Die Datenschutzgrundverordnung (DSGVO) verfolgt das Ziel, betroffene Personen vor unzulässiger Verarbeitung ihrer personenbezogenen Daten zu schützen. Obwohl die DSGVO eine Definition des Begriffs der "personenbezogenen Daten" enthält, gibt es laufend Diskussionen, wann und unter welchen Voraussetzungen überhaupt personenbezogene Daten vorliegen.

Sind dynamische IP-Adressen personenbezogene Daten? Können Fotos schon aufgrund der erkennbaren Hautfarbe der abgebildeten Person als besonders sensible Daten eingestuft werden? Die Beantwortung dieser Fragen ist wichtig, weil nur die Verarbeitung personenbezogener Daten überhaupt zur Anwendbarkeit der DSGVO führen kann. Für einige der bislang aufgeworfenen Fragen gibt es (noch) keine klaren Antworten, andere Fragen sind hingegen bereits zweifelsfrei geklärt.

Das stimmt so nicht

Umso mehr verwundert es, dass in letzter Zeit immer öfter zu hören ist, die DSGVO sei unanwendbar, wenn der Verantwortliche die Identität der betroffenen Person, deren Daten er verarbeitet, nicht kenne. Vergangene Woche wurde in einem Rechtsblog des STANDARD etwa die Ansicht vertreten, ein Fotograf, der die auf dem Foto abgebildete Person gar nicht kenne, würde schon allein deshalb mit diesem Foto keine personenbezogenen Daten verarbeiten. Um es kurz zu machen: Das ist schlicht unrichtig.

Gerade in Bezug auf Fotos hat der Europäische Gerichtshof das bereits 2014 unmissverständlich klargestellt: "Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten […], sofern es die Identifikation der betroffenen Person ermöglicht." Und was ermöglicht bei einem Foto die Identifikation? Nicht irgendwelche Zusatzinformationen, nicht irgendein Wissen des Fotografen, sondern das Foto selbst, sofern es die abgebildete Person ausreichend deutlich erkennen lässt.

Ob der Fotograf oder sonst wer die abgebildete Person nun kennt oder nicht kennt, ist daher vollkommen belanglos. Fotos stellen nur dann keine personenbezogenen Daten dar, wenn die abgebildete Person nicht hinreichend deutlich erkennbar ist – etwa weil das Foto unscharf, die Auflösung gering oder die Person verdeckt ist.

Weiteres Verständnis des Begriffs

Der generelle Fehlglaube, es komme für die Beurteilung, ob personenbezogene Daten verarbeitet werden, darauf an, ob man die Person kennt, deren Daten man verarbeitet, fußt wohl auf einem etwas verstaubten Verständnis des Begriffs der Identifikation. Früher erblickte man darin üblicherweise die namentliche Benennung einer Person bzw. die Kenntnis über deren bürgerlichen Namen. Die DSGVO verfolgt jedoch bei weitem nicht so ein enges Verständnis des Begriffs der Identifizierung und zählt neben dem Namen noch zahlreiche Möglichkeiten auf, durch die eine Person individualisiert wird. Und das Foto einer Person stellt (neben ihrem Namen) wohl geradezu den Paradefall eines Individualisierungsmerkmals dar.

Andernfalls würde im Übrigen auch jede Videoüberwachungsanlage keine personenbezogenen Daten verarbeiten. Denn wie viele der gefilmten Personen sind etwa dem Betreiber einer an öffentlich zugänglichen Stellen (Flughafen, Bahnhof etc.) angebrachten Videoüberwachungsanlage schon persönlich oder namentlich bekannt?

Entscheidend ist die Erkennbarkeit

Fotos und Videoaufnahmen von Personen stellen daher jedenfalls personenbezogene Daten dar. Einzige Voraussetzung ist, dass die Personen auf dem Foto oder Video ausreichend deutlich erkennbar sind. Auf ein Wissen oder Unwissen über den Namen oder die Identität der so abgebildeten Personen kommt es nicht an. Jede andere Ansicht negiert Zielsetzung und Wortlaut der DSGVO, die Rechtsprechung des EuGH, die Entscheidungspraxis der Datenschutzbehörde sowie die Leitlinien des Europäischen Datenschutzausschusses.

Und bitte es nicht falsch zu verstehen: Nur weil Fotos oder Videoaufnahmen – Erkennbarkeit der abgebildeten Personen vorausgesetzt – personenbezogene Daten darstellen, führt dies nicht jedenfalls zur Anwendbarkeit der DSGVO. Die DSGVO definiert zusätzliche Anwendungsvoraussetzungen und formuliert auch bestimmte Ausnahmen, etwa für rein persönliche oder familiäre Tätigkeiten. Hier soll es nur um eine notwendige Klarstellung zum Begriff der personenbezogenen Daten gehen, und dass es dabei ohne Bedeutung ist, ob der Verantwortliche die Identität der Personen, deren Daten er verarbeitet, tatsächlich kennt oder nicht kennt. (Sascha Jung, Randolph Schwab, 1.3.2021)