Wann fallen Geodaten unter den Schutz der neuen EU-Datenschutzgrundverordnung? Diese Fragestellung ist zentral für alle Branchen, die Geodaten einsetzen, vor allem in den B2C-Bereichen. Zu einem eindeutigen Ergebnis kommt dabei Rechtsanwalt Björn Schmidt von der Kanzlei Schmidt & Partner.
Seit nunmehr zwei Jahren beschäftigt die am 25. Mai 2016 in Kraft getretene und genau zwei Jahre später wirksam gewordene EU-Datenschutzgrundverordnung (DSGVO) Unternehmen in ganz Europa. Gerade im Bereich von Datenbanken, die Informationen über Verbraucher und Kunden enthalten, wurden Schutzmaßnahmen verstärkt. Trotzdem gibt es noch einige Unklarheiten rund um die DSGVO. So auch bei Anwendungen von Geodaten, die auf Konsumenten oder andere Einzelpersonen zielen.
Die zentralen Fragen, die sich hier stellen, lauten: Fallen auch Geodaten unter den Schutz der DSGVO? Und wenn ja, wann? Sind sie reine Sachdaten oder haben sie auch per se einen Personenbezug?
Rechtsanwalt Björn Schmidt von der Kanzlei Schmidt & Partner findet darauf eine klare Antwort: Alle Daten – also auch Geodaten – sind dann vom Schutzbereich der Datenschutzgesetze umfasst, wenn ein Bezug zu einer natürlichen Person hergestellt werden kann. „Dabei bezeichnet der Ausdruck ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, sagt Schmidt mit Verweis auf die DSGVO Art. 4 Nr.1.
Relativer oder absoluter Personenbezug?
Obwohl sich diese Definition in der Theorie simpel anhört, existieren in der Praxis erhebliche Abrenzungsschwierigkeiten: So gab es – und gibt es nach wie vor – unter Experten Streit darüber, ob lediglich eine relative oder aber eine absolute Bestimmbarkeit vorliegen muss, um einen Personenbezug herstellen zu können. „Dabei kommt es darauf an, ob lediglich ein Unternehmen, das Daten speichert, durch diese Daten eine natürliche Person mithilfe eigener Mittel identifizieren kann, denn dann liegt ein relativ bestimmbarer Personenbezug vor. Oder ob es schon ausreichend ist, wenn irgendein Dritter dazu in der Lage ist, also ein absolut bestimmbarer Personenbezug vorherrscht“, so Schmidt. Das wäre zum Beispiel schon der Fall, wenn man einem Straßennamen nebst Hausnummer die Daten des Einwohnermeldeamtes zusätzlich zugrunde legt. Und dies unabhängig davon, ob ein legaler Zugang zu diesen Daten gegeben ist.
Bisher wurde über diese Unterscheidung leidenschaftlich und ergebnisoffen diskutiert. Die DSGVO ist als Unionsrecht jedoch autonom, d.h. aus sich selbst heraus, auszulegen.
Über die Person und
die Expertise der Kanzlei
Björn Schmidt, geboren 1975, studierte von 1996 bis 2001 Rechtswissenschaften an der Universität Konstanz, danach Referendariat am Landgericht Ellwangen. Seit 2003 ist er als Rechtsanwalt am Landgericht Stuttgart zugelassen. Von 2003 bis 2008 angestellter Rechtsanwalt bei Sozietät Gärtner Stüber Baumann, anschließend bis 2015 Partner bei Gärtner Baumann Rechtsanwälte. Gründung der auf Datenschutzrecht spezialisierten Kanzlei Schmidt und Partner Rechtsanwälte Partmbd. Zu den Mandanten gehören namhafte Unternehmen aus dem Geomarketing. Foto: Schmidt und Partner Rechtsanwälte
Damit sind die bisher zum alten Bundesdatenschutzgesetz vorgenommenen Auslegungen nicht mehr übertragbar. Vielmehr hat sich die Auslegung an den vom EuGH hierzu entwickelten Methoden zu orientieren. Danach stellt die DSGVO sowohl nach einer systematischen wie auch teleologischen Auslegung lediglich auf einen relativen Personenbezug ab. Daraus folgt, dass sich der Personenbezug in Bezug auf den jeweiligen Verarbeiter bestimmt. Damit können potenziell personenbezogene Daten bei dem einen Verarbeiter im Anwendungsbereich der DSGVO liegen, bei dem anderen nicht. Beispielweise bei der Nutzung von IP-Adressen. Ein absoluter Personenbezug liegt demnach dann vor, wenn „irgendein Dritter“ in der Lage ist, den Personenbezug herzustellen. Dies wäre grundsätzlich immer der Fall, denn ein Personenbezug ließe sich mit unverhältnismäßigem Aufwand und unter Einbezug von illegalen Methoden fast immer herstellen.
Würde man nun also die Frage, wann ein Personenbezug bei Geodaten gegeben ist, allein auf die absolute Bestimmbarkeit reduzieren, bräuchte man schlicht nicht mehr nach sach- und personenbezogenem Datum zu unterscheiden. Genau diese Abgrenzung hat der Gesetzgeber jedoch mit der DSGVO auch weiterhin vorgenommen.
Geodaten: Wann sind sie nur Sachdaten und wann haben sie auch einen Personenbezug?
Besitzen Geodaten einen relativen Personenbezug, sollte eine natürliche Person identifizierbar sein, wobei dazu alle Mittel berücksichtigt werden, die „nach allgemeinem Ermessen wahrscheinlich genutzt werden können“, so Schmidt. Ob dies der Fall ist, sollte anhand objektiver Faktoren, etwa Kosten oder Zeitaufwand, belegt werden. Ob Geodaten also reine Sachdaten sind oder dieser Personenbezug nach Ermessung des Aufwands vorliegt, ist eine ebenso strittige Frage.
Denn bei Geodaten besteht das Problem, dass ein Personenbezug zu einer georeferenzierten Ortsangabe oder Adresse meist ohne großen Aufwand und für jedermann zugänglich über das Internet hergestellt werden kann – etwa über Google Street View. Diesen Fall – den relativen Fall des Personenbezugs bei Geodaten – nennt Schmidt Doppelbezug. Ob die Geodaten mit diesem Doppelbezug als personenbezogene Daten eingestuft werden, hängt, so der Rechtsanwalt, entscheidend vom jeweiligen Verarbeitungszusammenhang ab.
Somit fallen Geodaten, die eine Sache identifizieren, nur dann in den Schutzbereich der DSGVO, wenn sie auch eine Person-Sach-Beziehung charakterisieren. „Beschreiben die Daten aber eine Sache, zu der nur zufällig auch natürliche Personen in Beziehung stehen, zu denen die Verarbeitung der Sachdaten aber in keinerlei Zusammenhang steht, handelt es sich um Sachdaten“, so der Rechtsanwalt.
Ermessungsspielraum beim Geomarketing
Anwendungen im Bereich Geomarketing bilden die Schnittstelle zwischen raumbezogenen Sachdaten und personenbezogenen Daten in besonderem Maße ab. Raumbezogene Sachverhalte wie Bebauung, Klima oder Topographie können naturgemäß in vielfältige Beziehung zu natürlichen Personen gesetzt werden. Heute sind Daten am Markt verfügbar, die sehr kleingliedrig sind und bis auf Hausebene detailliert und strukturiert sind. Solche kleingliedrigen statistischen Angaben – teilweise bis auf Hausebene heruntergebrochen – gibt es heute zu vielen Fragestellungen mit den dazugehörigen Informationen über Lebensstandard, Interessen oder Konsumverhalten. „Das heißt, ein Personenbezug in Form der Identifizierbarkeit einer natürlichen Person wäre ohne weiteres herstellbar“, so Schmidt.
ABER: Würde man alle Geodaten per se dem Personenbezug zuordnen, wäre grundsätzlich der Fall des absoluten Bezuges hergestellt. Man würde also grundsätzlich jenseits des Ermessensspielraums davon ausgehen, dass der Personenbezug ohne großen Geld- oder Zeitaufwand recherchierbar wäre. „Dies würde die vom Gesetzgeber angegebene Unterscheidung ad absurdum führen“, so Schmidt.
Freilich dürfen auch solche Geodaten nicht in einem Anwendungsfall mit direktem Personenbezug verarbeitet werden. Dies wäre in etwa der Fall, wenn soziodemographische Daten den Wohnort betreffen, bei der Bonitätsprüfung einer Kreditvergabe automatisiert herangezogen werden. Sofern aber kein bewusster personenbezogener Verarbeitungszusammenhang besteht, fallen Geodaten nicht unter die DSGVO. Dazu hat die neue Gesetzesfassung lediglich für mehr Klarheit als bisher gesorgt.