Mit dieser Frage beschäftigte sich das Landgericht (LG) Berlin im Januar 2022. Auslöser war das Vorgehen einer Richterin des Amtsgerichts (AG) Berlin. Diese hatte im Rahmen eines Verfahrens, in dem eine Frau Trennungs- und Kindesunterhalt gegen ihren Mann geltend machte, die Wohnadresse bzw. Anschrift der Frau in den Onlinedienst „Google Maps“ eingegeben, um deren Wohnfläche zu ermitteln. Dieses kam im Verlauf des Verfahrens heraus.
Die Frau verklagte daraufhin das AG Berlin: Die Adresseingabe stelle eine Verarbeitung eines personenbezogenen Datums von ihr dar, die auf keine Rechtsgrundlage gestützt werden könne. Zudem sei es dadurch zu einer Übermittlung des Datums an Google in die USA gekommen. Zu diesem Zeitpunkt bestand kein Angemessenheitsbeschluss für das Drittland. Die Klägerin verlangte aufgrund dessen einen Schadensersatz in Höhe von 2.000 Euro. Das beklagte Gericht sah hingegen in der Adresse allein kein personenbezogenes Datum und damit auch keinen Schaden der Klägerin durch die Eingabe dieser Information bei „Google Maps“.
Entscheidung des LG Berlin
In seiner Begründung führte das LG Berlin zunächst an, dass die Umstände der Adresseingabe durch die Richterin nicht mehr rekonstruiert werden konnten:
„Es ist bereits unklar, welche genauen Adressdaten die Richterin bei Google Maps eingegeben hat. Auch wenn bereits die Angabe „…straße, … Berlin“ ausreichen könnte, um dann zu dem entsprechenden Hausgrundstück mit der Nr. … in Google Maps zu „wandern“, mag hier unterstellt werden, dass die Richterin die Daten „…straße …, … Berlin“ eingegeben hat. Doch auch bei der bloßen Nutzung der Anschrift „…straße …, … Berlin“ auf der Website von Google fehlt es an einem personenbezogenen Datum.“ (LG Berlin, Urteil vom 27.01.2022 – Az. 26 O 177/21, Rn. 18)
Das LG Berlin stellte schließlich fest, dass in diesem Fall weder eine Verarbeitung eines personenbezogenen Datums noch eine Datenübermittlung in ein Drittland vorliege:
„In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar.“ (LG Berlin, Urteil vom 27.01.2022 – Az. 26 O 177/21, Rn. 20)
Ein Schadensersatzanspruch der Klägerin wurde in der Folge verneint.
Ist es wirklich so einfach?
Das Urteil des LG Berlin klingt im ersten Moment logisch. Bei näherer Betrachtung gesetzlicher Ausführungen sowie der bisherigen Rechtsprechung des Europäischen Gerichtshofs (EuGH) wirft die Entscheidung jedoch Fragen auf. Dies gilt im Hinblick auf Situationen, bei denen eine Adresse nur von einer einzigen Person bewohnt wird.
Nach 4 Nr. 1 DSGVO sind personenbezogene Daten definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten […] identifiziert werden kann“. Erwägungsgrund 26 S. 3 und 4 der DSGVO konkretisiert dahingehend, dass „um festzustellen, ob eine natürliche Person identifizierbar ist, […] alle Mittel berücksichtigt werden“ sollten, „die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren […]. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
Sofern unter einer Adresse nur eine Person lebt, dürfte diese anhand ihrer Adresse auch identifiziert werden können. Ein Personenbezug ist grundsätzlich, z. B. mit Zusatzwissen, herstellbar. Dies hängt natürlich vom Einzelfall ab: Bei Adressen von Hochhäusern mit vielen Wohneinheiten und somit vielen Mietern/Eigentümern, ebenso aber auch in Wohngebieten mit Einfamilienhäusern, dürfte durch die Adresse allein noch nicht auf eine bestimmbare Person zu schließen sein.
Der EuGH hat bereits 2016 entschieden, „dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum […] darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016 – C-582/14).
Daraus kann geschlussfolgert werden, dass auch eine Wohnadresse ein personenbezogenes Datum darstellt, sofern eine Stelle über (rechtliche) Mittel verfügt, die Adresse mithilfe von Zusatzinformationen einer bestimmten Person zuzuordnen.
Was ist daraus zu schlussfolgern?
Die Frage, ob ein Personenbezug bei einem Datum vorliegt oder nicht, lässt sich i. d. R. nicht pauschal bewerten. Stattdessen sind die Umstände in jedem Einzelfall bei der Einordnung einzubeziehen.
Exkurs
Die Frage ist übrigens auch auf die Angabe einer Straße oder Postleitzahl zu übertragen, was bspw. in der Marktforschung oder bei der Planung von Werbemaßnahmen eine Rolle spielt: Hier wird teilweise nur die Straße oder nur die Postleitzahl angefragt, um somit dem Personenbezug zu entgehen und eine anonyme bzw. datenschutzkonforme Auswertung zu erreichen. Auch hier könnte diskutiert werden, ob sich aus der Angabe einer Straße ohne Hausnummer oder der Angabe einer PLZ in gewissen „Spezialkonstellationen“ schon ein Personenbezug herstellen lässt, wenn nur wenige Personen in diesem Bereich leben. So wäre an ein Dorf oder eine kleine Insel (bspw. eine Hallig) zu denken. Sodann lassen sich sogar noch weitere Informationen mittelbar aus einer Adresse ableiten, wie z. B. die Wohnverhältnisse je nach Wohngegend, was auch etwas über die wirtschaftlichen Verhältnisse einer Person aussagen könnte – wie eine Anschrift am Starnberger See oder auf Sylt.
Fazit
Verantwortliche sind gut beraten, nicht vorschnell ein Fehlen des Personenbezugs anzunehmen. Sollte dieser gegeben und die Anforderungen aus der DSGVO bei der Verarbeitung nicht umgesetzt sein, sind Sanktionen durch die Datenschutzaufsichtsbehörden oder Schadensersatzansprüche von Betroffenen unter der Prämisse einer rechtswidrigen Datenverarbeitung möglich.
31. Januar 2024 @ 15:26
Ich denke es ist wichtig hier die Frage aufzuwerfen: Was ist denn eigentlich die relevante Information mit Personenbezug? M.E. is es der Umstand, dass aus dem Amtsgericht heraus (wahrscheinlich identifizierbar über eine statische IP-Adresse) eine Anfrage zu einer bestimmten Adresse gestellt wurde. Ist die Adresse nur von einer Person bewohnt, liegt eine personenbezogene Information vor derart: „Die Wohnsituation von Frau X ist mit hoher Wahrscheinlichkeit Gegenstand eine Rechtsstreits am Amtsgericht Berlin Y“. Dies wurde so vom LG leider nicht thematisiert. Diese Information wäre gegenüber Google offengelegt worden und das ist nur beim Vorliegen einer Rechtsgrundlage erlaubt. Ein Gericht darf wohl sicherlich diese Möglichkeiten der Recherche nutzen, sei es zur Erfüllung einer gesetzlichen Pflicht (Art. 6 (1) c) DSGVO), zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 6 (1) e) DSGVO) oder auf Basis des berechtigten Interesses (Art. 6 (1) e) DSGVO). War die Verhandlung öffentlich, überwiegt sicherlich das berechtigte Interesse des AG. Hier wie so oft gilt: Die DSGVO hat auch hier einen praktikablen Rahmen gesetzt, der funktioniert. Dass aber bei der Anfrage an Google keine personenbezogenen Daten verarbeitet wurden wie vom LG festgestellt, darf. m.E. angezweifelt werden.
18. Januar 2024 @ 13:37
Bei genauer Betrachtung hat das LG meiner Meinung nach Recht. Aussagen wie „Eine Krähe hackt der anderen keine Auge aus“ sind polemisch aber nicht sachgerecht.
Die Ausführungen von Frau Folkerts bezüglich Einfamilienhäuser sind sehr konstruiert. Die Verbindung zu einer identifizierbaren Person geht hier nur über Telefonbücher (setzt voraus, dass alle Personen an der Adresse im Telefonbuch vermerkt sind – das wird aufgrund der Widerspruchsmöglichkeit zur Veröffentlichung von Telefonnumern, Abnahme der Zahl der Festnetzanschlüsse immer schwieriger), die auch veraltet sein können bzw. über Meldebehörden, die jedoch die Daten nicht ohne weiters herausgeben dürfen.
Was mich stört, dass immer mehr Menschen Datenschutzgesetze missbrauchen um Schadensersatz oder auch was immer abzuzocken.
Liebe Kommentierende, bitte greift nicht immer Gerichte oder Gesetzgeber an, denkt mal lieber über die vielen Bürger nach, die sich auf Kosten anderer bereichern wollen.
18. Januar 2024 @ 9:40
Das liest sich wie Realsatire. In einem dicht regulierten Rechtssystem, in dem insbesondere die Gerichte zu einer konturenlosen bis uferlosen Auslegung von Begriffen neigen, die den Rechtsanwender an den Rand der Verzweiflung bringen, ist man als Gericht plötzlich selbst Akteur. Und kommt natürlich zu dem Schluss, dass die Adresse kein personenbezogenes Datum darstellt. Herrlich! Die beratende Expertise mahnt dann, diese Rechtsauffassung nicht „vorschnell“ zu übernehmen. Das ist die Datenschutzrealität in Deutschland. Wer in diesem Rahmen als Datenschutzbeauftragter berät und kontrolliert, darf seinem Mandanten dann erklären, dass die Einfachheit der Argumentation eines deutschen Gerichts für seinen Mandanten so einfach nicht übernommen werden darf und steht als übertriebener Bedenkenträger da. Übrigens aus gutem Grund. Die Landesdatenschutzbehörden kämen im entschiedenen Fall mit hoher Wahrscheinlichkeit zum Ergebnis, dass die Adresse im Regelfall ein personenbezogenes Datum darstellt.
17. Januar 2024 @ 11:23
Eine Krähe hackt der anderen kein Auge aus.