Datenschutzbehörde  Datenschutz Europa privacy service
 
Besteht gemäß DSGVO Auskunftsrecht bei pseudonymen Daten (Beispiele Facebook, Google und Co)?
DSGVO Art 5, 11, 15
Sonderregelung für Identifizierung der betroffenen Person - Entfall des Auskunftsrechts im besonderen Fall - Löschungspflicht der Identifizierungsdaten - Auskunftsrecht auch bei pseudonymisierten Daten

Nach dem DSG 2000 musste nur Auskunft bei identifizierten Datenverarbeitungen, etwa bei einem Bankkonto, einem Kundenkonto, einem Patientenakt oder aus der Wählerevidenz, gegeben werden. Mit der DSGVO (ab 25.5.2018) MUSS auch bei sonstigen personenbezogenen Verarbeitungen Auskunft gegeben werden, wenn der Betroffene ausreichend mitwirkt und auf Grund der Mitwirkung bestimmt werden kann.


Variante A: Google-Suche mit bestehendem Google-Konto

Grundsätzlich hat jeder Internetnutzer die Möglichkeit Google Produkte und Dienste zu nutzen. Für eine identifizierte Google-Nutzung muss ein Google-Konto existieren. Für die Registrierung eines Google-Accounts sind folgende personenbezogene Daten erforderlich: Name, Geburtsdatum, Geschlecht, E-Mail, Telefonnummer und Passwort. Auf diese Weise werden die Daten des Betroffenen identifizierbar verarbeitet. Folglich ist eine pseudonymisierte Datenverarbeitung ausgeschlossen.

Das Recht auf Auskunft hat im Datenschutzbereich eine wesentliche Bedeutung. Die Bestimmungen der DSGVO legen genau fest, in welcher Art und Weise einer betroffenen Person Auskunft erteilt wird.

Die grundsätzlichen Voraussetzungen für das Auskunftsbegehren und die Auskunftserteilung sind im Art 12 und Art 15 DSGVO geregelt. Gemäß Art 15 DSGVO erhält der Betroffene in erster Linie Auskunft über die laufenden Verarbeitungen von personenbezogenen Daten und die Zwecke für die Datenverarbeitung. Der Verantwortliche hat gemäß Art 12 DSGVO zu gewährleisten, dass die Auskunft grundsätzlich schriftlich, fristgerecht und kostenlos erfolgt.

Infolge dieser Bestimmungen hat ein Google-Kontoinhaber als Betroffener einen Auskunftsrechtsanspruch. Weiters hat Google als Verantwortlicher alle Anforderungen der DSGVO einzuhalten. Vor allem darf er die Betroffenenrechte gemäß Art 15 bis 20 DSGVO seiner Kontoinhaber nicht verletzen. Damit verpflichtet ein Auskunftsansuchen eines Google-Kontonutzers den Verantwortlichen zur Verschaffung von Informationen.


Variante B: Google-Suche ohne Google Konto (pseudonymisierte Suche)

Der Zugang zum Internet wird per IP-Adressen hergestellt, Google verwendet zusätzlich eine Reihe weiterer Tracking-Methoden, um seine Nutzer eindeutig zu bestimmen, den Ort des Nutzers zu ermitteln, sein Verhalten über eine längere Zeit zu verfolgen etc. Targeting, Tracking und Nudging sind die Big-Data-Technologien, die Google einsetzt.

Neben der IP-Adresse bedient sich Google auch der Computereinstellungen des Benutzers (die sogenannte Computer-Signatur), der installierten Browser-Fonts, installierter Plugins und Cookies, um personenbezogene Informationen zu protokollieren.

Diese Art von Internetnutzung erfolgt in der Regel auf Basis pseudonymisierter Datenverarbeitung, da primär die IP-Adresse, die Interneteinstellung, die Cookies und keine anderen Identifizierungsmerkmale des Nutzers in Betracht kommen. Selbst wenn der Benutzer Standort oder IP-Adresse wechselt, seine Cookies löscht oder seinen Browser wechselt, kann der Benutzer noch immer identifiziert werden (getrackt werden). Nur wer alles ändert, hat die Chance als "neuer" Benutzer bei Google aufzuscheinen.


Speicherung der Identifizierungsdaten entfällt

Gemäß Art 11 Abs 1 DSGVO sind 'Verarbeitungen, in denen eine Identifizierung der Betroffenen nicht oder nicht mehr erforderlich ist', besonders geregelt. Auf Grundlage dieser Sonderbestimmung sind Verantwortliche nicht verpflichtet die Identifizierungsdaten der Betroffenen, 'zur bloßen Einhaltung der Vorschriften der DSGVO', aufrechtzuhalten. Zum Beispiel bei der Pseudonymisierung, d.h. ein Name oder ein anderes Identifikationsmerkmal wird durch ein Kennzeichen ersetzt wird. Dadurch wird die Identifizierung der betroffenen Personen ausgeschlossen oder wesentlich erschwert. So müssen die Betroffenenrechte gemäß Art 15 bis 20 DSGVO nicht eingehalten werden.

Angesichts dieser Punkte darf Google pseudonymisierte Datenverarbeitung gemäß Art 11 Abs. 1 DSGVO vornehmen. Alle Google-Konto Inhaber verlieren dadurch grundsätzlich Ihre Betroffenenrechte, insbesondere das Auskunftsrecht.


Wahrnehmung der Betroffenenrechte, insbesondere Auskunftsrecht

Der Einzelne kann jedoch seine Betroffenenrechte gemäß Art 15 bis 20 DSGVO sichern, indem er weitere personenbezogene Daten zur Verfügung stellt, um seine Identität offen zu legen. Die Sonderregelung des Art 11 Abs 2 DSGVO ermöglicht somit ein Recht auf Auskunft gemäß Art 15 DSGVO.

Gemäß Art 11 Abs 2 können auch Google-Nutzer, bei einfacher Internetnutzung (ohne Google-Account), Ihre Betroffenenrechte in Anspruch nehmen. Durch die Angabe weiterer personenbezogenen Daten, z.B. den Namen, ist die pseudonymisierte Datenverarbeitung ausgeschlossen. Die Identifizierung des Google-Nutzers ist dadurch erfüllt.


Das Gebot der Zweckbindung

Bei der Datenverarbeitung muss gemäß Art 5 Abs 1 lit e DSGVO geprüft werden, ob eine Identifizierung der betroffenen Person für die Verarbeitungszwecke notwendig ist. Diese Prüfpflicht sieht vor, dass Daten nur so lange gespeichert werden dürfen, wie es für die Verarbeitungszwecke erforderlich ist.

Google ist grundsätzlich berechtigt/verpflichtet die Identifizierungsdaten zu speichern, solange die Identifizierbarkeit seiner Kunden für die Verarbeitungszwecke erforderlich ist. Beispielsweise muss Google als Verantwortlicher die Datenschutzbestimmungen der DSGVO einhalten, wenn ein Betroffener das Google-Konto besitzt.


Löschung der Identifizierungsdaten

Um das Gebot der Datenminimierung gemäß Art 5 Abs 1 lit c DSGVO und der Speicherbegrenzung des Art 5 Abs 1 lit e DSGVO zu erfüllen, muss ein Verantwortlicher Identifikationsdaten so früh als möglich löschen.

Wenn ein ehemaliger Google-Kontoinhaber seinen Account unwiderruflich löscht, dann erfolgt in der Regel die zukünftige Nutzung von einfachen Google Diensten nur anhand der IP-Adresse (und sonstigen Tracking-Daten) in Form der pseudonymisierten Datenverarbeitung. So darf Google keine personenbezogene Datenverarbeitung in identifizierender Weise vornehmen.


Nachweis der Nichtidentifizierbarkeit

Wenn im Zuge eines Auskunftsbegehrens - trotz Vorlage von Identifikationsdaten durch den Betroffenen - festgestellt wurde, dass eine Identifizierung des Betroffenen nicht möglich ist, so hat der Verantwortliche die betroffene Person darüber zu informieren. Strittig ist, ob diese Information auch eine Begründung enthalten muss oder ob die Nachricht reicht, dass zum Betroffenen mit seinen Angaben keine personenbezogenen Daten identifiziert werden konnten.

Eine Identifikation wäre jedoch schon gegeben, wenn Google beispielsweise über eine eMail Adresse oder eine Kontaktnummer verfügt, die der Betroffene bekannt gibt und mit deren Hilfe Google weitere Informationen (zB Suchanfragen der letzten Wochen) verknüpft.


Auskunftsanspruch gilt auch für andere pseudonymisierte Verarbeitungen

Selbstverständlich besteht dieser Auskunftsanspruch auch gegenüber jedem anderen Verarbeiter der pseudonymen Verarbeitungen vornimmt.

So betreibt der österreichische Versicherungsverband eine KFZ-Schadensdatenbank, in der Schadensfälle zu KFZs gespeichert sind. Unter anderem Art und Höhe der Schäden. Informationen, die für den Käufer eines Gebrauchtwagens geradezu Gold wert sein können, bisher aber nicht bekannt gegeben wurden.

Die Verwaltung der Daten erfolgt durch Speicherung der Seriennummer des KFZs. Ist jemand Inhaber eines KFZs mit einer bestimmten Seriennummer, dann hat er - unter Vorlage der Seriennummer und eines Inhabernachweises - nach der DSGVO Anspruch auf Auskunft aller dieser Schadensdaten. Ein geeigneter Inhabernachweis wäre etwa ein gültiger Zulassungsschein.

Weitere Beispiele für pseudonyme Verarbeitungen sind CRM-Systeme, die statt den Kundennamen die Kundennummer verwenden, klinische Studien die Patientenkennungen statt Namen verwenden oder auch Log-Dateien von Webservern, die IP-Adressen und Gerätekennungen aufzeichnen.

In allen Fällen besteht mit der DSGVO ein Auskunftsanspruch, wenn die Kundennummer, die Patientennummer oder auch die IP-Adressen vorgelegt werden und die Zuordnung zur eigenen Person glaubhaft gemacht wird.

mehr --> Auskunftsbegehren gemäß § 44 DSG (Sicherheitsbehörden, Polizei...
mehr --> Auskunftsbegehren gemäß Art 15 DSGVO (Facebook - deutsche Vers...
mehr --> Auskunftsrecht gemäß Datenschutz-Grundverordnung (DSGVO)

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster