Singularisierung und Identifizierung
Identifizierung bedeutet, dass man weiss, welche Person gemeint ist. Singularisierung bedeutet, dass man weiss, was für eine Person gemeint ist. Im Einzelnen ist die Sachlage komplexer. Wie stehen die beiden Konzepte zueinander?
PDF
A translated English version of this post can be found here.
1. Die zwei Konzepte
[1] Gemäss der Botschaft zur aktuellen Revision des DSG ist "eine natürliche Person [...] bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann, [...]".[1] Die Definition ist unglücklich gewählt, da gemeinhin eine bestimmte Person und eine identifizierte Person nicht notwendigerweise dasselbe sind. Eine "bestimmte Person" kann als eine abstrakte "Position" verstanden werden (zB. "der Täter", "der Gärtner" oder "der Butler"), während eine "identifizierte Person" sich stets auf eine konkrete, real existierende Person bezieht (zB. "der Täter", zugleich "der Gärtner", verkleidet als "der Butler" ist die real existierende Person X). Die Lehre behilft sich mit der Unterscheidung zwischen "absoluter" Bestimmtheit (Datum bezieht sich auf eine konkrete, real existierende Person) und "relativer" Bestimmtheit (auch "relativer Personenbezug" oder "Bestimmbarkeit"[2]): ein Datum kann nur unter Zuhilfenahme von Zusatzwissen einer Person zugeordnet werden, das nicht jedermann ohne Weiteres zugänglich ist.[3] Dabei ist zu beachten, dass auch dann Personendaten vorliegen, wenn die einer identifizierten Person zugeordneten Daten falsch sind oder dieser Person fälschlicherweise zugeordnet werden.
[2] Unklar bleibt ausgerechnet, was mit dem Begriff der Identifizierung (neben der Gleichsetzung mit Bestimmbarkeit) gemeint ist.[4] Die Botschaft nennt einige Methoden der Identifizierung, so etwa indirekt "über den Hinweis auf Informationen, die sich aus den Umständen oder dem Kontext ableiten lassen (Identifikationsnummer, Standortdaten, spezifische Aspekte, die ihre physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder gesellschaftliche Identität betreffen)". Sie kann auch direkt "über eine einzige Information möglich sein (Telefonnummer, Hausnummer, AHV-Nummer, Fingerabdrücke)" oder über den Abgleich verschiedener Informationen.[5] Deutlich wird, dass Identifizierung keine namentliche Benennung erfordert.[6]
[3] Dem Wortlaut nach ist "identifizieren" gemäss Duden gleichbedeutend mit "genau wiedererkennen". Der Vorgang der Identifizierung dient dazu, dass man durch Wiedererkennen weiss, um wen es geht bzw. mit wem man es zu tun hat. Zweck der Wiedererkennung ist in aller Regel, mit der betreffenden Person tatsächlich und/oder rechtlich in Kontakt zu treten oder aber Dritten dies zu ermöglichen (durch Zurverfügungstellung von Werbeprofilen etwa). Sie erfolgt aufgrund von Identifikatoren. Dies können gängige, amtliche Zugewiesene Bezeichnungen sein, wie Name und Vorname, aber, wie eingangs erwähnt, auch andere, etwa intern zugewiesene Kennzeichen.
[4] Eine zweckbezogene Auslegung bezieht sodann die Funktion der Identifizierung im Kontext des Datenschutzrechts mit ein und beleuchtet die Fragestellung aus dieser Perspektive. Der Zweck des Datenschutzrechts liegt letztendlich im Schutz der Persönlichkeitsrechte der Personen, über die Daten bearbeitet werden. Als rechtliche Mechanismen dieses Schutzes dienen im zivilrechtlichen Datenschutzrecht die Figur der Einwilligung in Persönlichkeitsverletzungen und im öffentlich-rechtlichen Datenschutzrecht das Missbrauchsverbot und das Recht auf (möglichst weitgehende) informationelle Selbstbestimmung.
[5] Als entscheidendes Kriterium aus datenschutzrechtlicher Sicht erscheint damit, dass die Identifizierung einer Person die Grundlage dafür bilden kann, durch Datenbearbeitungen ihre (zivilrechtlichen bzw. verfassungsrechtlichen) Persönlichkeitsrechte zu verletzen. Um dies zu verdeutlichen, möchte ich zwischen interner und externer Identifizierung unterscheiden. Eine interne Identifizierung nenne ich die Zuweisung von Identifikatoren im Rahmen eines Informationssystems (Zuweisen eines internen Kennzeichens). Sie verfolgt regelmässig den nach aussen wirkenden Zweck, Rechte und Pflichten der Vertragsparteien zu begründen (zB. Vertragsabschluss), zu ändern (Stichwort AGB) oder zu löschen (zB. Vertragsauflösung) - oder aber aus anderen Gründen mit der betreffenden Person in tatsächlichen Kontakt zu treten bzw. auf sie zugreifen zu können; diese erreichbar[7] zu machen.[8] Um diesen zweiten Schritt zu realisieren, ist logischerweise eine ausserhalb des internen Informationssystems gelegene Identifizierung notwendig (zB. eine Adresse oder eine Kreditkartennummer). Durch sie wird die Person ausserhalb des betreffenden Informationssystems lokalisiert und bestimmt. Ich möchte diese Form der Identifizierung daher externe Identifizierung nennen.
[6] Mit Singularisierung wird seit geraumer Zeit ein Begriff verwendet, dessen Gehalt noch nicht geklärt ist. Zuletzt hat David Rosenthal den Versuch einer Auslegeordnung unternommen. Er versteht "Singularisierung" als "Auffassung [...], Daten müssten selbst dann als Personendaten gelten und der Datenschutz eingehalten werden, wenn nicht ermittelt werden kann, um wen es bei den Daten geht" die "herum geistert".[9] Grundsätzlich verfüge das Konzept aber "über massive Mängel".[10]
[7] Soweit ersichtlich findet der datenschutzrechtliche Begriff der Singularisierung seinen Ursprung in Recital 26 (dt. Erwägungsgrund 26) zur DSGVO der EU. Dort steht: "To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly" (S. 16). Die Fassung in deutscher Sprache spricht an dieser Stelle von aussondern. Die Artikel 29 Gruppe führte dazu im Vorfeld der DSGVO aus: "An diesem Punkt ist anzumerken, dass Personen in der Praxis zwar überwiegend anhand ihres Namens identifiziert werden, ein Name zur Identifizierung einer Person jedoch keineswegs immer notwendig ist. Beispielsweise kann eine Person anhand anderer „Kennzeichen“ singularisiert werden. So ordnen rechnergestützte Dateien zur Erfassung personenbezogener Daten den erfassten Personen gewöhnlich ein eindeutiges Kennzeichen zu, um Verwechslungen zwischen zwei Personen in der Datei auszuschließen".[11]
[8] In der Soziologie wird der Begriff der Singularisierung kontrovers diskutiert, zum Teil werden unterschiedliche Begriffe für die selben oder zumindest sehr ähnliche Phänomene verwendet (zB. Singularien vs. Singularitäten). Einigkeit besteht zumindest in den groebn Zügen. Der Vorgang des Singularisierens wird in Zusammenhang gestellt mit dem stetig zunehmenden Auflösungsvermögen der Informationstechnologie, durch die eine "granulare Gesellschaft" drohe.[12] Es gehe hierbei "nicht vordergründig um Überwachung", sondern darum, "dass Systeme ihre Umwelt beobachten, also dort Phänomene unterscheiden und bezeichnen".[13] Dabei entstehe (aus der Sicht des Einzelnen; Anm. d. Autors) ein "multiples Selbst", das aus verschiedenen Perspektiven betrachtet, vereinzelt und verglichen werden kann.[14] Treibende Kraft sei ein zunehmendes "institutionell-technologisches" Interesse und eine zunehmende Fähigkeit, Einzigartigkeiten sichtbar zu machen und automatisiert herzustellen.[15]
[9] Der Beschreibung nach kann "singularisieren" somit als Aufzeigen und Herstellen von Einzigartigkeit bzw. Zuordnen eines internen Identifikators verstanden werden. Aus der informationstechnischen Sicht des Datenbearbeiters bedeutet dies eine interne Identifizierung (dazu oben, Rz. 5). Singularisierung liegt demnach vor, wenn Daten zusammengeführt und die entstehenden Datensätze gekennzeichnet werden mit dem Zweck, diese innerhalb des Informationssystems eindeutig wiederzuerkennen. Ohne die Kennzeichnung von zusammengeführten Datensätzen liegt keine Singularisierung vor. Es handelt sich dann um anonyme Personendaten.
[10] Im Ergebnis ist ein singularisierter Datensatz ein informationelles Modell einer Person, das nicht notwendigerweise einer realen Person entspricht aber üblicherweise als personenbezogener Datensatz zugerechnet bzw. zwecks Zurechnung erstellt wird. Von rechtlicher Bedeutung sind diese singularisierten Datensätze nach der hier vertretenen Auffassung dann, wenn sie, wie in Rz. 5 beschrieben, wiedererkennbar gekennzeichnet werden. Die betroffenen Personen sind damit (noch) nicht ohne Weiteres extern identifizierbar, möglicherweise aber dennoch "erreichbar".
2. Das Zusammenspiel von Singularisierung und Identifizierung
[11] Gemeinsam ist den Begriffen der Identifizierung und der Singularisierung, dass sie eine Person aufgrund von Datenbearbeitungen aus einer Masse von Personen herauskristallisieren. Identifizierung tut dies durch Verwendung von Identifikatoren, d.h. vorbestimmten Kennzeichen oder Merkmalen, die eine Person anderen Menschen gegenüber als eine bestimmte Person ausweisen.[16] In einem rechtlichen Kontext - etwa im Verhältnis zwischen Rechtssubjekten und Verwaltungsstellen oder zwischen Vertragsparteien, ist dies der Name, der in der Regel zur Authentifizierung der Eindeutigkeit durch weitere Merkmale ergänzt wird (vgl. Ziff. 1).
[12] Oftmals findet eine Vermischung von Identifizierung und Singularisierung statt: unter mehreren Leuten mit demselben Namen wird unter Verwendung der weiteren Merkmale jene Person ausgesondert, die gemeint ist. Das "singling out" des Erwägungsgrundes 26 ist somit nicht nur ein Indiz[17], sondern die wichtigste Voraussetzung zur (internen wie externen) Identifizierung: Personendaten beziehen sich begriffsnotwendig immer auf eine einzige Person. Der Name ist vermutlich besonders nützlich, da er eine grosse Differenzierungsleistung erbringt und sich dessen Trägerin oder Träger selber darüber identifiziert.
[13] Die Unterscheidung kann schliesslich noch präziser erfasst werden, indem die Frage gestellt wird, was singularisiert wird. Während Identifizierung als Ziel stets die "Wiedererkennung" eines bestimmten Menschen verfolgt, bezieht sich der Vorgang der Singularisierung auf die Benennung von einzigartigen Informationsmustern - also die Beschreibung eines unverwechselbaren Knotenpunktes von Informationsverbindungen innerhalb einer Datenbank oder eines Informationsnetzwerkes. Ein solcher logischer Ort muss nicht notwendigerweise einem Menschen zugerechnet werden oder überhaupt zurechenbar sein. So lassen sich beispielsweise innerhalb von Informationsnetzwerken diverse Informationsmaschinen nach "Adressen" singularisieren, die in weiteren Schritten Personen zugerechnet werden können. Der Vorgang der Singularisierung betrifft in diesen Fällen zunächst aber eine Maschine, der man in gewissen Fällen aus Erfahrung unterstellt, dass sie von einem bestimmten Menschen genutzt wird.[18] Damit kommen wir zum Risikoaspekt der Bestimmbarkeit.
3. Bestimmbarkeit als Risikotatbestand
[14] Wie in Ziffer 1 bereits erwähnt, bedeutet "Bestimmtheit" im Sinne des Datenschutzrechts dasselbe wie "Identifizierung". Unter dem weitergehenden Begriff der "Bestimmbarkeit" muss folgerichtig die Möglichkeit oder die Wahrscheinlichkeit der Identifizierung verstanden werden. Für Personendaten ist die Wahrscheinlichkeit in der Regel sehr hoch, (idealerweise 100%), da der Sinn der Bearbeitung dieser Daten in der Verknüpfung mit der betreffenden Person liegt. Im Hinblick auf pseudonymisierte oder anonymisierte Personendaten bedeutet indes die Wahrscheinlichkeit der Identifizierung (idealerweise 0%) zugleich das Risiko der Identifizierung, da die Identifizierung nicht vom Bearbeitungszweck gedeckt ist und daher eine separat zu rechtfertigende Gefahr der (zivil- oder verfassungsrechtlichen) Persönlichkeitsverletzung im Sinne des Datenschutzrechts darstellt.
[15] Gemäss der Botschaft zum ursprünglichen Datenschutzgesetz ist eine Person bestimmbar, "wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann". Im nächsten Satz folgt sogleich eine wichtige Präzisierung dieses gesetzlichen Risikotatbestands: "Für die Bestimmbarkeit genügt allerdings nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand für die Bestimmung der betroffenen Personen derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird (etwa durch eine komplizierte Analyse einer Statistik), liegt keine Bestimmbarkeit vor".[19] Das Bestimmbarkeitsrisiko trifft sowohl die Betroffenen (Risiko der Persönlichkeitsverletzung), wie auch die Datenbearbeiter (Risiko der unrechtmässigen Datenbearbeitung). Die schweizerischen Datenschutzgesetze sind indes aufgrund ihres definierten Zwecks stets im Hinblick auf die Gefährdung der Persönlichkeitsrechte der Personen, über die Daten bearbeitet werden (das gesetzlich geschützte Rechtsgut), auszulegen.[20] Diesen kommt daher in der Tendenz im Rahmen der Risikobeurteilung ein höheres Gewicht zu.
[16] In seiner Gegenüberstellung der beiden Begriffe der Singularisierung und Identifizierung legt Rosenthal die Einschränkung des Identifizierungsbegriffs so aus, dass bei Fehlen von typischen Identifikatoren (wie des Namens) in einem Datensatz dieser Datensatz grundsätzlich als "nicht bestimmbar" gilt und daher nicht unter das Datenschutzrecht fällt. Dabei soll auf zwei Aspekte abgestellt werden, nämlich ob a) dem Bearbeiter neben dem Prüfdatensatz (der die singularisierten Daten einer Person enthält) ein sog. Referenzdatensatz (der Identifikatoren enthält) zur Verfügung steht, mit dem ein Match erzeugt und damit ein singularisierter Datensatz identifiziert werden kann und ob b) der Bearbeiter ein Interesse an der Identifizierung bzw. an dem damit verbundenen Aufwand hat.[21] Nach der hier vertretenen Auffassung bezeichnet diese Form der Identifizierung eine externe Identifizierung. Rosenthal fügt relativierend hinzu, dass er offen lasse, ob der Referenzdaten-Test in jedem Fall tauglich sei und dass verschiedene Punkte der Klärung harrten: der Zeitraum für das Verfügbarwerden von Referenzdaten, eine denkbare "Halbwertszeit" von Daten ("weil auch das Interesse an einer personenbezogenen Nutzung und damit Identifikation abnimmt") und insbesondere was es bedeute, dass eine Person "bekannt" sei.[22]
[17] Von den aufgezählten offenen Fragen ist jene des "bekannt seins" von besonderem Interesse: sie verweist auf die Problematik der internen Identifizierung sowie des Übergangs zur externen Identifizierung und damit zur Bestimmbarkeit. Letztere stellt einen Risikotatbestand dar (vgl. Rz. 15). Die beiden genannten Aspekte der Verfügbarkeit eines Prüfdatensatzes und des Identifizierungsinteresses dürfen demzufolge nicht als blosse kumulative Voraussetzungen in die Beurteilung einfliessen, und das Vorliegen von Personendaten verneint werden, wenn eine davon nicht erfüllt ist. Vielmehr müssen sie als kumulative Risikofaktoren für die Möglichkeit einer externen, nach aussen wirkenden Identifizierung gewichtet werden.
[18] Aus der Risikoperspektive betrachtet ist Bestimmbarkeit der Person im Sinne des Datenschutzrechts demnach anzunehmen, wenn a) Daten auf eine Art und Weise gekennzeichnet werden, die bezweckt, einzelne Personen in einem System wiederzuerkennen (interne Identifizierung) und b) dadurch aufgrund des Kontextraums[23] dieser singularisierten Datensätze die (realistische) Möglichkeit begründet wird, dass die Datenbearbeiterin oder Dritte mit den dahinter stehenden realen Personen in eine tatsächliche oder rechtliche Beziehung treten (externe Identifizierung).
[19] Von den möglichen Konstellationen ist jene, dass die Bearbeiterin bereits über einen Referenzdatensatz verfügt, lediglich die offensichtlichste Variante. Sie zum Test für die Bearbeitung von Personendaten zu erklären[24], beschränkt die Verantwortung der Datenbearbeiter für den Schutz der Persönlichkeitsrechte der Betroffenen auf ein absolutes Minimum. Es kann etwa auch dann von der Bestimmbarkeit eines Personendatums ausgegangen werden, wenn die Bearbeiterin, die eine interne Identifizierung vorgenommen hat, über ausreichende Ressourcen und/oder technische Mittel zur externen Identifizierung verfügt, aber nicht notwendigerweise daran interessiert ist oder umgekehrt über relativ bescheidene Ressourcen verfügt aber ein sehr hohes Identifizierungsinteresse aufweist. Als weitere Risikofaktoren beispielhaft genannt seien an dieser Stelle die Fragen der Verfügbarkeit von Referenzdaten bei Dritten, das Interesse Dritter an den singularisierten Daten sowie das damit verbundene Risiko eines rechtswidrigen Zugriffs auf die Daten durch Dritte, die über eine Referenzdatenbank verfügen.[25]
4. Die Differenzierungsleistung des Begriffs der Singularisierung
[20] Der Begriff der Singularisierung ist insofern nützlich als er Datensätze beschreibt, die auf eine Art und Weise aufbereitet sind, welche eine interne Identifizierung erlaubt. Eine korrespondierende reale Einzelperson muss nicht einmal tatsächlich existieren, sondern kann aus dem Nutzerkonto eines Informationssystems bestehen, das von mehreren Personen genutzt wird, etwa ein guest account auf einem privaten PC. Auch ist es möglich, dass der Personenbezug der Daten aufgrund einer Verschlüsselung durch Dritte für die Bearbeiterin nicht ersichtlich ist.
[21] In diesem Sinne verstanden benennt der datenrechtliche Begriff der Singularisierung ein notwendiges informationstechnologisches Werkzeug und Voraussetzung zur Bestimmung und damit Identifizierung - im Sinne einer "eindeutigen Wiedererkennung" - eines Menschen.[26] Als "Indiz" für eine (externe) Identifizierung erscheint er insofern geeignet, als das Vorliegen von "singularisierten" personenbezogenen Daten einen informationellen Anknüpfungspunkt im Hinblick auf eine bestimmte Person - und damit das Risiko der Verknüpfung mit externen Identifikatoren durch die Datenbearbeiterin oder Dritte - begründet.[27]
5. Nachtrag
[22] Das eigentliche Problem betrifft nicht die hier besprochenen Begriffe, der Streit um sie ist lediglich ein Symptom. Das eigentliche Problem besteht darin, dass der Geltungsbereich des Datenschutzrechts über den Begriff des Personendatums bestimmt und dabei auf eine Weise eingeschränkt wird, der ihn zu einem Spielball der Nuancen des Einzelfalls macht. Dies kann dazu führen, dass für eine Datenbearbeiterin das Gesetz für manche Bearbeitungen von Daten, die Angaben über Personen betreffen, nicht gilt - und für ander Formen der Bearbeitung derselben Daten aber schon. Hier wird ein Rechtsproblem auf der begrifflichen Ebene geregelt, das sinnvoller durch eine materielle Regelung über die Beaerbeitung von anonymen Personendaten gelöst werden sollte.
[23] Es müsste sauber unterschieden werden zwischen dem Geltungsbereich des Gesetzes und den Rechten bzw. Pflichten der Datenbearbeiter und jenen Personen, über die Daten bearbeitet werden sowie der Interessensabwägung zwischen diesen. Im privaten Bereich würde dies dem Persönlichkeitsrecht des ZGB entsprechen, das zur Beurteilung von Rechtsverletzungen bei fehlender Einwilligung eine Interessensabwägung vorschreibt (die für das Datenschutzrecht in Art. 13 DSG als Rechtfertigungsgrund präzisiert wird). Die Abwägung der Interessen sollte innerhalb des Gesetzes geschehen und nicht darüber bestimmen, ob dieses überhaupt gilt. Hier ist Rosenthal zuzustimmen, wenn er meint, es entbehre "jeglicher Rechtssicherheit" wenn die Auswirkung einer Datenbearbeitung entscheidend darüber mitbestimme, ob das Datenschutzrecht zur Anwendung gelange oder nicht.[28]
Zitiervorschlag: Philip Glass, Identifizierung und Singularisierung, www.datalaw.ch, [Rz.] ([Link]; Stand: [Datum])
photo originally by Paul Dufour
Siehe BBl 2017 6941, 7019); damit wird der Wortlaut aus der Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23. März 1988, (BBl 1988 II 413, 444 in leicht präzisierter Form übernommen. ↩︎
BSK DSG-Blechta, Art. 3 Rz. 10 f.; Beat Rudin, in: Baeriswyl/Pärli (Hrsg.), Stämpflis Handkommentar zum DSG, Art. 3 Rz. 12. ↩︎
David Rosenthal, Handkommentar zum Datenschutzgesetz, Zürich 2008, Art. 3 Rz. 19 f. ↩︎
Mit Recht erstaunt David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, Fn. 17. ↩︎
Botschaft 2017, aaO. ↩︎
Ebenso David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, 199 f., allerdings offen lassend, wie Identifizierung funktionieren sollte; für das europäische Recht Artikel 29 Datenschutzgruppe, WP 136 4/2007, S. 16; "Die Person kann also ohne Kenntnis ihres Namens und ihrer Adresse anhand sozioökonomischer, psychologischer, philosophischer oder sonstiger Kriterien kategorisiert und mit bestimmten Entscheidungen in Zusammenhang gebracht werden, da der Kontaktpunkt der Person (Computer) die Offenlegung ihrer Identität im engeren Sinn nicht mehr zwingend erfordert. Mit anderen Worten setzt die Identifizierbarkeit einer Person nicht mehr die Kenntnis ihres Namens voraus"; für das deutsche Recht siehe Dammann, in: Simitis (Hrsg.), BDSG, 7. Auflage Baden-Baden 2011, § 3 DSG Rz. 22. ↩︎
"reachable"; vlg. dazu Solon Barocas/Helen Nissenbaum, Big Data's End Run around Anonymity and Consent, in: Lane/Stodden/Bender/Nissenbaum, Privacy, Big Data and the Public Good - Frameworks of Engagement, Cambridge University Press 2014, S. 45 ff.; "Even when individuals are not "identifiable", they may still be "reachable", may still be comprehensibly represented in records that detail their attributes and activities, and may be subject to consequential inferences and predictions taken on that basis"Version of the supplement to the consultation response of 4 April 2017; Helen Nissenbaum, The Meaning of Anonymity in an Information Age, The Information Society, 15:141-144, 1999; "If, in previous eras, namelessness, that is choosing not to reveal one’s name, was the best means of achieving unreachability, it makes sense that namelessness would be protected. However, remaining unamed should be understood for what it is: not as the end in itself of anonymity, but rather, the traditional means by which unreachability has been achieved". ↩︎
Dasselbe gilt für Verwaltungen bezüglich der Begründung, Abänderung und Auflösung von Rechten und Pflichten der Betroffenen sowie im Rahmen von Realakten. ↩︎
David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 198. ↩︎
David Rosenthal, Der Vorentwurf für ein neues Datenschutzgesetz: Was er bedeutet, in: Jusletter 20. Februar 2017, in der Fassung der Beilage zur Vernehmlassungsantwort vom 4. April 2017, S.7. ↩︎
Artikel 29 Datenschutzgruppe, WP 136 4/2007, S. 16. ↩︎
So der Titel des Buches von Christoph Kucklick, Die Granulare Gesellschaft, Wie das Digitale unsere Wirklichkeit auflöst, Berlin 2014. ↩︎
Andreas Reckwitz, Die Gesellschaft der Singularitäten, Berlin 2017, S. 253. ↩︎
Andreas Reckwitz, Die Gesellschaft der Singularitäten, Berlin 2017, S. 255; zum Phänomen der "digitalen Doubles" siehe auch Ueli Mäder, Selbstorganisation durch soziale Kooperation, digma 2/2015, S. 63; aus datenrechtlicher Sicht Philip Glass, Die rechtsstaatliche Bearbeitung von Personendaten in der Schweiz, Zürich 2017, S. 213. ↩︎
Andreas Reckwitz, Die Gesellschaft der Singularitäten, Berlin 2017, S. 73 f. ↩︎
Vgl. David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 200, der im Zusammenhang mit der Identifizierung davon spricht, dass eine Person "in irgend einer Weise vorbekannt" sein muss, um eine identifizierende Verknüpfung zu anonymen Daten herzustellen. ↩︎
David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 202. ↩︎
Zur Veranschaulichung kann man sich auf amiunique.org die Einzigartigkeit der eigenen PC-Konfiguration zeigen lassen; siehe auch den Hinweis auf Cookies und Browser bei David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 200. ↩︎
BBl 1988 II 413, 444 (Hervorhebung durch den Autor); die Einschränkung wurde direkt aus einem Kommentar zum deutschen Datenschutzrecht übernommen (Fn. 30); zu den risikorechtlichen Aspekten des Datenschutzrechts vgl. Philip Glass, Die rechtsstaatliche Bearbeitung von Personendaten in der Schweiz, Zürich 2017, S. 138 ff. ↩︎
Vgl. Art. 1 DSG-CH: "Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden". ↩︎
David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 202. ↩︎
David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 201. ↩︎
Zum Begriff Philip Glass, Die rechtsstaatliche Bearbeitung von Personendaten in der Schweiz, Zürich 2017, S. 125 ff. ↩︎
David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 200 f.; "Referenzdaten-Test", einschränkend, dass dieser Test möglicherweise nicht in allen Fällen tauglich sei (vgl. oben, Rz. 15). ↩︎
Dazu Dammann, in: Simitis (Hrsg.), BDSG, 7. Auflage Baden-Baden 2011, § 3 DSG Rz. 26.; als "Dritte" kommen insbesondere auch Mitarbeiterinnen und Mitarbeiter der betreffenden Datenbearbeiterin in Frage. ↩︎
Damit liegt nach der hier vertretenen Auffassung im Falle des in David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 198 vorgebrachten Beispiels der Person, die auf einer Videoaufzeichnung zu sehen, jedoch nicht eindeutig zu erkennen ist, keine Singularisierung vor (a.M. Rosenthal, S. 200), da der Datensatz eben nicht eindeutig ist. Es handelt sich um anonyme Personendaten, da sie offensichtlich Informationen von einer absolut bestimmten Person (vgl. Rz. 1) abbilden, aber dieser nicht klar zuweisbar sind und auf sämtliche Personen zutreffen, welche die in dem Video erkennbaren Merkmale aufweisen (Statur, Kleidung, evtl. Haarschnitt etc.).
Im Beispiel der Onlinezeitung, welche über Jahre mittels Cookies anonyme Dossiers ihrer Leserinnen und Leser anfertigt (aaO., S. 198), liegt nach der hier vertretenen Auffassung eine Singularisierung bzw. eine interne Identifizierung vor. Da die Zeitung aufgrund der Cookies das Angebot auf die jeweilige Maschine(n) zuschneidet, wird zudem das Risiko einer externen Identifizierung der betreffenden User laufend gesteigert. Personendaten liegen schliesslich dann vor, wenn und soweit die Datensätze de-anonymisiert werden (können) oder zumindest das Risiko hierzu entscheidend erhöht wird (etwa durch Verkauf der Datensätze an Dritte, welche über Möglichkeiten und/oder ein hohes Mass an Motivation zur De-anonymisierung verfügen). ↩︎Die Europäische Kommission nennt die folgenden Datenkategorien als Beispiele für personenbezogene Daten (Personendaten): Name und Vorname; Privatanschrift; E-Mail-Adresse wie vorname.nachname[at]unternehmen.com; Ausweisnummer; Standortdaten; IP-Adresse; Cookie-Kennung; Werbekennung Ihres Telefons; Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten. ↩︎
David Rosenthal, Personendaten ohne Identifizierbarkeit?, digma 4/2017, S. 200. ↩︎