Buch lesen: «Praxishandbuch DSGVO», Seite 20

gg) Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO)

194

Nach Art. 9 Abs. 2 lit. i DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten zudem nicht untersagt, wenn sie aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, erforderlich ist. Auch die Verarbeitung zu diesen Zwecken ist nur zulässig, wenn das EU-Recht oder das Recht des Mitgliedstaats die Datenverarbeitung erlaubt, das zudem angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsehen muss.

Nationale Regelungen in Deutschland

§ 22 Abs. 1 Nr. 1 lit. c BDSG: Verarbeitung „sensibler“ Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit

195

Der deutsche Gesetzgeber hat von dieser Möglichkeit in § 22 Abs. 1 Nr. 1 lit. c BDSG Gebrauch gemacht. Demnach ist die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig, wenn sie „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist“. Nach § 22 Abs. 1 Nr. 1 lit. c Hs. 2 BDSG müssen hierfür aber sowohl nach Maßgabe von § 22 Abs. 2 BDSG angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorgesehen werden296 als auch in deren Ergänzung insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses eingehalten werden, z.B. nach § 203 StGB und den anwendbaren Berufsordnungen.297

196

Allerdings ist es umstritten, ob diese Norm europarechtskonform ist. So beschränkt sich diese Norm im Wesentlichen auf die Wiedergabe des Wortlauts von Art. 9 Abs. 2 lit. i DSGVO, legt aber selbst kein erhebliches öffentliches Interesse fest, wie es der Wortlaut von Art. 9 Abs. 2 lit. i DSGVO eventuell erfordert. Vor diesem Hintergrund könnte die Norm zu unbestimmt und damit unwirksam sein.298 Auch ob § 22 Abs. 2 BDSG, wie von § 9 Abs. 2 lit. i DSGVO gefordert, (selbst) hinreichend spezifische Maßnahmen vorsieht, ist zweifelhaft.299

197

Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Datenverarbeitung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Datenverarbeitungen, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.

hh) Verarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke (Art. 9 Abs. 2 lit. j DSGVO)300

198

Nach Art. 9 Abs. 2 lit. j DSGVO ist die Verarbeitung besonderer Kategorien personenbezogener Daten schließlich erlaubt, wenn diese für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 erforderlich ist. Voraussetzung ist wiederum, dass dies auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates erfolgt, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht.

Nationale Regelungen in Deutschland

199

Der deutsche Gesetzgeber hat vor diesem Hintergrund in § 27 BDSG spezielle Regelungen zur Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken erlassen.301 Diese werden in Kap. 17 Rn. 321ff. ausführlich erläutert. In § 28 BDSG finden sich sodann besondere Vorgaben zur Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken.302

200

Ausführliche Erläuterungen zur Verarbeitung (besonderer Kategorien) personenbezogener Daten zu wissenschaftlichen Forschungszwecken finden sich in Kap. 17 Rn. 317ff.

ii) Erforderlichkeit der Datenverarbeitung

201

Unabhängig davon, auf welche Alternative des Art. 9 Abs. 2 DSGVO eine Datenverarbeitung gestützt wird (wohl i.V.m. Art. 6 Abs. 1 DSGVO),303 dürfen Daten nur insoweit verarbeitet werden, wie dies für den jeweiligen Zweck erforderlich ist. Mithin muss die Datenverarbeitung für den jeweils verfolgten Zweck objektiv geboten sein.304 Aufgrund der Sensibilität der Daten und der Natur von Art. 9 Abs. 2 DSGVO als Ausnahmevorschrift ist insoweit aber wohl ein tendenziell strengerer Maßstab anzulegen.305

jj) Besondere Anforderungen für die Verarbeitung genetischer oder biometrischer Daten und Gesundheitsdaten

202

Im Hinblick auf genetische oder biometrische Daten und Gesundheitsdaten ist stets zu beachten, dass die Mitgliedstaaten – zusätzlich zu den in Art. 9 Abs. 2 und 3 DSGVO aufgeführten Bedingungen – nach Art. 9 Abs. 4 DSGVO noch weitere Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten dürfen.

kk) Zweckänderung bei der Verarbeitung besonderer Kategorien personenbezogener Daten

203

Die Zulässigkeit der Verarbeitung von besonderen Kategorien personenbezogener Daten zu einem anderen Zweck, als für den sie ursprünglich erhoben wurden, ist in Art. 9 DSGVO nicht ausdrücklich geregelt. Nach hier vertretener Auffassung gelten daher auch im Hinblick auf diese Daten die allgemeinen Regelungen des Art. 6 Abs. 4 DSGVO.306 Hierfür sprechen sowohl der Wortlaut von Art. 6 DSGVO als auch die systematische Auslegung der DSGVO. So soll gem. Art. 6 Abs. 4 lit. c DSGVO im Rahmen der Prüfung der Vereinbarkeit des neuen Zwecks mit dem ursprünglichen Zweck die Art der zu verarbeitenden Daten berücksichtigt werden, „insbesondere, ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden“. Diese Regelung wäre schlicht überflüssig, wenn Art. 6 Abs. 4 DSGVO nicht auf besondere Kategorien personenbezogener Daten anwendbar wäre.307

204

Somit dürfen auch besondere Kategorien personenbezogener Daten zu einem anderen Zweck als dem, für den sie ursprünglich erhoben wurden, weiterverarbeitet werden, wenn eine Rechtsvorschrift der EU bzw. eines EU-Mitgliedstaates dies erlaubt, die betroffene Person in die Zweckänderung eingewilligt hat oder der andere Zweck, für den die Daten weiterverarbeitet werden sollen, mit dem Zweck, für den die Daten erhoben wurden, gem. Art. 6 Abs. 4 DSGVO vereinbar ist (insoweit gelten die Ausführungen unter Rn. 137ff., wobei sich die Erlaubnisnorm bzw. die Einwilligung gerade auch auf besondere Kategorien personenbezogener Daten beziehen muss,308 entsprechend). Allerdings ist im Fall des Kompatibilitätstests aufgrund der Regelung in Art. 6 Abs. 4 lit. c DSGVO ein besonders strenger Maßstab bei der Beantwortung der Frage anzulegen, ob die beiden Zwecke miteinander vereinbar sind. Alternativ kann der Verantwortliche die Daten für die Verarbeitung zu dem neuen Zweck auch noch neu erheben, falls dies datenschutzrechtlich zulässig ist.

Praxishinweis

Möchte ein Unternehmen besondere Kategorien personenbezogener Daten verarbeiten, sollte das Unternehmen vor Beginn der Datenverarbeitung besonders sorgfältig prüfen, für welche Zwecke es die Daten (in der Zukunft) verarbeiten möchte, um dies insbesondere bei der Festlegung der Datenverarbeitungszwecke, der Datenschutz-Folgeabschätzung, der Erfüllung der Datenschutz-Folgeabschätzung und der Formulierung der Einwilligungserklärung berücksichtigen zu können. Hierbei empfiehlt es sich, eher einen (realistischerweise möglichen) Zweck mehr zu prüfen/aufzunehmen als einen zu wenig.

Nationale Regelungen in Deutschland

§ 24 Abs. 2 BDSG: Zweckänderung bei „sensiblen“ Daten

205

Der deutsche Gesetzgeber hat in § 24 Abs. 2 BDSG eine Erlaubnis für die Verarbeitung von besonderen Kategorien personenbezogener Daten zu einem anderen Zweck normiert.

206

Demnach ist die Verarbeitung derartiger Daten zu einem anderen Zweck, als für den sie erhoben wurden, zulässig, wenn die Voraussetzungen des § 24 Abs. 1 BDSG309 und ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO310 oder nach § 22 BDSG311 vorliegen. Es ist mithin nicht wie bei der Zweckänderung auf Basis eines Kompatibilitätstests nach Art. 6 Abs. 4 DSGVO erforderlich, dass der Zweck, für den die Daten weiterverarbeitet werden, mit dem Ursprungszweck vereinbar ist.

207

Es ist allerdings zweifelhaft, ob § 24 Abs. 2 BDSG sämtliche Anforderungen der Öffnungsklausel Art. 6 Abs. 4 DSGVO i.V.m. Art. 23 Abs. 1 DSGVO erfüllt und damit europarechtskonform ist.312 Unternehmen ist vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob eine geplante Zweckänderung eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Ist dies nicht der Fall, sollten Unternehmen Verarbeitungen von Daten zu einem anderen Zweck, die eine gewisse Relevanz aufweisen und auf diese Rechtsgrundlage gestützt werden sollen, – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.

ll) Spezifische Maßnahmen gem. § 22 Abs. 2 BDSG nur bei Datenverarbeitung auf Basis von § 22 Abs. 1 BDSG bzw. nach Verweis auf § 22 Abs. 2 BDSG

208

Die Pflicht gem. § 22 Abs. 2 BDSG, spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen,313 besteht im Übrigen nur dann, wenn die besonderen Kategorien personenbezogener Daten auf Basis von § 22 Abs. 1 BDSG verarbeitet werden oder eine im konkreten Fall anwendbare Vorschrift im BDSG auf § 22 Abs. 2 BDSG verweist. Zwar könnten die deutschen Datenschutzaufsichtsbehörden – basierend auf einer ebenfalls missverständlichen Gesetzesbegründung314 – so verstanden werden, dass diese Pflicht unabhängig davon bestehe, auf welcher Rechtsgrundlage die Verarbeitung erfolgt,315 so dass diese Pflicht z.B. auch dann eingehalten werden müsste, wenn die Daten auf Basis einer (nur) in Art. 9 Abs. 2 DSGVO enthaltenen Vorschrift verarbeitet werden. Ein solches Verständnis ist angesichts des eindeutigen Wortlauts von § 22 Abs. 2 BDSG jedoch abzulehnen.

9. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten – Art. 10 DSGVO

209

Art. 10 DSGVO ergänzt Art. 6 Abs. 1 DSGVO im Hinblick auf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln.316

210

Damit ein Verantwortlicher derartige Daten verarbeiten darf, muss die Verarbeitung gem. Art. 10 S. 1 DSGVO zunächst nach Art. 6 Abs. 1 DSGVO zulässig sein (es handelt sich bei diesen Daten per se nicht um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO).317 Darüber hinaus legt Art. 10 DSGVO aber noch weitere Voraussetzungen fest. So darf die Verarbeitung derartiger Daten nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht,318 zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

Achtung

Nach Auffassung des EuGH kann die Verarbeitung von Daten, die in den Anwendungsbereich des Art. 10 DSGVO fallen, durch Suchmaschinenbetreiber aber ggf. auch nach Art. 9 Abs. 2 lit. g DSGVO i.V.m. Art. 11 GRCh („Informationsfreiheit“) rechtmäßig sein – und das sogar auch dann, wenn die Anforderungen des Art. 10 DSGVO oder die übrigen Zulässigkeitsvoraussetzungen, wie z.B. aus Art. 5 Abs. 1 lit. c–e DSGVO, nicht erfüllt sind.319 Ggf. können diese Wertungen auch auf Verarbeitungen durch andere Verantwortliche, wie z.B. bestimmte Betreiber von Webseiten, insb. bei journalistischen Inhalten, übertragen werden.320

211

In den Anwendungsbereich von Art. 10 DSGVO fallen allerdings nur Daten, die sich auf den Täter beziehen – Daten, die sich auf das Opfer beziehen, werden hingegen nicht von Art. 10 DSGVO erfasst.321

212

Zudem müssen sich die Daten auf strafrechtliche Verurteilungen und Straftaten322 oder damit zusammenhängende Sicherungsmaßregeln beziehen, damit die zusätzlichen Anforderungen des Art. 10 DSGVO gelten. Hierzu zählen nach der oben bereits genannten Entscheidung des EuGH u.a. Informationen über ein Gerichtsverfahren gegen eine natürliche Person – wie z.B. Informationen über die Anklageerhebung gegen sie oder die Berichterstattung über den Prozess – und ggf. die sich daraus ergebende Verurteilung.323 Dies gilt nach Auffassung des EuGH unabhängig davon, ob die Begehung der Straftat, derentwegen die Person verfolgt wurde, in diesem Gerichtsverfahren tatsächlich festgestellt wurde oder nicht.324

213

Mithin fallen personenbezogene Daten, die (nur) bei Verdachtslagen bzw. vermuteten Straftaten verarbeitet werden, also z.B. im Zusammenhang mit der Verhütung, Ermittlung und Aufdeckung einer Straftat, nach hier vertretener Auffassung nicht in den Anwendungsbereich dieser Vorschrift.325 Damit müssen auch Unternehmen bei der Durchführung von Compliance-Maßnahmen und internen Ermittlungen die Vorgaben des Art. 10 DSGVO nach hier vertretener Ansicht i.d.R. nicht beachten.326

214

Im Hinblick auf die Berichterstattung über strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln zu redaktionellen oder literarischen Zwecken gilt in Deutschland auch weiterhin das (z.B. in § 23 Abs. 1 MStV und in den Presse- und Mediengesetzen der Länder enthaltene) Medienprivileg, welches die Berichterstattung über Strafverfahren und -taten ermöglicht.327

10. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist – Art. 11 DSGVO

215

Art. 11 DSGVO regelt den Sonderfall, dass für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich ist. Der Vorschrift liegt die Konstellation zugrunde, dass der Verantwortliche zwar personenbezogene Daten verarbeitet (andernfalls wäre die DSGVO gar nicht anwendbar), er die betroffene Person selbst aber nicht identifizieren kann.328

a) Keine Pflicht zur Verarbeitung von identifizierenden Merkmalen

216

Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, legt Art. 11 Abs. 1 DSGVO fest, dass der Verantwortliche nicht verpflichtet ist, zur bloßen Einhaltung dieser Verordnung – z.B. der Erfüllung von Auskunftsrechten der betroffenen Person nach Art. 15 DSGVO – zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. Diese Regelung dient der Umsetzung des in Art. 5 Abs. 1 lit. e DSGVO festgelegten Prinzips der Speicherbegrenzung sowie dem Prinzip der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO.329

217

Art. 11 Abs. 1 DSGVO stellt damit klar, dass der Verantwortliche keine (zusätzlichen) identifizierenden Merkmale beschaffen muss bzw. er diese löschen/anonymisieren darf, wenn sie für den Zweck, für den die personenbezogenen Daten verarbeitet werden, nicht (mehr) erforderlich sind, sondern nur der bloßen Einhaltung der DSGVO dienen würden.330 Mithin soll der Verantwortliche also nicht verpflichtet sein, zusätzliche Informationen zur betroffenen Person allein deshalb einzuholen/vorzuhalten, um die Vorgaben der DSGVO einzuhalten, wenn dies ansonsten für den Zweck, für den der Verantwortliche die Daten verarbeitet, nicht erforderlich ist.331 Allerdings verbietet es Art. 11 Abs. 1 DSGVO dem Verantwortlichen auch nicht, zusätzliche Informationen zur Identifizierung der betroffenen Person zu erheben/vorzuhalten.332 In diesem Fall wäre aber stets zu prüfen, ob die Verarbeitung dieser zusätzlichen Informationen (nach den allgemeinen Zulässigkeitsanforderungen, z.B. Art. 6 Abs. 1, Abs. 4 DSGVO) zulässig ist.333

Beispiele

Verarbeitet ein Verantwortlicher z.B. pseudonymisierte Daten, stellt Art. 11 Abs. 1 DSGVO klar, dass er keine zusätzlichen identifizierenden Merkmale bzgl. der betroffenen Person einholen, aufbewahren oder verarbeiten muss (z.B. die Zuordnungstabelle zu den Klarnamen), nur damit diese z.B. die Betroffenenrechte nach Art. 15ff. DSGVO geltend machen kann, obwohl die Einholung, Aufbewahrung oder Verarbeitung dieser identifizierenden Merkmale für den eigentlich durch den Verantwortlichen verfolgten Zweck gar nicht notwendig ist.

Weitere Anwendungsfälle können zum Beispiel beim Tracking/Online Behavioral Advertising, bei bestimmten Compliance-Systemen in Unternehmen (wie z.B. Whistleblowing-Hotlines) oder bei der (massenhaften) Videoüberwachung gegeben sein.334

218

Art. 11 Abs. 1 DSGVO befreit den Verantwortlichen dann auch konsequenterweise von der Einhaltung sämtlicher Vorschriften der DSGVO, die die Identifizierung der betroffenen Person erfordern, wenn die Identifizierung für die Verarbeitungszwecke des Verantwortlichen nicht (mehr) erforderlich ist und der Verantwortliche vor diesem Hintergrund nicht (mehr) über die hierfür erforderlichen Informationen verfügt.335 Für die Befreiung von den Betroffenenrechten gem. Art. 15–20 DSGVO statuiert Art. 11 Abs. 2 DSGVO aber besondere Voraussetzungen. Kann der Verantwortliche die verarbeiteten Daten allerdings mit eigenen Mitteln (ggf. mit einem gewissen technischen Aufwand) der betroffenen Person zuordnen (z.B. die Pseudonymisierung eines Datensatzes aufheben), dann entbindet ihn Art. 11 Abs. 1 DSGVO nicht von der Pflicht, diese Zuordnung durchzuführen, und befreit ihn dann auch nicht von der Einhaltung der Vorschriften der DSGVO.336

b) Pflichten und Privilegierung des Verantwortlichen gem. Art. 11 Abs. 2 DSGVO

219

Art. 11 Abs. 2 DSGVO knüpft an Abs. 1 an und regelt weitere Folgen für den Fall, dass die Voraussetzungen des Abs. 1 erfüllt sind. Insbesondere regelt die Vorschrift, unter welchen Voraussetzungen der Verantwortliche in den Fällen des Art. 11 Abs. 1 DSGVO von der Erfüllung der Betroffenenrechte gem. Art. 15–20 DSGVO befreit ist.337

aa) Nachweispflicht des Verantwortlichen

220

Nach Art. 11 Abs. 2 S. 1 DSGVO muss der Verantwortliche zunächst nachweisen können, dass er – objektiv – nicht (mehr) in der Lage ist, die betroffene Person zu identifizieren.338 Hierzu muss der Verantwortliche – nach hier vertretener Ansicht – zumindest plausibel darlegen,339 dass er die betroffene Person nicht (mehr) mit eigenem Wissen identifizieren kann, z.B. weil er die identifizierenden Merkmale gelöscht oder die entsprechenden Datensätze pseudonymisiert hat und selbst nicht (mehr) über die Zuordnungsregel der Klarnamen zu den Pseudonymen verfügt.340 Umstritten ist, inwieweit beim Nachweis der fehlenden Identifizierbarkeit der betroffenen Person auch das für den Verantwortlichen verfügbare Zusatzwissen zu berücksichtigen ist.341

221

Eine solche Nachweispflicht besteht jedenfalls dann, wenn die vom Verantwortlichen verarbeiteten Daten, bezüglich derer er die betroffene Person nicht (mehr) identifizieren kann, immer noch als personenbezogen i.S.d. Art. 4 Nr. 1 DSGVO zu qualifizieren sind, z.B. weil ein Dritter die betroffene Person identifizieren kann.342 Ebenfalls ist unstreitig, dass eine Nachweispflicht nach Art. 11 Abs. 2 S. 1 DSGVO nicht besteht, wenn der Verantwortliche von Anfang an nicht-personenbezogene Daten verarbeitet hat, weil die DSGVO und damit auch Art. 11 DSGVO sachlich nur auf personenbezogene Daten Anwendung findet.343

222

Nicht abschließend geklärt ist hingegen, ob die Nachweispflicht nach Art. 11 Abs. 2 S. 1 DSGVO auch dann besteht, wenn der Verantwortliche ursprünglich personenbezogene Daten verarbeitet und diese dann anonymisiert hat. In der Literatur werden hierzu beide Ansichten vertreten.344

Praxishinweis

Zur Vermeidung etwaiger Haftungsrisiken sollten Unternehmen überlegen, – sofern möglich – auch die Anonymisierung von Datenbeständen zu dokumentieren, um sie ggf. auch gem. Art. 11 Abs. 2 S. 1 DSGVO nachweisen zu können, zumal die Unternehmen – dem Accountability-Prinzip folgend – oftmals ohnehin verpflichtet sein werden, die Anonymisierung zu dokumentieren.

223

Die Nachweispflicht besteht dabei (zumindest faktisch) unabhängig von der Anfrage einer betroffenen Person, die z.B. ihre Betroffenenrechte geltend machen möchte, und kann z.B. auch von den Datenschutzaufsichtsbehörden überprüft werden.345

Praxishinweis

Für einen solchen Nachweis reicht es nach hier vertretener Ansicht aus, wenn der Verantwortliche glaubhaft macht, dass er die betroffene Person trotz entsprechender Bemühungen nicht identifizieren konnte.346 Allerdings ist auch nicht auszuschließen, dass Datenschutzaufsichtsbehörden oder Gerichte – dem Wortlaut des Art. 11 Abs. 2 S. 1 DSGVO folgend – den strengeren Nachweis verlangen, dass das Unternehmen die betroffene Person nicht identifizieren konnte, es also beweisen muss, dass alle vertretbaren Mittel zur Identifizierung erfolglos waren.347 Unternehmen müssen also durch die Einführung entsprechender organisatorischer und technischer Prozesse sicherstellen, dass die Merkmale, die die betroffene Person identifizieren, auch tatsächlich beseitigt werden, wenn sie für den Verarbeitungszweck nicht (mehr) erforderlich sind. Außerdem müssen sie die Entfernung dieser Merkmale, z.B. durch deren Löschung oder Anonymisierung, dokumentieren, um sie – wie nach Art. 11 Abs. 2 S. 2 DSGVO erforderlich – auch nachweisen zu können.