Jusletter IT

Öffentlich gemachte Daten und Datenschutz

  • Author: Jakob Zanol
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2019
  • Citation: Jakob Zanol, Öffentlich gemachte Daten und Datenschutz, in: Jusletter IT 21. February 2019
Das Internet bietet unzählige Möglichkeiten der Selbstdarstellung sowie des Informationsaustausches. Die Nutzung der dabei veröffentlichten Daten ist in Forschung und Wirtschaft von großer Bedeutung. Auch die Verarbeitung von Informationen, die sich aus öffentlichen Handlungen ableiten lassen, kann im Einzelfall von großem Interesse sein. In diesem Beitrag soll der Schutzbereich veröffentlichter Daten näher betrachtet sowie dargestellt werden, warum auch öffentliche Daten nicht unbeschränkt verarbeitet werden dürfen, wenngleich dabei mitunter wesentliche Erleichterungen bestehen.

Inhaltsverzeichnis

  • 1. Einführung
  • 2. Der Öffentlichkeitsbegriff …
  • 2.1. … in der DSGVO
  • 2.2. … in der Judikatur des EuGH
  • 2.3. Zwischenfazit – Öffentlichkeitsbegriff
  • 3. Auswirkung der Öffentlichkeit auf das Datenschutzrecht
  • 3.1. «Offensichtlich öffentlich gemachte Daten» nach Art. 9 Abs. 2 lit. e DSGVO
  • 3.1.1. Art. 9 Abs. 2 lit. e DSGVO als eigener Erlaubnistatbestand
  • 3.1.2. Zulässigkeit der Nutzung von durch den Betroffenen öffentlich gemachten Daten
  • 3.2. Öffentlichkeit als Kriterium in der Interessenabwägung
  • 4. Fazit (und Plädoyer für einen einheitlichen Öffentlichkeitsbegriff)
  • 4.1. Keine unbeschränkte Verarbeitung öffentlicher Daten
  • 4.2. Kein Erfordernis eines kontextbezogenen Öffentlichkeitsbegriffs

1.

Einführung ^

[1]

Dieser Beitrag beschäftigt sich mit der rechtlichen Konsequenz der «Öffentlichkeit» im Datenschutzrecht, insbesondere im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO1). Bereits die Frage, was unter «Öffentlichkeit» und «öffentlich» zu verstehen ist, ist schwer zu beantworten.

[2]

Lingenberg2 fasst die etymologische Entwicklung des Begriffs der Öffentlichkeit wie folgt zusammen: «Etymologisch ist der Begriff «Öffentlichkeit» auf das Wort «öffentlich» zurückzuführen. Dieses ging im Althochdeutschen aus dem Wort «offen» hervor und wurde bis ins 16. Jahrhundert im Sinne von «offenbar» und «offensichtlich» verwendet. Im 17. Jahrhundert verschob sich die Bedeutung des Begriffs «öffentlich» dergestalt, dass er nun zusammen mit dem lateinischen Terminus «publicus» die Bedeutung «staatlich» annahm. Im Zuge der Aufklärung und der Entstehung bürgerlicher Gesellschaften im 18. Jahrhundert gab es dann eine weitere semantische Verschiebung, sodass «Öffentlichkeit» fortan nicht mehr das Staatliche, sondern die dem Staat gegenüber stehende beziehungsweise die dem staatlichen und privaten Bereich zwischengelagerte, für jedermann frei zugängliche kommunikative Sphäre bezeichnete.»

[3]

Diese Wandlung des Begriffsverständnisses spiegelt sich in der Verwendung dieses Begriffs in unterschiedlichem Kontext innerhalb des geltenden Datenschutzrechts wider. So findet sich in der DSGVO einerseits eine Berücksichtigung von «öffentlichen Interessen» bei der Beurteilung der Zulässigkeit der Verarbeitung von personenbezogenen Daten3, andererseits können personenbezogene Daten «öffentlich gemacht» werden, was dazu führt, dass die Zulässigkeit der Verarbeitung dieser Daten geringeren Anforderungen unterliegt.4 Im ersten Fall wird «Öffentlichkeit» in ihrer Bedeutung als «Kollektiv» (der Gesellschaft) verwendet, deren Interessen durch die Gesetze der Mitgliedstaaten geschützt werden dürfen und einen Eingriff in das Recht auf Datenschutz rechtfertigen können. Im zweiten Fall wird «öffentlich» in der Bedeutung als «der Allgemeinheit zugänglich» verwendet.5 Dieser Beitrag behandelt dieses zweite Begriffsverständnis sowie die damit verbundenen datenschutzrechtlichen Auswirkungen auf den Betroffenen, insbesondere mit Blick auf jene durch den Betroffenen (selbst) öffentlich gemachten Daten iSd Art. 9 Abs. 2 lit. e DSGVO.

2.

Der Öffentlichkeitsbegriff … ^

2.1.

… in der DSGVO ^

[4]

Der Begriff der Öffentlichkeit findet bereits innerhalb der DSGVO ganz unterschiedlich Anwendung. Aber auch die Übertragung von Informationen aus der privaten oder geheimen in die öffentliche Sphäre6 wird unterschiedlich formuliert. So können Berichte, Datenschutzfolgenabschätzungen und andere Informationen etwa «veröffentlicht»7, «öffentlich gemacht»8 oder «öffentlich bekanntgemacht»9 werden. Personenbezogene Daten sollen tunlichst nicht ohne dem Eingreifen der (betroffenen) Person «einer unbestimmten Zahl von natürlichen Personen zugänglich»10 werden. Demgegenüber wird in den Erwägungsgründen einleitend festgestellt, dass nunmehr zunehmend auch natürliche Personen Informationen «öffentlich weltweit zugänglich» machen.11 Als geeignetes Medium, die Öffentlichkeit zu erreichen wird die Webseite im Internet mehrmals exemplarisch angeführt.12

[5]

Bemerkenswert ist, dass die DSGVO unterschiedliche Qualitäten der Veröffentlichung vorauszusetzen scheint. Im Bereich der Zertifizierung13 hat der Ausschuss alle Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen in ein Register aufzunehmen und «in geeigneter Weise» zu veröffentlichen. Im selben Abschnitt wird die Aufsichtsbehörde verpflichtet, die Kriterien der Akkreditierung der Zertifizierungsstelle14 und die Zertifizierungskriterien15 in «leicht zugänglicher Form» zu veröffentlichen.

[6]

Dies regt zur Frage an, ob im Umkehrschluss eine Veröffentlichung in «[zur Kenntniserlangung] ungeeigneter Weise» oder in bloß «schwer zugänglicher Form» möglich ist. Schließlich ließe sich auch argumentieren, dass dies bereits eine Verschiebung der Information in die Öffentlichkeit verhindern und eine «Veröffentlichung» gar nicht zustande kommen würde.

2.2.

… in der Judikatur des EuGH ^

[7]

Auch in der Judikatur des EuGH zum Datenschutzrecht finden sich einige Hinweise zur Abgrenzung des Öffentlichkeitsbegriffs:

[8]

In der Entscheidung in der Rechtssache Lindqvist16, in der die Katechetin Lindqvist im Rahmen eines Informatikkurses Informationen über ihre Arbeitskollegen auf eine selbsterstellte Website lud, ging der EuGH von einer Veröffentlichung im Internet aus. Dabei wurde dem Umstand Gewicht beigemessen, dass «die Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden.17 Dass die Website auch auf der (mittels Suchmaschine im Internet leicht auffindbaren) Homepage der Schwedischen Kirche verlinkt war, wurde lediglich in den Schlussanträgen des Generalanwalts hervorgehoben.18 Die Informationen über die Arbeitskollegen (Name, Telefonnummer, Arbeitsbedingungen, Freizeitbeschäftigungen) mögen zumindest teilweise «öffentlich zugänglich oder allgemein bekannt» gewesen sein, worauf der EuGH jedoch im Rahmen seiner Entscheidung nicht näher eingeht.19

[9]

In der Rechtssache Satakunnan Markkinapörssi und Satamedia20 ging es um – nach finnischem Recht – «öffentliche» Steuerdaten, welche in einer Regionalausgabe der Zeitschrift Veropörssi «veröffentlicht» wurden. Bereits in diesen Ausführungen des EuGH lässt sich nicht erkennen, ob eine strikte Abgrenzung zwischen öffentlicher Sphäre und privater Sphäre durchzuführen ist. Wie der EuGH schließlich in der Entscheidung ausführt, unterliegen auch Informationen, welche bereits in den Medien veröffentlicht wurden, unabhängig von diesem Umstand dem europäischen Datenschutzregime, wenn es sich um personenbezogene Daten handelt.21

[10]

In der Rechtssache ASNEF/FECEMD wird die Einschränkung der Verarbeitung ohne Einwilligung der betroffenen Person auf «öffentlich zugängliche Quellen» durch das spanische Datenschutzrecht thematisiert, wobei nicht näher auf die Voraussetzung der «öffentlichen Zugänglichkeit» eingegangen wird.22 Der EuGH hält lediglich fest, dass der Umstand, dass die Daten aus öffentlich zugänglichen Quellen stammen, was nach der auf den Sachverhalt anzuwendenden Art. 3 lit. j Ley Orgánica 15/1999 dadurch definiert war, dass diese Dateien «jedermann offenstehen, ohne dass ihrer Einsicht eine einschränkende Vorschrift entgegensteht bzw. ohne dass sie von einer weiteren Voraussetzung als gegebenenfalls der Zahlung einer Gegenleistung abhängig gemacht wird» – wobei diese Quellen auch angeführt sind (etwa Wählerverzeichnis, Telefonverzeichnisse, Amts- und Gesetzblätter und Medien) – in einer Interessenabwägung berücksichtigt werden kann.23

[11]

Die besonders prominente Entscheidung des EuGH in der Rechtssache Google Spain und Google24 betraf den Löschungsanspruch eines Herrn González gegen den Suchmaschinenbetreiber betreffend Links zu Webseiten der Tageszeitung Vanguardia, die bei Eingabe seines Namens in die Suchmaske erschienen und über eine gegen ihn geführte Zwangsversteigerung berichteten. Die Entscheidung beurteilt die Rechtmäßigkeit der Indexierung von Webseiten durch den Suchmaschinenbetreiber. Aus den Ausführungen ergibt sich einerseits, dass über Webseiten Informationen selbst dann veröffentlicht werden können, wenn diese mit Hilfe von Ausschlussprotokollen wie robots.txt oder Codes wie «noindex» oder «noarchive» signalisieren, dass eine Indexierung durch die Suchmaschine nicht gewünscht ist. Darüber hinaus zeigt sich auch, dass die bereits im Internet veröffentlichten Informationen durch Suchmaschinen weltweit verbreitet und jedem Internetnutzer «zugänglich» gemacht werden. Die Ausführungen in dieser Entscheidung können dahingehend gedeutet werden, dass eine Veröffentlichung über eine Webseite nicht erfordert, dass die Information auch für jeden Internetnutzer (leicht) zugänglich sein muss.

2.3.

Zwischenfazit – Öffentlichkeitsbegriff ^

[12]

Wie die obige Darstellung zeigt, ist der Begriff der Öffentlichkeit im europäischen Datenschutzregime noch nicht klar abgegrenzt, wenngleich sich bereits Konturen zeigen. So erscheint nicht nur in der Judikatur des EuGH zur Datenschutzrichtlinie25 sondern auch in der DSGVO die Webseite als Archetyp der Veröffentlichung im Internet. Gerade in Hinblick auf die EuGH-Entscheidung in der Rechtssache Google Spain wird wohl davon auszugehen zu sein, dass selbst die Ablehnung der Suchmaschinen-Indexierung durch den Webseitenbetreiber (Ausschlussprotokoll «robots.txt») und die mit der fehlenden Indexierung verbundene schwere Auffindbarkeit eine «Veröffentlichung» nicht hindert. Dieser Ansatz würde der herrschenden Meinung in der Literatur entsprechen, worin die Öffentlichkeit grundsätzlich unter Bezug auf die allgemeine Zugänglichkeit definiert wird.26

3.

Auswirkung der Öffentlichkeit auf das Datenschutzrecht ^

[13]

Die Frage nach der Öffentlichkeit ist im Datenschutzrecht nicht bloß eine theoretische. Die Unterscheidung zwischen öffentlichen und nicht-öffentlichen Informationen kann Auswirkungen auf den Schutz der betroffenen Person durch das Datenschutzrecht haben.

3.1.

«Offensichtlich öffentlich gemachte Daten» nach Art. 9 Abs. 2 lit. e DSGVO ^

[14]

Nach dem Wortlaut der Bestimmung des Art. 9 Abs. 2 lit. e DSGVO könnte man schließen, dass zumindest alle Daten, welche die betroffene Person selbst öffentlich macht, etwa über die oben erwähnte Webseite, zeitlich und sachlich unbeschränkt verarbeitet werden dürfen. Warum das in dieser Form nicht stimmt, wird im Folgenden ausgeführt. Zunächst wird hinterfragt, ob Art. 9 Abs. 2 lit. e DSGVO ein eigener Erlaubnistatbestand ist.

3.1.1.

Art. 9 Abs. 2 lit. e DSGVO als eigener Erlaubnistatbestand ^

[15]

Art 9 DSGVO regelt die «Verarbeitung besonderer Kategorien personenbezogener Daten» und enthält in Abs. 1 neben der Definition dieser besonderen Kategorien27 auch das ausdrückliche Verbot der Verarbeitung dieser Kategorien personenbezogener Daten. Dieses Verbot ist jedoch in den Fällen des Art. 9 Abs. 2 DSGVO nicht anwendbar. Nun werden in der Literatur unterschiedliche Meinungen hinsichtlich der Einordnung der in Art. 9 Abs. 2 DSGVO enthaltenen Ausnahmen vom Verbot des Art. 9 Abs. 1 DSGVO und ihr Verhältnis zu den allgemeinen Voraussetzungen der Zulässigkeit der Verarbeitung personenbezogener Daten des Art. 6 Abs. 1 DSGVO vertreten.

[16]

Würden die Eingriffsvoraussetzungen des Art. 9 Abs. 2 DSGVO eigene Erlaubnistatbestände darstellen, so wäre die Erfüllung einer der darin angeführten Bestimmungen für die Zulässigkeit der Verarbeitung ausreichend. Eine zusätzliche Prüfung nach Art. 6 Abs. 1 DSGVO wäre nicht erforderlich. Für die Qualifizierung des Art. 9 Abs. 2 DSGVO als Quelle eigener Erlaubnistatbestände argumentieren etwa Reimer und Kampert, dass es sich bei Art. 9 um eine speziellere Bestimmung handelt, welche im Sinne eines abgestuften Schutzkonzeptes bei den besonders schutzbedürftigen, sensiblen Daten (dh. besonderen Kategorien personenbezogener Daten) zur Anwendung gelangen soll. In ähnlicher Weise argumentieren auch weitere namhafte Autoren, dass die Prüfung der Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten ausschließlich anhand der strengeren und spezielleren bzw. bereichsspezifischeren Bestimmungen des Art. 9 DSGVO zu erfolgen hat.28 Der Ansicht, dass die Bestimmungen des Art. 9 Abs. 2 DSGVO strenger und spezieller als jene des Art. 6 Abs. 1 DSGVO sind, ist in allen Fällen des Art. 9 Abs. 2 DSGVO zu folgen – außer in jenem des Art. 9 Abs. 2 lit. e DSGVO.

[17]

Art 9 Abs. 2 lit. e DSGVO sieht eine Ausnahme vom Verarbeitungsverbot hinsichtlich jener Daten vor, welche «die betroffene Person offensichtlich öffentlich gemacht» hat. Während sich aus den übrigen Bestimmungen des Art. 9 Abs. 2 DSGVO klare Grenzen der Verarbeitung ableiten lassen (die ausdrückliche Einwilligung ist stets zweckgebunden29; gesetzliche Grundlagen ebenso30), würde die Verarbeitung auf Grundlage des Art. 9 Abs. 2 lit. e DSGVO dem Wortlaut nach eine Verarbeitung für jedweden Zweck erlauben.31 Dies ist in Hinblick auf den Zweckbindungsgrundsatz jedenfalls zu hinterfragen, da dieser Zweck nicht einseitig durch den Verantwortlichen festgelegt werden sollte. Auch eine zeitliche Komponente fehlt in Art. 9 Abs. 2 lit. e DSGVO.

[18]

Die genannten Problempunkte lassen sich mitunter auch durch eine äußerst restriktive Auslegung32 lösen.33 Nach Ansicht des Autors liegt aber der zentrale Kritikpunkt an einer Prüfung der Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten lediglich nach Art. 9 DSGVO darin, dass in diesem Fall der das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht anwendbar wäre. Das Widerspruchsrecht soll der besonderen Situationen der betroffenen Person Rechnung tragen und führt zu einer eingehenderen Prüfung derselben.34 Ein berechtigter Widerspruch führt dazu, dass die Verarbeitung zu beenden ist und die Daten zu löschen sind.35 Das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO steht der betroffenen Person jedoch explizit nur bei einer Verarbeitung zu, welche auf der Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt.

[19]

Dass ein Widerspruch nur im Zusammenhang mit idR weniger schutzbedürftigen «normalen» personenbezogenen Daten, nicht aber im Falle der Verarbeitung besonderer Kategorien personenbezogener Daten zulässig sein soll, würde dem System der DSGVO widersprechen, wonach besondere Kategorien personenbezogener Daten durch Art. 9 DSGVO einen höheren Schutz36 genießen sollen. Über die Lösung einer parallelen Anwendbarkeit der Bestimmungen von Art. 6 und Art. 9 DSGVO lässt sich dieser Wertungswiderspruch vermeiden, ohne dass hierfür sowohl in Hinblick auf Art. 9 Abs. 2 lit. e DSGVO, als auch auf Art. 21 Abs. 1 DSGVO das Instrument der Analogie bemüht werden muss. Zusätzlich ergibt sich aus Art. 6 Abs. 4 DSGVO (Zweckänderung), welcher eine Verarbeitung von Daten «gemäß Art. 9» als Kriterium bei der Prüfung der Zweckvereinbarkeit anführt, ein Zusammenhang von Art. 6 und 9 DSGVO, der eine strikt getrennte Prüfung ausschließt.37

[20]

Außer im Fall des Art. 9 Abs. 2 lit. e DSGVO wird die Prüfung der Zulässigkeit in beiden Varianten zum gleichen Ergebnis führen, da Art. 9 Abs. 2 DSGVO mit Ausnahme der lit. e lediglich Konkretisierungen der Bestimmungen des Art. 6 Abs. 1 DSGVO enthält. 38 Für Art. 9 Abs. 2 lit. e DSGVO führt diese Lösung jedoch dazu, dass die Verarbeitung von Daten, welche durch den Betroffenen öffentlich gemacht wurden, zusätzlich einer Grundlage nach Art. 6 Abs. 1 DSGVO, etwa der berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 lit. f DSGVO oder eines anderen Erlaubnistatbestandes (z.B. der Aufgabe im öffentlichen Interesse nach Art. 6 Abs. 1 lit. e DSGVO oä.) bedarf.39 Dies ermöglicht (mit einer rechtsdogmatisch vergleichsweise einfachen Begründung) eine Berücksichtigung der Rechte und Freiheiten der betroffenen Person in einer Interessenabwägung.40

3.1.2.

Zulässigkeit der Nutzung von durch den Betroffenen öffentlich gemachten Daten ^

[21]

Neben dem eben genannten Erfordernis der Prüfung nach Art. 6 Abs. 1 DSGVO, wird in der Literatur auch vertreten, dass die Bestimmung des Art. 9 Abs. 2 lit. e DSGVO einschränkend auszulegen ist.41 Auch aus der Bestimmung selbst ergeben sich daher Grenzen der Zulässigkeit der Verarbeitung der durch die betroffene Person öffentlich gemachten Daten.

[22]

Die erste wesentliche Grenze der Nutzung öffentlich gemachter Daten ergibt sich bereits aus diesen selbst. Personenbezogene Daten sind gemäß Art. 4 Z. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Jenen Daten, die von der Person über das Internet oder ein anderes Medium öffentlich gemacht werden, kann jeweils eine bestimmte Information bzw. ein bestimmter Informationsgehalt unterstellt werden.

[23]

Sobald sich eine Verarbeitungstätigkeit allerdings auf Informationen bezieht, die bereits über den Informationsgehalt der öffentlich gemachten Daten hinausgehen – etwa wenn durch Kombination «neue» Daten entstehen –, bedarf es einer eigenen Rechtsgrundlage für die Verarbeitung.42 Die Abgrenzung wird hier im Einzelfall erfolgen müssen. Hier kann auf die «vernünftigen Erwartungen der betroffenen Person» (Erw 47 DSGVO) abgestellt werden.43 Damit scheiden jedoch alle durch komplexere Algorithmen durchgeführte Analysen einer Person anhand der von ihr öffentlich gemachten Daten aus. Werden also mittels Analyse von Facebook-Likes intime Details zur Persönlichkeit des jeweiligen Nutzers abgeleitet44, so sind diese keine Informationen, die durch diesen öffentlich gemacht wurden, selbst wenn dies auf die einzelnen Facebook-Likes zutreffen würde. Es ist zu prüfen, von welchem Informationsgehalt die betroffene Person vernünftigerweise erwarten kann, dass dieser von der Öffentlichkeit wahrgenommen werden kann. Bei der Prüfung, was von der betroffenen Person vernünftigerweise erwartet werden kann, ist ein objektiver Ansatz anzulegen.45 Da die Veröffentlichung auch «offenkundig» erfolgen muss, sind Zweifelsfälle als nicht im Sinne des Art. 9 Abs. 2 lit. e DSGVO veröffentlicht anzusehen.

[24]

Kann von einer Veröffentlichung durch die betroffene Person («offenkundig») ausgegangen werden, so stellt die komplementäre Anwendbarkeit von Art. 6 Abs. 1 zu Art. 9 Abs. 2 DSGVO, die zweite wesentliche Grenze für die Nutzung der von der betroffenen Person öffentlich gemachten Daten dar. Dies führt dazu, dass eine Veröffentlichung durch die betroffene Person die Verarbeitung nicht zwingend rechtfertigt, sondern zusätzlich etwa berechtigte Interessen des Verantwortlichen erfordert, welche nicht durch jene der betroffenen Person überwogen werden. Bei dieser Abwägung mag zwar der Umstand berücksichtigt werden, dass die jeweiligen Informationen durch die betroffene Person selbst öffentlich gemacht wurden, jedoch werden dabei ebenso etwa der jeweilige Veröffentlichungszweck46 bzw. der Kontext der Veröffentlichung wie der Verarbeitungszweck oder allgemein die zeitliche und sachliche Nähe zur Veröffentlichung47 und die «vernünftigerweise zu erwartenden Auswirkungen»48 zu berücksichtigen sein.

3.2.

Öffentlichkeit als Kriterium in der Interessenabwägung ^

[25]

Abgesehen von den Fällen, in denen Daten durch die betroffene Person offenkundig öffentlich gemacht wurden und damit die eben thematisierten Voraussetzungen des Art. 9 Abs. 2 lit. e DSGVO erfüllen, bewirkt die Öffentlichkeit keine Herabsetzung des (besonderen) Schutzstandards, welcher auf besondere Kategorien personenbezogener Daten anzuwenden ist.49 Dies bedeutet, dass die Verarbeitung solcher besonderer Kategorien personenbezogener Daten jedenfalls das Vorliegen eines anderen Ausnahmetatbestandes nach Art. 9 Abs. 2 DSGVO erfordert, da eine Verarbeitung sonst unzulässig wäre.50

[26]

Wie der EuGH in der Rechtssache ASNEF entschied, kann der Umstand, dass personenbezogene Daten bereits öffentlich zugänglich sind, bei einer Abwägung der Rechte der betroffenen Person und der Interessen des Verantwortlichen berücksichtigt werden.51 Dies argumentiert der EuGH damit, dass die Verarbeitung von Daten aus nicht öffentlich zugänglichen Quellen voraussetzt, dass der für die Verarbeitung Verantwortliche von Informationen über die Privatsphäre der betroffenen Person Kenntnis erlangen – im Unterschied zur Verarbeitung von Daten, die bereits in öffentlich zugänglichen Quellen enthalten sind.52 Dennoch unterliegen diese Daten jedenfalls dem europäischen Datenschutzregime.53

4.

Fazit (und Plädoyer für einen einheitlichen Öffentlichkeitsbegriff) ^

4.1.

Keine unbeschränkte Verarbeitung öffentlicher Daten ^

[27]

Es zeigt sich, dass die DSGVO die Zulässigkeit einer Verarbeitung personenbezogener Daten im Wesentlichen, selbst im Fall der Veröffentlichung durch den Betroffenen selbst, von einem zusätzlichen Überwiegen der Interessen des Verantwortlichen abhängig macht. Art. 9 Abs. 2 lit. e DSGVO stellt keine hinreichende Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar, vielmehr ist darüber hinaus ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO zu erfüllen.54 Dies wird in den meisten Fällen die Interessenabwägung entweder durch den nationalen Gesetzgeber in einer gesetzlichen Grundlage55(öffentliches Interesse) oder durch den Verantwortlichen selbst, durch die Definition seiner berechtigten Interessen vor der jeweiligen Verarbeitung.56 Wenngleich die Tatsache, dass die Daten durch die betroffene Person öffentlich gemacht wurden, bei der Interessenabwägung mitunter stark für die Zulässigkeit der Verarbeitung ins Gewicht fällt und auch der bloße Umstand, dass Daten bereits öffentlich zugänglich sind (unabhängig davon ob dies durch die betroffene Person erfolgte) bei der Interessenabwägung nach der Rechtsprechung des EuGH berücksichtigt werden kann, befreit dies den Verantwortlichen nicht von der zusätzlichen Prüfung der Zulässigkeit nach Art. 6 Abs. 1 DSGVO.

4.2.

Kein Erfordernis eines kontextbezogenen Öffentlichkeitsbegriffs ^

[28]

Dieses Erfordernis der Zulässigkeitsprüfung sollte jedoch nicht in den Öffentlichkeitsbegriff transponiert werden. Wenig zielführend erscheint es daher, bei der Frage ob Daten öffentlich gemacht werden57, zwischen dem öffentlichen (analogen) Raum und dem Internet zu unterscheiden.58 So ist das Teilen eines Facebook-Beitrages auch an eine sehr große Anzahl an Freunden in seiner Reichweite noch durch den Nutzer individuell bestimmt.

[29]

Umgekehrt hat auch das Handeln in der Öffentlichkeit selbstverständlich zur Folge, dass dadurch einem unbestimmten Personenkreis Informationen zukommen. Knüpft man jedoch an dem Informationsgehalt an, der durch die öffentliche Handlung der Öffentlichkeit zugänglich gemacht wird, so handelt es sich dabei in der Regel bereits nicht um personenbezogene Daten, womit der Anwendungsbereich der DSGVO nicht eröffnet ist.59 Ein Beispiel für eine solche durch öffentliche Handlungen veröffentlichte Information wäre etwa: «eine Person, die ein Wahlgeschenk einer politischen Partei mit sich trägt». Der öffentlich gemachte Informationsgehalt wäre mitunter die politische Zugehörigkeit, nicht zwingend aber die betroffene Person selbst. Würde man diese Person nun identifizieren, würde dies bereits den Informationsgehalt der Veröffentlichung übersteigen. Darüber hinaus lässt sich als Abgrenzungskriterium auch die «Offenkundigkeit» des Öffentlich-Machens und ein dazu erforderlicher Willensentschluss der betroffenen Person heranziehen.60

  1. 1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO), ABl L 2016/119, 1.
  2. 2 Lingenberg, Europäische Publikumsöffentlichkeiten: ein pragmatischer Ansatz1 (2010) 25.
  3. 3 Art. 6 Abs. 1 lit. e u. 2 DSGVO.
  4. 4 Dazu wird im Folgenden noch näher eingegangen werden.
  5. 5 Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Art. 9 Rz. 26.
  6. 6 Zum deutschen Sphärenmodell vgl. Graf-Wintersberger, Lebensbild und Bereicherung: Literatur im Konflikt mit Persönlichkeitsrechten (2018) 115.
  7. 7 Art. 35 Abs. 5 DSGVO («Datenschutz-Folgenabschätzung»).
  8. 8 Art. 97 DSGVO («Berichte der Kommission»); Art. 9 Abs. 2 DSGVO («Verarbeitung besonderer Kategorien personenbezogener Daten»; lit. e).
  9. 9 Art. 34 DSGVO («Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person»).
  10. 10 Art. 25 Abs. 2 DSGVO («Datenschutz durch Technikgestaltung»).
  11. 11 Erw 6 DSGVO.
  12. 12 Erw 58, 67 DSGVO.
  13. 13 Art. 42 DSGVO.
  14. 14 Art. 43 Abs. 3 DSGVO.
  15. 15 Art. 42 Abs. 5 DSGVO.
  16. 16 EuGH 6.November 2003, C-101/01 («Lindqvist»)
  17. 17 EuGH 6. November 2003, C-101/01 («Lindqvist») Rz. 47.
  18. 18 SA Tizzano 19.09.2002, C-101/01 Rz. 34.
  19. 19 EuGH 6. November 2003, C-101/01, Rz. 74.
  20. 20 EuGH 16. Dezember 2008, C-73/07 («Satakunnan Markkinapörssi und Satamedia»).
  21. 21 EuGH 16. Dezember 2008, C-73/07 («Satakunnan Markkinapörssi und Satamedia») Rz. 48, 49.
  22. 22 EuGH 24. November 2011, C-468/10 («ASNEF»).
  23. 23 Ibidem.
  24. 24 EuGH 13. Mai 2014, C-131/12 («Google Spain und Google»).
  25. 25 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 281/1995, 31.
  26. 26 Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Art. 9 Rz. 26; Kastelitz/Hötzendorfer/Tschohl in Knyrim, Kommentar zum Datenschutzrecht, DSGVO samt DSG und Nebenbestimmungen Kommentar in Faszikeln (2018) Art. 9 Rz. 41; Weichert in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 9 Rz. 77; Petri in Simitis/Hornung/Spiecker, Datenschutzrecht: DSGVO mit BDSG1 (2019) Art. 9 Rz. 58; Albers/Veit in Wolff/Brink (Hrsg), 26 (BeckOK Datenschutzrecht 2018) DS-GVO Art. 9 Rz. 65.
  27. 27 «Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person» (Art 9 Abs. 1 DSGVO).
  28. 28 So etwa Frenzel in Paal/Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz2 (2018) Art. 9 Rz. 1; Kastelitz/Hötzendorfer/Tschohl in Knyrim, Kommentar zum Datenschutzrecht, DSGVO samt DSG und Nebenbestimmungen Kommentar in Faszikeln (2018) Art. 9 Rz. 5; Korge in Gierschmann et al, Kommentar Datenschutz-Grundverordnung (Unternehmen und Wirtschaft 2018) Art. 9 Rz. 3.
  29. 29 Art. 9 Abs. 2 lit. a DSGVO («für einen oder mehrere Zwecke»).
  30. 30 Vgl. Art. 9 Abs. 2 lit. b.
  31. 31 Für eine die Anwendbarkeit der Zweckbindung, insbesondere in Hinblick auf das teilautomatisierte «Harvesting» im Internet: Kastelitz/Hötzendorfer/Tschohl in Knyrim, Kommentar zum Datenschutzrecht, DSGVO samt DSG und Nebenbestimmungen Kommentar in Faszikeln (2018) Art. 9 Rz. 41.
  32. 32 Für eine restriktive Auslegung: Weichert in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 9 Rz. 46; Korge in Gierschmann et al, Kommentar Datenschutz-Grundverordnung (Unternehmen und Wirtschaft 2018) Art. 9 Rz. 19.
  33. 33 Jandt in Jandt/Steidle, Datenschutz im Internet: Rechtshandbuch zu DSGVO und BDSG1 (2018) 184.
  34. 34 Herbst in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 21 Rz. 1.
  35. 35 Herbst in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 21 Rz. 2.
  36. 36 Kampert in Sydow, Europäische Datenschutzgrundverordnung: Handkommentar2 (2018) Art. 9 Rz. 2 («abgestuftes Schutzkonzept»).
  37. 37 So wohl auch Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Art. 9 Rz. 7; Albers/Veit in Wolff/Brink (Hrsg), BeckOK Datenschutzrecht26 (2018) DS-GVO Art. 9 Rz. 1f.
  38. 38 Insoweit übereinstimmend: Frenzel in Paal/Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz2 (2018) Art. 9 Rz. 1; Kastelitz/Hötzendorfer/Tschohl in Knyrim, Kommentar zum Datenschutzrecht, DSGVO samt DSG und Nebenbestimmungen (2018) Art. 9 Rz. 5; Korge in Gierschmann et al, Kommentar Datenschutz-Grundverordnung (Unternehmen und Wirtschaft 2018) Art. 9 Rz. 3.
  39. 39 Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Art. 9 Rz. 5; Petri in Simitis/Hornung/Spiecker, Datenschutzrecht: DSGVO mit BDSG1 (2019) Art 9 Rz 2; Weichert in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 9 Rz. 4; Art-29-Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG (2014) 19; Albers/Veit, DS-GVO Art. 9 Rz. 1.
  40. 40 WP-29 Datenschutzgruppe.
  41. 41 Für viele: Weichert in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 9 Rz. 46; Korge in Gierschmann et al, Kommentar Datenschutz-Grundverordnung (Unternehmen und Wirtschaft 2018) Art. 9 Rz. 19.
  42. 42 So bereits Jahnel, Handbuch Datenschutzrecht: Grundrecht auf Datenschutz, Zulässigkeitsprüfung, Betroffenenrechte, Rechtsschutz (2010) Rz. 4/24; vgl. Kastelitz/Hötzendorfer/Tschohl in Knyrim, Kommentar zum Datenschutzrecht, DSGVO samt DSG und Nebenbestimmungen (2018) Art. 9 Rz. 41.
  43. 43 Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingriffen in die Persönlichkeitsrechte im Internet (Beiträge zum ausländischen öffentlichen Recht und Völkerrecht 2017) 33; dazu auch Feiler/Forgó in Feiler/Forgó, EU-DSGVO: EU-Datenschutz-Grundverordnung: Kurzkommentar (2017) Art. 6 Rz. 9.
  44. 44 Vgl. Kosinski/Stillwell/Graepel, Private traits and attributes are predictable from digital records of human behavior, Proceedings of the National Academy of Sciences 2013, 5802.
  45. 45 Feiler/Forgó, EU-DSGVO: EU-Datenschutz-Grundverordnung: Kurzkommentar (2017) Art. 6 Rz. 9.
  46. 46 DSB 31.10.2018, DSB-D123.076/0003-DSB/2018.
  47. 47 DSK 24.10.2007, K121.287/0024-DSK/2007; Jahnel, Handbuch Datenschutzrecht: Grundrecht auf Datenschutz, Zulässigkeitsprüfung, Betroffenenrechte, Rechtsschutz (2010) Rz. 4/24.
  48. 48 S.o.; zum «reasonable expectation of privacy»-Test: Paefgen, Der von Art. 8 EMRK gewährleistete Schutz vor staatlichen Eingriffen in die Persönlichkeitsrechte im Internet (Beiträge zum ausländischen öffentlichen Recht und Völkerrecht 2017); siehe auch Feiler/Forgó in Feiler/Forgó, EU-DSGVO: EU-Datenschutz-Grundverordnung: Kurzkommentar (2017) Art. 6 Rz. 9.
  49. 49 Für viele: Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Art 9 Rz 1.
  50. 50 Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Art 9 Rz 5.
  51. 51 EuGH 24. November 2011, C-468/10 («ASNEF») Rz. 44.
  52. 52 EuGH 24. November 2011, C-468/10 («ASNEF») Rz. 44, 45.
  53. 53 EuGH 16. Dezember 2008, C-73/07 («Satakunnan Markkinapörssi und Satamedia») Rz. 47, 48.
  54. 54 Albers/Veit, DS-GVO Art. 9 Rz. 24; Petri in Simitis/Hornung/Spiecker, Datenschutzrecht: DSGVO mit BDSG1 (2019) Art. 9 Rz. 2; Schulz in Gola, Datenschutz-Grundverordnung: VO (EU) 2016/679: Kommentar2 (2018) Rz. 5; Weichert in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 9 Rz. 4.
  55. 55 Art. 6 Abs. 1 lit. c oder e DSGVO.
  56. 56 Art. 6 Abs. 1 lit. f DSGVO.
  57. 57 Art. 9 Abs. 2 lit. e DSGVO.
  58. 58 Dies andeutend Albers/Veit, DS-GVO Art. 9 Rz. 67.
  59. 59 Eine Ausnahme wäre wohl bei «Personen des öffentlichen Lebens» gegeben.
  60. 60 Albers/Veit, DS-GVO Art. 9 Rz. 66; Weichert in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG: Kommentar2 (2018) Art. 9 Rz. 79.