von Big Data Anwendungen mit den Anforderungen der DS-GVO Instrumente wie Anonymisierung und Pseudonymisierung in den Vordergrund rücken müssen.[253] Hier bleibt für Einzelfragen die Auslegung durch die Aufsicht und deren Kontrolle durch den EuGH abzuwarten.[254]
107
Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.[255] Die „Pseudonymisierung“ in der DS-GVO soll aber nicht dazu verleiten, andere Datenschutzmaßnahmen auszuschließen.[256]
108
Die besondere Relevanz der Pseudonymisierung für die Verarbeitungspraxis zeigt sich daran, dass das erste Bußgeld in Deutschland wegen eines Verstoßes gegen die DS-GVO durch den LfDI Baden-Württemberg gegen den Social Media-Anbieter Knuddels wegen eines Verstoßes gegen Art. 32 Abs. 1 lit. a verhängt wurde.[257] Knuddels hatte Passwörter der Nutzer im Klartext gespeichert, so dass im Rahmen eines Hacker-Angriffs 330.000 unverschlüsselte E-Mail-Adressen und Passwörter von Nutzern entwendet werden konnten.[258] Dies unterstreicht die Bedeutung technischer Schutzmaßnahmen insbesondere im Hinblick auf Bußgeldrisiken.
109
Die Bedeutung der Frage nach dem Vorliegen einer wirksamen Pseudonymisierung oder gar einer Anonymisierung zeigt sich derzeit (Stand: Juni 2020) insbesondere im Rahmen von Apps zur Eindämmung der COVID-Pandemie (sog. Corona-Apps)[259], vgl. dazu bereits Rn. 47. Insofern wird diskutiert, ob eine Verwendung von Bewegungsdaten der Bevölkerung mittels Handy-App zwecks Unterbrechung von Infektionsketten zur Eindämmung des Coronavirus datenschutzrechtlich zulässig ist.[260] Die offizielle deutsche Corona-Warn-App[261] des Robert Koch-Instituts beruht dabei auf einem Ansatz, bei dem über die Bluetooth Low Energy-Funktion des Smartphones andere Geräte in unmittelbarer Nähe erfasst werden, um so im Infektionsfall Kontaktpersonen nachvollziehen zu können.[262] Bei Nutzung der App erhalten Nutzer jeweils eine zufällige, temporäre ID.[263] Die App erfasst die IDs anderer Geräte, die sich für einen bestimmten Zeitraum in unmittelbarer Nähe zum Handy des jeweiligen Nutzers befinden und speichert diese in einer Kontaktliste lokal auf dem jeweiligen Smartphone.[264] Der Abgleich der IDs wird im Infektionsfall im Zusammenwirken von Google und Apple ohne zwischengeschalteten Datentreuhänder und damit dezentral vorgenommen.[265] Infizierte Nutzer übermitteln ihre eigene temporäre ID an einen Server. Andere Nutzer können dann mittels der sog. Kontaktaufzeichnungsfunktion ihres Smartphones abgleichen, ob sich diese ID auch in ihrer lokal gespeicherten Kontaktliste befindet.[266] Die App gleicht alle 24 Stunden die eigene Kontaktliste mit der Liste von IDs, deren Personen eine Infektion melden ab und meldet Nutzern das jeweils bestehende Infektionsrisiko.[267] Neben der Frage, ob die Nutzung der App freiwillig erfolgen muss oder durch den Staat angeordnet werden kann,[268] ist insbesondere fraglich, inwieweit das Datenschutzrecht überhaupt Anwendung findet, wenn Nutzer der App eine zufällige und temporäre Nutzer-ID erhalten und zu keinem Zeitpunkt eine Identifikation der betroffenen Person erfolgt.[269] Es stellt sich daher die Frage, ob die verarbeiteten Daten als anonymisiert oder pseudonymisiert anzusehen sind. Während manche[270] von einer anonymen Datenverarbeitung ausgehen, ist vor dem Hintergrund der Rechtsprechung des EuGH[271], die eine Personenbeziehbarkeit ausreichen lässt, zu beachten, dass das Gericht dem Personenbezug einen äußerst weiten Anwendungsbereich einräumt, so dass von pseudonymisierten Daten und damit von der Anwendbarkeit der DS-GVO für die Beurteilung der App auszugehen ist.[272]
1. Allgemeines
110
Art. 4 Nr. 6 definiert das „Dateisystem“ als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.
111
Die Norm legt die Voraussetzungen fest, wann bei einer nicht-automatisierten Verarbeitung die DS-GVO nach Art. 2 Abs. 1 Anwendung findet. Denn indem Art. 2 Abs. 1 Alt. 1 den Anwendungsbereich der DS-GVO für automatisierte Verarbeitungen personenbezogener Daten eröffnet, ist der Begriff des „Dateisystems“ das maßgebliche Kriterium, das den Anwendungsbereich der DS-GVO im Rahmen von Art. 2 Abs. 1 Alt. 2 auch auf nichtautomatisierte Verarbeitungen erstreckt.[273] Ausweislich ErwG 15 S. 1 soll Art. 2 Abs. 1 Alt. 2 gewährleisten, dass das europäische Datenschutzrecht unabhängig von den eingesetzten technischen Mitteln Anwendung findet, um das Risiko einer Umgehung der Vorschriften der DS-GVO zu vermeiden.[274]
112
Auf nationaler Ebene wurde der Begriff der „nicht automatisierten Datei“ in § 3 Abs. 2 S. 2 BDSG a.F. definiert. Danach war eine nicht automatisierte Datei jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Insofern ähnelt der Wortlaut demjenigen der DS-GVO, so dass die bisher bestehende Auslegung im Rahmen von Art. 4 Nr. 6 entsprechend herangezogen werden kann, wobei jedoch aufgrund der unmittelbaren Wirkung der DS-GVO in den Mitgliedstaaten eine unionsweit einheitliche Begriffsbestimmung notwendig ist.[275]
113
Im europäischen Datenschutzrecht stellt Art. 2 lit. c DSRL die Vorgängerregelung zu Art. 4 Nr. 6 dar. Zwar enthielt die Vorschrift eine Definition zur leicht abweichenden Begrifflichkeit der „Datei mit personenbezogenen Daten“, inhaltlich ergeben sich daraus indes keine Änderungen. Dies folgt insbesondere daraus, dass Art. 2 lit. c DSRL und Art. 4 Nr. 6 in der englischen Fassung den Begriff gleichermaßen als „filing system“ bezeichnen.
114
Die Änderung der Begrifflichkeit in der deutschen Sprachfassung von „Datei“ – wie er noch in Art. 2 Nr. 1 und Art. 4 Abs. 4 des Kommissionsentwurfs[276] zu finden war – zu „Dateisystem“ erfolgte erst im Trilog-Verfahren und bringt keine inhaltlichen Abweichungen mit sich.[277]
115
Eine wortgleiche Umsetzung von Art. 4 Nr. 6 im nationalen Recht findet sich in § 46 Nr. 6 BDSG n.F.[278], der sich allerdings auf die RL 2016/680 bezieht. Im Rahmen des Beschäftigtendatenschutzes ist zudem § 26 Abs. 7 BDSG n.F.[279] relevant.
2. Begriff des „Dateisystems“
116
Die Definition des Dateisystems als „strukturierte Sammlung“ zerfällt zunächst in die Begriffe Sammlung und strukturiert. Der Begriff der Sammlung betont, dass es sich um eine Mehrzahl bzw. um eine Zusammenstellung mehrerer Daten und Einzelangaben handeln muss.[280] Das Strukturmerkmal erfordert, dass die Daten gleichartig aufgebaut und nach bestimmten Merkmalen geordnet sind und ausgewertet werden können. Die Sammlung muss dafür nach ErwG 15 S. 3 also eine nach Kriterien festgelegte äußere Ordnung aufweisen und die Daten nach diesen Kriterien zugänglich machen.[281] So fallen ausweislich ErwG 15 S. 3 Akten oder Aktensammlungen,