Nach der Darstellung des Rechtsrahmens für nicht-personenbezogene Daten greift unsere Blogreihe heute die Anwendbarkeit des Datenschutzes für Maschinendaten auf.
Maschinendaten als personenbezogene Daten: Anwendbarkeit des Datenschutzes
Das maßgeblich durch die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) geprägte Datenschutzrecht schützt nicht alle Daten, was einem landläufigen Irrtum entsprechen würde. Vom Gesetz geschützt werden nur „personenbezogene Daten“, mithin alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die im Datenschutz als “betroffene Person” bezeichnet wird) beziehen. An die Feststellung, dass die in Rede stehenden Daten unter diese Definition fallen, knüpft der Anwendungsbereich des Datenschutzrechts. Besondere Brisanz hat das Thema, weil das Datenschutzrecht von der Regelungstechnik „Verbot mit Erlaubnisvorbehalt“ (vgl. Art. 6 Abs. 1 DS-GVO) dominiert wird. Ist es anwendbar, würde in vielen Fällen eben dieses grundsätzliche Verbot durchgreifen und der Nutzung der Maschinendaten entgegenstehen.
Klar kennzeichnende Informationen, wie z. B. der volle Name einer Person, beziehen sich auf eine „identifizierte“ Person (etwa dann relevant, wenn sich ein Beschäftigter zwecks Betriebes der Maschine an dieser mit einem Benutzerkonto anmelden muss). Wesentlich diffiziler ist die Frage, wann Informationen in Bezug auf eine „identifizierbare“ Person vorliegen. Die Verbindung anderer Informationen mit solchen klar kennzeichnenden Informationen, wie etwa dem vollen Namen, bzw. die Möglichkeit, eine Verbindung herstellen zu können, infiziert alle anderen damit in Zusammenhang stehenden Informationen. Ob eine Information auf eine identifizierbare natürliche Person bezogen werden kann und sie deshalb als „personenbezogenes Datum“ zu bewerten ist, beurteilt sich jeweils aus Perspektive des Verantwortlichen (grundsätzlich der/die RechtsträgerIn, der/die mit den Daten Umgang hat) und ist im Grundsatz von seinem Kontextwissen abhängig (ein Bezug zu einer identifizierbaren Person liegt etwa vor, wenn in vorgenanntem Beispiel Informationen über den jeweiligen Zustand der Maschine (vermeintlich Informationen „nur“ in Bezug auf die Maschinen) mit dem zum Zeitpunkt der Benutzung angemeldeten Benutzerkonto in Verbindung gebracht werden). Für die Frage, ob für den/die Verantwortliche*n in Bezug auf eine Information eine natürliche „identifizierbar“ ist, wird zwar zunächst auf das bei den Verantwortlichen tatsächlich vorhandene Kontextwissen abgestellt, doch muss er/sie sich für diese Fragestellung nach der Rechtsprechung zusätzlich jegliches Kontextwissen zurechnen lassen, welches er/sie sich mit legalen Mitteln beschaffen könnte (EuGH, Urt. v. 19.10.2016 – C‑582/14).
Für die Praxis folgt daraus z. B. die Empfehlung, dass die durch Sensoren generierten Maschinendaten so beschaffen und abgespeichert sein sollten, dass sie sich auf keine identifizierbare natürliche Person beziehen lassen. Wichtig ist insoweit darauf zu achten, dass dies für keinen Rechtsträger, der/die Umgang mit diesen Daten hat, jeweils aus seiner/ihrer Perspektive der Fall sein sollte (es sind also für die potentiell Beteiligten „MaschinenherstellerInnen“, „MaschinenverleiherInnen“, „MaschinenbenutzerInnen“, etc.) separate Bewertungen dieser über den Anwendungsbereich des Datenschutzrechts entscheidenden Frage vorzunehmen). Dringend zu empfehlen ist es, den im Datenschutzrecht kodifizierten Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 DS-GVO) nicht erst bei Anwendbarkeit des Datenschutzrechts, sondern schon bereits bei der Planung eines datengetriebenen Geschäftsmodells soweit es geht umzusetzen. Beispielsweise für Systeme, die im Kontext des Maschinenverleihs im B2B Bereich eine unsachgemäße Benutzung einer Maschine erkennen und dokumentieren können sollen, wird es in aller Regel nicht erforderlich sein, diese auf Verwendung von personenbezogenen Daten auszulegen. Im B2C Bereich hingegen ist schon der Kunde eine natürliche Person, so dass Informationen darüber, ob der Kunde/die Kundin eine Maschine unsachgemäß benutzt hat, wohl stets „personenbezogene Daten“ sein werden (auch wenn innerhalb der Maschine die Daten keinen Rückschluss auf die Identität des Benutzers ermöglichen, ist es das Kontextwissen desjenigen/derjenigen, der/die später Umgang mit diesen Daten hat, welches die Frage beantwortet, ob für ihn/sie diese Daten „personenbezogene Daten“ darstellen).
Sollte es sich konzeptionell nicht vermeiden lassen, dass die Maschinendaten aus einer der Perspektiven als personenbezogene Daten zu bewerten sind, ist die geplante Wertschöpfung mit den Maschinendaten daraufhin zu hinterfragen, ob der Plan überhaupt zulässigerweise realisiert werden darf und falls ja, welche Anforderungen sodann einzuhalten sind. Dazu ist anzumerken, dass mit Blick auf Maschinendaten in vielen Fällen ergänzend bzw. verdrängend zu den allgemeinen Regeln der Datenschutz-Grundverordnung die spezielleren Regeln der Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy)) zur Anwendung kommen. Die im Mai 2018, zum Inkrafttreten der DS-GVO, vom EDSA veröffentlichte „Erklärung des Europäischen Datenschutzausschusses zur Überarbeitung der ePrivacy-Verordnung und zu den Auswirkungen auf den Schutz der Privatsphäre“ hat bis heute nicht an Aktualität verloren, insbesondere soweit es dort heißt: „Übermittlungsdienste, die zur Erbringung von Maschine-zu-Maschine-Diensten genutzt werden, fallen ebenfalls in den Anwendungsbereich der geltenden Richtlinie.“ Der EDSA betont dort, wie auch schon zuvor seine Vorgängerinstitution, die sog. Art. 29 Gruppe, in ihrem Working Paper 216, „dass Metadaten der elektronischen Kommunikation weiterhin ohne Einwilligung weiterverarbeitet werden dürfen, nachdem sie vollständig anonymisiert wurden“. Dazu muss man jedoch bedenken, dass Informationen, sobald und solange sie anonymisiert sind, sich gerade nicht auf eine identifizierbare natürliche Person beziehen, mithin keine personenbezogenen Daten sind und deshalb außerhalb des Anwendungsbereichs des Datenschutzrechts liegen.
Die ePrivacy-Richtlinie soll nach dem Vorschlag der EU-Kommission vom 10.01.2017 (COM/2017/010 final) zurückgenommen und durch eine Verordnung ersetzt werden – ein politisch hochgradig umstrittener Gesetzesvorschlag. Der am 20.10.2017 verabschiedete Standpunkt des Parlaments betonte die Notwendigkeit, gerade für die Kommunikation in den Bereichen Maschine-zu-Maschine (M2M) und Internet-of-Things (IoT) klarere Abgrenzung gegenüber den allgemeinen Regeln der DS-GVO einzuführen. Maschinendaten werden in diesen Bereichen als Bestandteile „elektronischer Kommunikationsdienste“ der Regulierung unterfallen, so dass der weitere Verlauf dieses Gesetzgebungsverfahren für das hier betrachtete Thema von herausgehobener Bedeutung ist. Der am 10.02.2021 gefasste Standpunkt des Rates nähert sich diesem Thema so: „Sobald elektronische Kommunikationsdaten aus einem geschlossenen Gruppennetz in ein öffentliches elektronisches Kommunikationsnetz übertragen werden, gilt diese Verordnung für diese Daten, auch wenn es sich um M2M-/IoT-Daten und Personal-/Home-Assistant-Daten handelt.“
Für einige Verwirrung sorgt derzeit die Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, deren Umsetzungsfrist noch läuft und deren Inhalte deshalb in Deutschland noch nicht Gesetz wurden. Diskutiert wird der Aspekt „personenbezogene Daten als Gegenleistung“. Die Richtlinie selbst hat sich insoweit eigentlich klar positioniert, indem die begrenzenden Elemente betont wurden: „Digitale Inhalte oder digitale Dienstleistungen werden häufig auch dann bereitgestellt, wenn der Verbraucher keinen Preis zahlt, sondern dem Unternehmer personenbezogene Daten zur Verfügung stellt. Solche Geschäftsmodelle treten in verschiedenen Formen in einem erheblichen Teil des Marktes auf. Obwohl in vollem Umfang anerkannt wird, dass der Schutz personenbezogener Daten ein Grundrecht ist und daher personenbezogene Daten nicht als Ware betrachtet werden können, sollte mit dieser Richtlinie sichergestellt werden, dass die Verbraucher im Zusammenhang mit solchen Geschäftsmodellen Anspruch auf vertragliche Rechtsbehelfe haben.“
Der Praxis könnte also geraten werden, dieses deutsche Umsetzungsgesetz abzuwarten, welches ob dieses Punktes von besonderer Bedeutung für das Thema des Umgangs mit Maschinendaten ist. Sofern es erfolgsrelevant ist, das geplante Geschäftsmodell schnellst möglich auf den Markt zu bringen und daher das Umsetzungsgesetz nicht abgewartet werden kann, sollte zumindest das Gesetzgebungsverfahren beobachtet werden – und das Risiko von Änderungsbedarfen aufgrund geänderter gesetzlicher Rahmenbedingungen kalkuliert werden.
Autor: Stefan Sander, LL.M., B.Sc. Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur
Bisher ist in der Blogreihe Maschinendaten – Einführung und Rechtsrahmen für nicht-personenbezogene Daten folgender Beitrag erschienen: