Jusletter IT

Sind Geoinformationen (Einzel-)Angaben über eine Person?

  • Authors: Nikolaus Forgó / Tina Krügel
  • Category: Short Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2009
  • Citation: Nikolaus Forgó / Tina Krügel, Sind Geoinformationen (Einzel-)Angaben über eine Person?, in: Jusletter IT 1 September 2010
Sind Satellitenbilder oder Außenansichten von Häusern personenbezogene Daten? Diese und vergleichbare Fragen beschäftigen zurzeit nicht nur die Geoinformationsbranche, sondern, spätestens seit dem Angebot Google StreetView, auch die juristische und allgemeine Öffentlichkeit in ganz Europa. Dabei geht es um die fundamentale und prinzipielle Entscheidung, wann solche Daten dem Datenschutzrecht unterfallen und wann nicht.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Bestimmbarkeit
  • 3. Das vernachlässigte Merkmal «Einzelangabe»
  • 4. Fazit
  • 5. Literatur

1.

Einleitung ^

[1]

Ob es um Navigationssysteme geht, um Internetdienste, die es ermöglichen, den Aufenthaltsort von Freunden über deren Mobiltelefon zu bestimmen, um georeferenziertes Scoring oder um Angebote wie Google StreetView. Geoinformationsdienste sind mittlerweile allgegenwärtig und so verwundert es nicht, dass mehr und mehr auch juristische zumeist datenschutz- und urheberrechtliche Fragen rund um die Verwendung von Geodaten ins Blickfeld geraten. Gerade im Datenschutz ist die Verwendung von Geodaten in jüngster Zeit – europaweit – heiß diskutiert worden, wobei die Standpunkte trotz deutlicher Gemeinsamkeiten an einigen wichtigen Punkten divergieren.1 Der vorliegende Beitrag versucht, schwerpunktmäßig vor dem Hintergrund deutschen Datenschutzrechts, eine prinzipielle Diskussion der Thematik und schlägt einen neuen Lösungsansatz vor, der sich eng an Wortlaut und Telos der gesetzlichen, letztlich der europäischen Datenschutzrichtlinie entstammenden Definition des personenbezogenen Datums orientiert.

2.

Bestimmbarkeit ^

[2]

Einigkeit besteht zunächst darin, dass Geodaten einen Personenbezug aufweisen können und zum Teil auch geeignet sind, den Betroffenen erheblich zu beeinträchtigen. Unzweifelhaft müssen in diesen Fällen die Datenschutzgesetze Anwendung finden. Wo genau allerdings die Grenze verläuft, bei deren Überschreiten aus einem bloßen Sachgeodatum ein personenbezogenes Geodatum wird, ist umstritten und auch schwierig zu bestimmen.

[3]

Ob ein Datum Personenbezug aufweist, wurde und wird vor allem an dem Merkmal der Bestimmbarkeit festgemacht. Dies zieht die Grenze zwischen personenbezogenem Datum und Sachdatum dort, wo die Daten nicht mehr mit einer bestimmten Person verknüpft werden können oder jedenfalls der hierfür erforderliche Aufwand unverhältnismäßig wäre.

[4]

Unabhängig davon, dass bereits die Frage, wann eine Person bestimmt oder bestimmbar ist, eine Vielzahl von weiteren Fragen aufwirft, wird gerade im Bereich von Geodaten offenbar, dass sich Geodaten, nachdem sie sich gerade durch ihre raumbezogene Referenzinformation auszeichnen, so gut wie immer über diese Referenzinformation mit einer Adresse und diese wiederum mit Personen verknüpfen lassen. Grundsätzlich lassen sich daher alle Geodaten – unabhängig von ihrem Auflösungsgrad! – auf bestimmbare Personen beziehen. Dies führt jedoch dazu, dass das Merkmal «Bestimmbarkeit» angesichts stetig steigender Datenbestände und Rechnerkapazitäten bei objektiver oder vermittelnder Sichtweise zunehmend weniger als Ab- und Eingrenzungskriterium des datenschutzrechtlichen Anwendungsbereiches geeignet ist.

[5]

Die Frage, ob ein personenbezogenes Datum vorliegt oder nicht, darf mithin nicht mehr auf die Frage, ob eine Person bestimmbar ist, reduziert werden.

[6]

Wie aber könnte eine handhabbare Abgrenzung unter der momentanen Rechtslage aussehen? Ausgangspunkt muss die Definition des personenbezogenen Datums sein. Auf europäischer Ebene heißt es hierzu in Art. 2 a) der Datenschutzrichtlinie 95/46/EG «personenbezogene Daten» [seien] alle Informationen über eine bestimmte oder bestimmbare natürliche Person («betroffene Person»)». Die Definition beschränkt sich mithin nicht nur auf das Merkmal der bestimmten oder bestimmbaren Person, sondern lässt sich in mindestens drei Merkmale, nämlich (1) Informationen, (2) über und (3) eine bestimmte oder bestimmbare natürlichen Person unterteilen, die kumulativ vorliegen müssen, um den Anwendungsbereich des Datenschutzrechts zu eröffnen. Sehr ähnlich erfolgten die Umsetzungen in Österreich und Deutschland. Nach § 4 Nr. 1 DSG 2000 sind personenbezogene Daten «(1) Angaben (2) über Betroffene deren Identität (3) bestimmt oder bestimmbar ist»2 und in § 3 Abs. 1 des deutschen Datenschutzgesetzes (BDSG) heißt es, personenbezogene Daten seien (1) Einzelangaben (2) über persönliche oder sachliche Verhältnisse (3) einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Auch diesen Definitionen lassen sich mithin mindestens drei Merkmale entnehmen.

[7]

Nachdem das Merkmal der Bestimmbarkeit bei der Abgrenzung zwischen Sachdatum und personenbezogenem Datum also zunehmend weniger hilfreich wird, ist es sinnvoll, die anderen, in der Definition des Personenbezuges enthaltenen, Merkmale auf ihre Abgrenzungsfähigkeit zum Sachdatum zu prüfen. Dabei scheint ein genauerer Blick auf das Merkmal «(Einzel-) Angabe» bzw. «Information» lohnend.

3.

Das vernachlässigte Merkmal «Einzelangabe» ^

[8]

Soweit ersichtlich, gibt es in Deutschland keine einheitliche Definition des Merkmals «Einzelangaben». Sie werden als «Informationen, die sich auf eine bestimmte – einzelne – natürliche Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen»,3 beschrieben, mit dem Terminus «personenbezogene Daten» insgesamt gleichgesetzt4 oder als Informationen (Daten), die einen wie auch immer gearteten Aussagegehalt zu einer Person haben,5 definiert. Gemeinsam ist all diesen Definitionen, dass sie die unterschiedlichen Merkmale der Definition «personenbezogener Daten» nicht Schritt für Schritt und unabhängig voneinander prüfen, sondern vermengen,6 bzw. Einzelangaben sogar in einem Zirkelschuss als personenbezogene Daten definieren. Diese Definitionen führen daher nicht viel weiter.

[9]

Einigkeit besteht insoweit, als zusammengefasste, d.h. aggregierte Information, sogenannte Sammeldaten, jedenfalls keine Einzelangaben im Sinne des Gesetzes sein sollen.7 Von wie vielen Personen die Daten zusammengefasst werden müssen, um zu einem Sammeldatum zu werden, ist allerdings auch unklar. Meinungen gibt es hierzu viele, in Bezug auf Geodaten wird vertreten, bei Daten von mindestens zehn8 Grundstücken sei in der Regel von einer hinreichend Anonymität herstellenden Aggregierung auszugehen. Im Hinblick auf Orthofotos wird vertreten, dass ab einer Pixelgröße von 40 cm oder einer Kartendarstellung in einem Maßstab von 1:10.000 und gröber keine schutzwürdigen Belange von Betroffenen mehr verletzt werden, wenn nicht besondere Umstände hinzu kämen.9 Doch scheint die Abgrenzungen nach Grundstückszahl, Pixelgröße oder Kartenmaßstab letztlich willkürlich. Jedenfalls ist nicht klar, wieso die Grenze gerade bei zehn Grundstücken, einer Pixelgröße von 40 cm oder einem Kartenmaßstab von 1:10.000 liegen soll.

[10]

Weiter führt da ein Vorschlag, der eine Abgrenzung zwischen Information einerseits und Gegenständen und Prozessen der Außenwelt andererseits vornimmt.10 Informationen (und damit «Angaben») könnten danach entweder Gegenstand einer Mitteilung sein und der Vermittlung von Kenntnissen an den Empfänger dienen oder sie würden aufbewahrt und so dem Verfügbarhalten von Kenntnissen dienen. Gegenstände und Prozesse der Außenwelt seien hingegen zunächst keine «Angaben».11 In Abgrenzung zum Sachdatum wird weiter ausgeführt, Informationen über die Lage, den Grundriss und die Ausstattung einer Wohnung würden sich zunächst einmal auf die Sache «Grundstück» beziehen und seien damit Sachdaten.12 Sachdaten seien aber gerade keine personenbezogenen Daten. Ebenso führt die Art. 29 Datenschutzgruppe in einer Stellungnahme aus dem Jahre 2007 im Hinblick auf das Merkmal «alle Informationen» aus, Informationen schließe alle Arten von Aussagen über eine Person ein. Der Begriff «personenbezogene Daten» umfasse Informationen, die das Privat- und Familienleben der Person im strengen Sinn berühren, aber auch Informationen über alle Arten von Aktivitäten der Person, etwa im Zusammenhang mit Arbeitsbeziehungen oder ihrem ökonomischen oder sozialen Verhalten. Er umfasse folglich Informationen über Personen unabhängig von ihrer Position oder Funktion (als Verbraucher, Patient, Mitarbeiter, Kunde usw.).13

[11]

Auch diesen Ausführungen ist zu entnehmen, dass Anknüpfungspunkt der Betroffene sein soll. Beide Beschreibungen berücksichtigen dabei richtigerweise den Telos des Datenschutzrechts, welches an den Betroffenen und den grundrechtlich geforderten Schutzseiner Daten anknüpft.

[12]

Unzweifelhaft zählen zu solchen Angaben also auch Aussagen, die über eine Person gemacht werden, ohne deren Namen zu nennen. «Die 40-jährige Sekretärin der hannoverschen Niederlassung der XY-AG wohnt in der Hauptstraße 7», ist daher eine Einzelangabe und zwar auch dann, wenn die betroffene Person gar nicht bestimmbar ist, da es z.B. drei Sekretärinnen bei der XY-AG in Hannover gibt, die 40 Jahre alt sind. Keine Einzelangaben liegen dagegen vor, wenn es sich ohne Nennung einer oder mehrerer Personen ausschließlich um Geodaten handelt. «Das Haus in der Hauptstraße 7 in Hannover hat einen großen Garten», enthält Informationen zu einem Haus und eben keine Einzelangaben zu einer Person.

[13]

Das Merkmal «Einzelangabe» in der Definition des personenbezogenen Datums beinhaltet damit neben der Abgrenzung zum Sammeldatum die entscheidende Abgrenzung zum sachbezogenen Datum. Der entscheidende Unterschied von Personendaten zu den hier zu untersuchenden Geodaten liegt in dem Umstand, dass diese Daten per se reine Sachdaten sind und auch nie personenbezogen waren. Wollte man nun aber einem Sachdatum allein deshalb von Anfang an Personenbezug zuordnen, weil es gegebenenfalls möglich ist, dass diesem Datum eine Person zugeordnet wird, obwohl es sich bis dahin um ein reines Sachdatum gehandelt hat, zäumt man das Pferd von hinten auf. Denn wie bereits ausgeführt, ist es faktisch zunehmend möglich, so gut wie jedem Gegenstand auch eine bestimmte oder bestimmbare Person zuzuordnen, nur ist dies nicht Schutzzweck des Datenschutzes. Dies will nämlich den Betroffenen vor der Beeinträchtigung seiner Persönlichkeitsrechte schützen, die durch den «Umgang» anderer mit seinen personenbezogenen Daten drohen.14 Anknüpfungspunkt ist folglich der Betroffene und eben nicht ein Gegenstand.

[14]

Trotzdem können sachbezogene Geodaten natürlich zu Einzelangaben werden. Dies ist offensichtlich immer dann der Fall, wenn sie tatsächlich zusammen mit einer Person verarbeitet werden, etwa in einer Bonitätsdatei. Zudem sollen nach hier vertretener Ansicht Geoinformationen als Einzelangaben i.S.d. Datenschutzrechts bewertet werden, wenn die verarbeitende Stelle diese Geodaten gerade erhebt oder verarbeitet, um sie – später - mit natürlichen Personen zu verknüpfen, wenn die Daten also gerade zum Zwecke der Verknüpfung gesammelt, aber noch nicht verknüpft worden sind. Rechtlicher Anknüpfungspunkt dieser Überlegung ist die Semantik des Begriffs «Einzelangabe». Legt der Begriff ein aktives Tun nahe, ist Ausgangspunkt hierfür immer auch eine entsprechende Intention der verarbeitenden Stelle15 , gerichtet auf das Sammeln von Informationen über eine Person. Diese Intention liegt aber bereits vor, wenn Geoinformationen eben zu dem Zweck gesammelt werden, sie sodann zu verknüpfen.16 Das Gefährdungspotential ist daher bereits vor der intendierten Verknüpfung gegeben. In diesem Fall muss der Schutzzweck des Gesetzes daher eröffnet sein, denn die Qualität der Daten soll sich gerade von reinen Sachdaten hin zu personenbezogenen Daten ändern.

[15]

Im Hinblick auf Geodaten ist eine diese Überlegungen einbeziehende Definition des Merkmals «Einzelangabe» daher die folgende:

Geoinformationen sind Einzelangaben, wenn sie einer Person - bestimmbar oder nicht - zugeordnet werden, sowie dann, wenn sie (auch zusammengefasst) von der datenverarbeitenden Stelle dazu bestimmt sind, einer Person zugeordnet zu werden.

 

Keine Einzelangaben im Sinne des Gesetzes sind dagegen Geoinformationen über Gegenstände, soweit sie unabhängig von einer Person verarbeitet werden, denn in diesen Fällen handelt es sich um reine Sachdaten, die dem (Schutzzweck des) Datenschutzrechts nicht unterliegen. Dies muss selbst dann gelten, wenn sie sich auf eine Person beziehen ließen.

4.

Fazit ^

[16]

Auch wenn die Definition des personenbezogenen Datums angesichts der technischen Entwicklung zunehmend an Trennschärfe verliert, lässt sich, unter Einbeziehung des Merkmales «Einzelangabe» eine für die Geoinformationsbranche dringend benötigte und zudem datenschutzrechtlich sinnvolle Abgrenzung zum Sachdatum finden.

[17]

Von der Reduzierung der Definition des personenbezogenen Datums auf die Frage der Bestimmbarkeit muss Abstand genommen werden. Bevor also das Vorliegen eines persönlichen oder sachlichen Verhältnisses geprüft und die Frage der Bestimmbarkeit aufgeworfen wird, ist in einem ersten Schritt immer zu prüfen, ob es sich bei den jeweiligen Geodaten um Einzelangaben zu einer Person handelt, ob also die Geodaten einer Person - bestimmbar oder nicht - zugeordnet sind, oder ob sie von der datenverarbeitenden Stelle gerade dazu bestimmt sind, einer Person zugeordnet zu werden.

[18]

Hierdurch ließe sich eine uferlose Ausweitung des datenschutzrechtlichen Anwendungsbereichs verhindern, die letztlich zu einer Verwässerung und damit zu einer Schwächung des Datenschutzes führen würde und daher dringend erforderlich ist.

5.

Literatur ^

Art. 29 Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff «personenbezogene Daten», http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/
wp136_de.pdf aufgerufen 01.02.2010 (2007)
Bergmann, Lutz; Möhrle, Roland; Herb, Armin, Datenschutzrecht (Loseblattsammlung), Boorberg Verlag, Stuttgart.
Caspar, Johannes, Gutachten zu Rechtsfragen betreffend den Internet-Dienst Google StreetView, http://www.landtag.ltsh.de/infothek/wahl16/umdrucke/3900/um
druck-16-3924.pdf, aufgerufen 01.02.2010 (2009)
Erbs, Georg; Kohlhaas, Max, Strafrechtliche Nebengesetze (Loseblatt-Ausgabe), Beck Verlag, München
Ernst, Werner; Zinkahn, Willy; Bielenberg, Walter; Krautzberger, Michael, Baugesetzbuch (Loseblatt-Kommentar), Beck Verlag, München
 Forgó, Nikolaus; Krügel, Tina; Reiners, Nico, Forschungs- und Entwicklungsauftrag zum Thema Geoinformation und Datenschutz «GEODAT», http://www.iri.uni-hannover.de/tl_files/pdf/Gutachten%20GEODAT.pdf, aufgerufen 01.02.2010 (2009)
Gola, Peter; Schomerus, Rudolf, Bundesdatenschutzgesetz, 9. Aufl., Beck Verlag, München, 2007
Hoeren, Thomas; Sieber, Ulrich, Handbuch Multimedia-Recht (Loseblatt-Ausgabe), Beck Verlag, München
KargMoritz, Datenschutzrechtliche Rahmenbedingungen für die Bereitstellung von Geodaten für die Wirtschaft, «Ampelstudie», http://www.geobusiness.org/Geobusiness/Redaktion/PDF/
Publikationen/ampelstudie-datenschutzrechtliche-rahmenbedingungen-bereitstellung-geodaten-lang,property=pdf,bereich=geobusiness,sprache=de,rwb=true.pdf, aufgerufen 01.02.2010 (2008)
Schaffland, Hans-Jürgen; Wiltfang, Noeme, Bundesdatenschutzrecht (Loseblattsammlung), Erich Schmidt Verlag, Berlin
Weichert, Thilo, Datenschutzrechtliche Bewertung des Projektes «Google StreetView», https://www.datenschutzzentrum.de/geodaten/20080930-googlestreetview-bewertung.htm, aufgerufen 01.02.2010 (2008)
Weichert, Thilo , Geodaten – datenschutzrechtliche Erfahrungen, Erwartungen und Empfehlungen, In DuD 2009, 347 – 352 (2009)
Wulffen, Matthias von, SGB X, 6. Aufl., Beck Verlag, München 2008

Nikolaus Forgó, Co-Leiter des Instituts für Rechtsinformatik, Tina Krügel, wissenschaftliche Mitarbeiterin
Institut für Rechtsinformatik der Leibniz Universität Hannover,
Königsworther Platz 1, 30167 Hannover, Deutschland
forgo@iri.uni-hannover.dekruegel@iri.uni-hannover.deiri.uni-hannover.de

  1. 1 Karg, Datenschutzrechtliche Rahmenbedingungen für die Bereitstellung von Geodaten für die Wirtschaft, «Ampelstudie», http://www.geobusiness.org/Geobusiness/Redaktion/PDF/Publikationen/ampelstudie-datenschutzrechtliche-rahmenbedingungen-bereitstellung-geodaten-lang,property=pdf,bereich=geobusiness,sprache=de,rwb=true.pdf; Weichert, DuD 2009, 351; Gutachten des Instituts für Rechtsinformatik der Universität Hannover, GEODAT, http://www.iri.uni-hannover.de/tl_files/pdf/Gutachten%20GEODAT.pdf und speziell zu dem Geoinformationsdienst Google StreetView etwa: Gutachten des Wissenschaftlichen Dienstes des Schleswig-Holsteiner Landtages, http://www.landtag.ltsh.de/infothek/wahl16/umdrucke/3900/umdruck-16-3924.pdf und ebenfalls Gutachten des ULD zu Google StreetView, https://www.datenschutzzentrum.de/geodaten/20080930-googlestreetview-bewertung.htm.
  2. 2 Freilich ist Österreich mit der Einführung einer weiteren Kategorie, den indirekt personenbezogenen Daten (vgl. § 4 Nr. 1 2. HS DSG 2000), einen im europäischen Vergleich datenschutzrechtlichen Sonderweg gegangen, der aber nicht Gegenstand der vorliegenden Betrachtung sein soll.
  3. 3 Gola/Schomerus, BDSG, 9. Aufl. 2007, § 3 Rdnr. 3.
  4. 4 Bergmann/Möhrle/Herb, Datenschutzrecht, § 3 BDSG, Rdnr. 20.
  5. 5 Schaffland/Wiltfang, BDSG, 5001 § 3 Rdnr. 4. Wobei diese Definition, im Gegensatz zu den anderen, schon die Bestimmbarkeit unberücksichtigt lässt, leider aber trotzdem noch die Merkmale «Einzelangabe» und «sachliches Verhältnis» vermengt.
  6. 6 So auch der Wissenschaftlichen Dienstes des Schleswig-Holsteiner Landtages (o. Fußn. 1), S. 9 ff. und ebenfalls ULD (o. Fußn. 1).
  7. 7 Weichert, DuD 2009, S. 351; Kleiber, in Ernst/Zinkahn/Bielenberg/Krautzberger, BauGB, § 195 Rdnr. 37; Bieresborn, in von Wulffen, SGB X, 6. Aufl. 2008, § 67 Rdnr. 5; Schmittmann, in Hoeren/Sieber, Handbuch Multimedia-Recht, Teil 9, Rdnr. 106; Amps, in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, § 3 Rdnr. 3.
  8. 8 Weichert, DuD 2009, 351; Karg (o. Fußn. 1), S. 23.
  9. 9 Weichert, ebenda.
  10. 10 Dammann, in Simitis. BDSG, 6. Aufl. 2006, § 3 Rdnr. 5.
  11. 11 Dammann, ebenda.
  12. 12 Ebenda, Rdnr. 58.
  13. 13 Art. 29 Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff «personenbezogene Daten», S. 7, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_de.pdf).
  14. 14 Gola/Schomerus (o. Fußn. 3), § 1 Rdnr. 3.
  15. 15 Allerdings auch nur der verarbeitenden Stelle! Von der Definition nicht mehr gedeckt, ist daher selbstverständlich eine Zurechnung der Intentionen Dritter. Mit anderen Worten, wenn die verarbeitende Stelle selbst keine Zuordnung intendiert, verarbeitet sie bereits keine Einzelangaben und damit keine personenbezogenen Daten und zwar selbst dann, wenn sie weiß oder es sogar ihr Geschäftsmodel vorsieht, dass diese Sachdaten etwa von potentielle Kunden mit Personen verknüpft werden. Personenbezogen sind die Daten dann erst bei dem jeweiligen Kunden, die die Verknüpfung plant. Jede andere Interpretation würde dazu führen, dass auch die Erhebung von statistischen Angaben bereits dem Datenschutzrecht unterfallen müsste, weil es selbstverständlich auch hier Geschäftszweck ist, diese Daten - zum Zwecke der Verknüpfung - zu veräußern.
  16. 16 Das sieht offensichtlich auch der deutsche Gesetzgeber so, denn dieser Intentionsgedanke wird sich ab 1.4.2010 – allerdings in anderem Zusammenhang – auch im Gesetz in § 34 Abs. 3 Satz 2 Nr.1 BDSG wiederfinden.