Personenbezug zu den verarbeitenden Daten

< Zurück

Inwieweit das Datenschutzrecht für die Verarbeitung der zuvor genannten Informationen von Relevanz ist, hängt davon ab, ob der Anwendungsbereich der DSGVO in sachlicher Hinsicht eröffnet ist. Hierfür müsste es sich um die Verarbeitung personenbezogener Daten handeln. Dies folgt schon aus Art. 2 Abs. 1 DSGVO. Gem. Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Daten aus gesetzlichen Anforderungen

Die Aufzeichnungspflicht aus Art. 18 VO EG 178/2002 fordert es, Lieferanten- und Kundendaten zu speichern, sodass Angaben zu (Firmen-)Name und Adresse betroffen sind. Soweit es sich bei den Unternehmen ausschließlich um juristische Personen handelt, deren Daten gespeichert werden, ist dies auf den ersten Blick datenschutzrechtlich unbedenklich, da es hierbei grundsätzlich an einem Bezug zu natürlichen Personen mangelt und damit keine personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO vorliegen. Reine Unternehmensdaten unterfallen folglich nicht dem Anwendungsbereich der DSGVO. Enthält die Bezeichnung der juristischen Person jedoch Namen der (natürlichen) Gesellschafter, so weisen die Informationen einen Personenbezug zu einer natürlichen Person auf, soweit sie Rückschlüsse auf die finanziellen oder wirtschaftlichen Verhältnisse eben dieser zulassen. Gleiches gilt für Personengruppen oder Personenmehrheiten, wie etwa Personengesellschaften. Zum Teil wird unter Hinweis auf ErwGr Nr. 14 S. 2 zur DSGVO, der den Namen einer juristischen Person bewusst ausnimmt, gefordert, die Annahme eines Personenbezugs insoweit aber auf Fälle zu beschränken, in denen die Verarbeitung „erkennbar auf die im Firmennamen benannten natürlichen Personen abzielt.“ Will man gleichzeitig die Besonderheiten der „Ein-Mann-GmbH“ sowie den Ausschluss juristischer Personen nach EG 14 berücksichtigen, ist ein Personenbezug nur unter dieser Bedingung anzunehmen.

Besonderheiten ergeben sich jedoch für den Lebensmittelsektor: Von vehementer Relevanz ist hier der Primärsektor (die sog. „Urproduktion“), zu dem etwa landwirtschaftliche Betriebe zählen. Diese firmieren überwiegend nicht als juristische Personen, sondern zu einem weit überwiegenden Teil als Einzelunternehmer. Gleiches gilt für den Tertiärsektor, zu dem der Groß- und Einzelhandel zählt – auch hier sind nicht selten eingetragene Kaufleute anzutreffen. Für deren Daten ergibt sich der Personenbezug entweder bereits aus ihrer Eigenschaft als natürliche Person oder aber jedenfalls dadurch, dass unternehmensbezogene Daten notwendigerweise auf sie als einzige dahinterstehende Person bezogen werden können, beispielsweise über die Bezeichnung oder Anschrift eines landwirtschaftlichen Betriebs oder Lebensmittelhandels. Ganz ähnliche Erwägungen müssen für den Logistiksektor angestellt werden, denn auch hier kommt es nicht selten vor, dass beispielsweise kleine Spediteure als Ein-Mann-Betriebe unter ihrem eigenen Namen firmieren. Im Gegensatz zu juristischen Personen lassen die Informationen in diesen Fällen typischerweise Rückschlüsse auf die hinter dem Unternehmen stehenden natürlichen Personen zu.

Standortdaten und Daten aus der Qualitätskontrolle

Sobald Standortdaten einer natürlichen Person zugeordnet werden können, weisen sie einen Personenbezug auf. Bei ihnen findet die DSGVO grundsätzlich Anwendung. Werden die Standortdaten unter dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) ohne Verknüpfung zu einer konkreten Person – etwa dem Kraftfahrer – gespeichert, weisen sie jedoch keinen Bezug zu einer bereits identifizierten natürlichen Person auf. Allerdings könnte die Person durch Verknüpfung dieser Daten mit weiteren Informationen aus einem Dienst- oder Einsatzplan identifizierbar sein.

Selbiges gilt für Daten aus der Qualitätskontrolle, z.B. bei Lebensmittelkontrolleuren. Wird die Durchführung der Kontrolle bzw. Daten aus der Kontrolle in der Blockchain gespeichert, kann ein Interesse bestehen, diese Daten einem konkreten Kontrolleur zuordnen zu können. Mit Blick auf den Grundsatz der Datenminimierung sollte jedoch auch hier auf die Nennung des Klarnamens des Kontrolleurs in der Blockchain verzichtet werden. Stattdessen ist die jeweilige Kontrolle einer Kennung zuzuordnen, die ihrerseits dann lediglich über eine Liste außerhalb der Blockchain einem Klarnamen zugeordnet werden kann. Aus dem personenbezogenen Qualitätskontrolldatum wird dadurch ein gem. Art. 4 Nr. 5 DSGVO pseudonymisiertes, also ein solches Datum, das ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann. Bei Rückgriff auf die Zuordnungsregel besteht allerdings keine Anonymisierung, wodurch der Personenbezug der Daten nicht aufgelöst wird und der sachliche Anwendungsbereich der DSGVO weiterhin eröffnet bleibt.

Der Zugriff aller an der Blockchain Beteiligten beschränkt sich zunächst auf die in ihr gespeicherten Standortdaten und Qualitätskontrolldaten sowie Kennungen der Kontrolleure. Zur Identifizierung bedarf es im Regelfall weiterer Mittel. Nach EG 26 S. 3 zur DSGVO sollen i. R. d. Beurteilung der Identifizierbarkeit alle solche Mittel berücksichtigt werden, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich zur Identifizierung genutzt werden. EG 26 S. 4 zur DSGVO konkretisiert, dass für diese Beurteilung alle objektiven Faktoren zu berücksichtigen sind, wozu etwa Kosten, Zeitaufwand und die verfügbare Technologie zählen. Betrachtet man vorliegend die Informationen, derer es für die Zuordnung bedarf, so befinden diese sich in der Hand desjenigen, der die Fahrer bzw. Kontrolleure beschäftigt. Für denjenigen ist die Person mithin ohne Weiteres identifizierbar. Zu klären gilt es, inwieweit dessen Wissen bei der Beurteilung der Identifizierbarkeit für die übrigen Teilnehmer maßgeblich ist:

  • Relativer Ansatz: Nach einem relativen Ansatz sollen allein die individuellen Möglichkeiten des Verantwortlichen von Relevanz sein, Wissen Dritter ist nicht zu berücksichtigen.
  • Absoluter Ansatz: Nach dem absoluten Ansatz genügt bereits die Möglichkeit der Identifizierung durch einen beliebigen Dritten, um das Bestehen eines Personenbezugs anzunehmen. Einzig wenn völlig ausgeschlossen ist, dass der Verantwortliche von diesem Wissen Kenntnis erlangt, soll der Personenbezug nicht vorliegen. Auf die Möglichkeit oder gar die Nutzung des Zusatzwissens abzustellen, würde den Personenbezug ins Belieben des Verantwortlichen stellen. Insoweit kann zwar auf die ausdrückliche Einbeziehung von „Mitteln […] anderer Personen“ (EG 26 S. 2) verwiesen werden, diese sollen aber nur Berücksichtigung finden, wenn sie nach „allgemeinem Ermessen wahrscheinlich“ (EG 26 S. 3) genutzt werden. Rückgriffe auf das Wissen Dritter sollen also nur beschränkt möglich sein.
  • Vermittelnder Ansatz: Eine vermittelnde Ansicht stellt dabei auf die Möglichkeiten des Verantwortlichen ab: Sein Wissen soll um solches Dritter ergänzt werden, das er sich verschaffen könnte und dies bei verständiger Betrachtung der Umstände wahrscheinlich auch tun wird.

Der EuGH orientiert sich bei der Beantwortung dieser Frage (noch bei Geltung der alten Rechtslage) an der vermittelnden Ansicht und lässt es für die Annahme eines Personenbezugs ausreichen, wenn der verarbeitenden Stelle ein rechtliches Mittel zur Verfügung steht, um die Informationen des Dritten in Erfahrung zu bringen. Genügen soll demnach, wenn er mittelbar über eine dritte Stelle Zugriff nehmen kann, wie in jenem Fall über die Strafverfolgungsbehörde. Diese Rechtsprechung erweist sich als auf die neue Rechtslage nach der DSGVO übertragbar.

Dem EuGH zur alten Rechtslage folgend ist demnach maßgeblich, ob der Verantwortliche insbesondere über rechtliche Möglichkeiten verfügt, an die zusätzlichen Informationen zu gelangen, und inwiefern die Inanspruchnahme dieser Möglichkeiten wahrscheinlich ist. Ein lediglich über die Kennnummer oder Standortdaten Verfügender könnte Strafanzeige (in Frage käme bei durch fehlerhafte Lebensmittel eingetretene Schäden etwa fahrlässige Körperverletzung gem. § 229 StGB, sowie Körperverletzung gem. § 223 StGB oder Sachbeschädigung gem. § 303 StGB) erstatten, sofern er etwa meint, durch das Handeln eines Kontrolleurs oder Spediteurs sei ein Schaden an der Ware entstanden oder eine Verunreinigung erfolgt, die sich nachteilig auf die Gesundheit eines Verbrauchers ausgewirkt hat. Unabhängig von einer tatsächlich strafrechtlich relevanten Handlung könnte er diese Vorgehensweise wählen, um ebenso einen zivilrechtlichen Schadensersatzanspruch durchzusetzen. Die Strafverfolgungsbehörde könnte in einem entsprechenden Ermittlungsverfahren die zusätzlichen Informationen entweder zur Identifizierung nach den §§ 94, 95 StPO beschlagnahmen, oder aber weitere Mitarbeiter nach § 161a StPO zu diesen befragen. Das Ermittlungsverfahren ermöglicht also Datenverarbeitern die Verknüpfung von Standortdaten oder Kennungen mit weiteren Informationen, die zur Identifizierung der betroffenen Person erforderlich sind.

Folglich bestehen rechtliche Instrumente, welche einen Rückgriff auf die Informationen Dritter zulassen und so einen Personenbezug von Standort- und Qualitätskontrolldaten begründen können. Somit liegt für die Standortdaten wie auch für die Qualitätskontrolldaten der Personenbezug nicht lediglich für den Teilnehmer, der die jeweiligen Mitarbeiter beschäftigt, sondern ebenso für jeden beliebigen, an der Blockchain beteiligten Dritten, vor.

Inhalt