachtet man zudem die Erwägungsgründe, wohl weit auszulegen. Erwägungsgrund 23 macht klar, dass auch solche Daten hierunter fallen, die pseudonymisiert wurden, wenn die Bestimmbarkeit der Person durch den Einsatz zusätzlicher Informationen hergestellt werden kann. Zudem wird dort bestimmt, dass bei der Prüfung des Personenbezugs alle Mittel berücksichtigt werden sollen, deren Einsatz zumindest wahrscheinlich erscheint.
Noch ein Hinweis: nach Erwägungsgrund 23aa gilt die DS-GVO nicht für verstorbene Personen. Jedoch sind die EU-Mitgliedstaaten frei, diesbezüglich abweichende Regelungen zu erlassen.
Art. 80a DS-GVO bestimmt, dass nationale Behörden und öffentliche Stellen amtliche Dokumente, in denen sich personenbezogene Daten befinden, in Übereinstimmung mit den auf die jeweilige Stelle anwendbaren nationalen oder europäischen Regelungen herausgeben und veröffentlichen dürfen, um einen Ausgleich zwischen dem Anspruch auf Zugang zu amtlichen Dokumenten und dem Recht auf Schutz personenbezogener Daten nach der DS-GVO zu schaffen.
Art. 80a DS-GVO ist in der Tat ein einziger Satz und daher schwer verständlich. Nachfolgend folgt der Versuch einer Einschätzung:
Personenbezogene Daten dürfen auch in Zukunft öffentlich zugänglich gemacht werden. Dies muss jedoch zum einen in Übereinstimmung mit den geltenden nationalen Regelungen der Mitgliedstaaten geschehen.
Hier fragt man sich, ob damit auch die Erlaubnistatbestände für eine Weitergabe personenbezogener Daten im nationalen Datenschutzrecht gemeint sind. Dagegen könnte jedoch sprechen, dass die DS-GVO als Verordnung nationalen Vorschriften vorgehen wird. Zumindest soweit keine Öffnungsklauseln in der DS-GVO geschaffen wurde. Inwieweit es sich bei Art. 80a DS-GVO um eine solche Öffnungsklausel handelt, ist ebenfalls nicht ganz klar. Zwar wird davon ausgegangen, dass weiterhin nationales Recht existiert, welches den Zugang und die Veröffentlichung von amtlichen Dokumenten regelt. Jedoch wird nicht ausdrücklich darauf verwiesen, dass die Mitgliedstaaten eigene Regelungen zur Datenverarbeitung in diesem Bereich treffen können. Im Zweifel muss man wohl davon ausgehen, dass die Erlaubnistatbestände der DS-GVO (Art. 6) zu beachten sind und sich, ergänzend hierzu, weitere Anforderungen aus jedem nationalen Recht, dann freilich auch jeweils abweichend voneinander, ergeben können.
Daneben verweist Art. 80a DS-GVO jedoch nicht nur darauf, dass die Veröffentlichung von Daten in Übereinstimmung den nationalen Vorgaben erfolgen muss, sondern dass diese wiederum das Recht auf Zugang zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten entsprechend der DS-GVO in Einklang bringen müssen. Dabei scheint sich der Verweis auf die Übereinstimmung mit den Vorgaben der DS-GVO auf die nationalen Gesetze zu beziehen. Das nationale Recht muss sich also wohl an den Vorgaben der DS-GVO messen lassen.
Erwägungsgrund 121
Erwägungsgrund 121 versucht den Inhalt des Art. 80a DS-GVO etwas konkreter zu umschreiben. Grundsätzlich müsse das Prinzip des Zugangs zu amtlichen Dokumenten im Anwendungsbereich der DS-GVO berücksichtigt werden. Zudem wird ausdrücklich darauf verwiese, dass es sich bei dem Zugang zu bzw. Veröffentlichung von amtlichen Dokumenten um ein „öffentlichen Interesse“ handeln kann. Dieser Verweis scheint darauf hinzudeuten, dass in der Tat die Erlaubnistatbestände des Art. 6 DS-GVO anzuwenden sind, hier insbesondere der Art. 6 (e) DS-GVO, nach dem eine Datenverarbeitung zulässig ist, wenn sie zur Erfüllung eines öffentlichen Interesses erforderlich ist.
Erwägungsgrund 121 spricht auf noch die europäische Richtlinie zur Weiterverwendung von Informationen des öffentlichen Sektors (RL 2003/98/EG, sog. PSI-Richtlinie) an. Diese ist weiterhin anwendbar, hat jedoch keinen Einfluss auf die unter der DS-GVO geschaffenen Rechte und Pflichten hinsichtlich des Schutzes personenbezogener Daten. Diese gelten also unabhängig von der Richtlinie. Daneben schreibt Erwägungsgrund 121 vor, dass die PSI-Richtlinie nicht auf Daten anwendbar ist, die durch die Vorgaben des Datenschutzrechts vor einer Weiterverwendung geschützt sind. Hier scheint der Verordnungsgeber klar machen zu wollen, dass die DS-GVO (denn diese regelt ja den Bereich des Datenschutzrechts) der PSI-Richtlinie vorgeht. Insgesamt ist jedoch leider auch Erwägungsgrund 121 nur schwer verständlich.
Es lässt sich daher nach dieser kurzen Analyse festhalten, dass nationale Regelungen, die den Zugang zu amtlichen Dokumenten und deren Veröffentlichung regeln, weiter anwendbar sind. Diese müssen sich jedoch datenschutzrechtlich an den Anforderungen der DS-GVO, insbesondere was die Zulässigkeit der Verarbeitung angeht, messen lassen.
Hinweis: Die stiftung neue verantwortung hat zu dem Thema „Privacy & Open Data“ ein Projekt ins Leben gerufen und möchte in diesem Rahmen konkrete Empfehlungen entwickeln.
Vielen Dank für die informative Analyse!
Marginale Randnotiz: Legt man die konsolidierte Textfassung nach Abschluss der Verhandlungen vom 15.12.2015 zugrunde, handelt es sich bei dem besprochenen Erwägungsgrund um (121a), nicht um (121).
Beste Grüße!