Das Optimum der Datenvermeidung ist erreicht, wenn keine
personenbezogenen Daten gemäß § 3 Abs. 3 BDSG erhoben werden, weil in diesem Falle auch keine personenbezogenen Daten gemäß § 3 Abs. 4 BDSG verarbeitet und gemäß § 3 Abs. 5 BDSG genutzt werden können.
458Ist Datenentstehung nicht vermeidbar, ist bereits bei der Datenerhebung von den Möglichkeiten der Anonymisierung gemäß § 3 Abs. 6 BDSG und
Pseudonymisierung gemäß § 3 Abs. 6a BDSG Gebrauch zu machen ist, soweit dies möglich ist, und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
459Anonymisieren bedeutet gemäß § 3 Abs. 6 BDSG das Verändern personenbezogener Daten derart, dass die
Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und
Arbeitskraft einer bestimmten oder bestimmbaren natürlich Person zugeordnet werden können. Beim Pseudonymisieren gemäß § 3 Abs. 6a BDSG handelt es sich hingegen um das Ersetzen eines Namens und anderer
458 Vgl. Bizer in: Simitis, BDSG-Kommentar, § 3a BDSG Rn. 57; Abel, Praxishandbuch Datenschutz, Teil 8/4.3.1 S. 1.
459 Siehe zum Systemdatenschutz Gola/Schomerus, BDSG, § 3a BDSG Rn. 4/8. Auch die EU-Richtlinie 2002/58/EG beinhaltet als Grundprinzip die Datenvermeidung und Datensparsamkeit, wie sich aus Erwägungsgrund 20 (in welcher der Diensteanbieter zur Aufklärung über
Verschlüsselungstechniken verpflichtet wird), Erwägungsgrund 26 (wo auf die Erlaubnis zur Speicherung lediglich für einen begrenzten Zeitraum abgestellt wird) oder Erwägungsgrund 30 (der ausdrücklich die Pflicht normiert, die Systeme derart einzurichten, dass so wenig wie möglich personenbezogene Daten entstehen) ergibt.
Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
460Diese Vorgabe ist in dem Grundsatz des so genannten Systemdatenschutzes gemäß § 3a BDSG enthalten, der als übergreifende Regelung für sämtliche Bereiche des Datenschutzrechts übernommen worden ist.
461Allerdings ist zu berücksichtigen, dass nur die Anonymisierung gemäß § 3 Abs.
6 1. Alt. BDSG den Personenbezug durch irreversible Löschung dauerhaft und vollständig beseitigen kann. Die Anonymisierung im Sinne des § 3 Abs. 6 2. Alt BDSG und die Pseudonymisierung gemäß § 3 Abs. 6a BDSG können dies nicht sicherstellen, ,
462da die Beseitigung des Personenbezugs allein der Löschung als Unkenntlichmachen bzw. Vernichten gespeicherter personenbezogener Daten vorbehalten ist.
463Die Bestimmbarkeit einer Person und
Personenbezogenheit bleibt daher grundsätzlich weiterhin bestehen, auch wenn hierzu ein unverhältnismäßig hoher Aufwand erforderlich ist.
464Die Anonymisierung, die gemäß § 3 Abs. 6 2. Alt. BDSG die Herstellung des Personenbezugs erschwert, und die Pseudonymisierung gemäß § 3 Abs. 6a BDSG, die ausschließlich auf das Ersetzen des Namens und anderer
Identifikationsmerkmale durch ein Kennzeichen beschränkt ist,
465stellen daher lediglich Instrumente dar, bei der Erhebung und bei unvermeidbarer und länger
460 Vgl. zur Pseudonymisierung auch Bizer in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 212 ff.
461 Siehe Rasmussen, CR 2002, 36, 38 sowie die Ausführungen in der Einführung S. 16.
462 Vgl. Dammann in: Simitis, BDSG-Kommentar, § 3 BDSG Rn.196, der darauf verweist, dass die Qualität der Einzelangaben als personenbezogene Daten bei einer Anonymisierung, die die Voraussetzungen des § 3 Abs.6 2. Alt. BDSG erfüllt, erhalten bleibt.
463 Siehe die Fn. 58 und den darin enthaltenen Verweis auf Enzmann/Scholz in: Roßnagel, Datenschutz beim Online-Einkauf, S. 84, die vorrangig die Frage nach der Notwendigkeit einer Datenverarbeitung stellen und anschließend auf das Optimum des Datenschutzes durch Bildung anonymer oder pseudonymer Datensätze verweisen. Anonymisierung sollte allerdings durch die Löschung des Personenbezugs erfolgen, da insbesondere auch die Anonymisierung im Sinne von § 3 Abs. 6 1. Alt. BDSG nicht geeignet ist, den Personenbezug dauerhaft
auszuschließen (vgl. Dammann in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 196).
Grundsätzlich ist hierbei zu beachten, dass ebenso die Löschung gemäß § 3 Abs. 4 Nr. 5 BDSG eine Form der Verarbeitung darstellt, so dass sich die Fragestellung nach der Erforderlichkeit der Datenverarbeitung (um es exakter zu formulieren) darauf bezieht, ob es erforderlich ist, dass Daten (längerfristig) entstehen, erfasst oder gespeichert werden. Siehe auch Dammann in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 175 zur Löschung als eine irreversible Handlung, die bewirkt, dass eine Information nicht länger aus gespeicherten Daten gewonnen werden kann. Außerdem Schild in: Roßnagel, Handbuch Datenschutzrecht, 4.2 Rn.
81 ff.; Gola/Schomerus, BDSG, § 3 BDSG Rn. 40; Schaffland/Wiltfang, BDSG, § 3 BDSG Rn.
75. 464
Vgl. Dammann in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 196.
465 Vgl. Bizer in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 212 ff.. Siehe zu pseudonymen Daten auch Tinnefeld in: Roßnagel, Handbuch Datenschutzrecht, 4.1 Rn. 30, die auf die Bedeutung „falscher Name“ oder „Deckname“ verweist.
andauernder Speicherung von personenbezogenen Daten, diese Daten
„datenschutzfreundlicher“ zu speichern und aufzubewahren.
Dies bedeutet, dass im Sinne eines bestmöglich verwirklichten Datenschutzes stets die Löschung von Daten, die zur Erfüllung legitimer Geschäftszwecke nicht erforderlich sind,
466das oberste Gebot darstellen muss. Erfolgt keine vollständige und unwiderrufliche Löschung der Daten,
467kann niemals absolut ausgeschlossen werden, dass der Personenbezug nicht nachträglich hergestellt wird, beispielsweise etwa durch Preisgabe der Daten.
468Hierbei sind unter anderem die vielfältigen Verknüpfungsmöglichkeiten im Internet zu
berücksichtigen.
469In diesem Zusammen wird stets die mögliche Irreversibilität der einmal gespeicherten Daten betont
470und darüber hinaus darauf verwiesen, dass dem Nutzer oft verborgen bleibt, wer Daten über ihn sammelt.
471Trotz dieser potenziellen Gefahren für das Persönlichkeitsrecht hat der
Gesetzgeber allerdings die Anonymisierung von Daten im Sinne von § 3 Abs. 6 2. Alt. BDSG für jedwedes Interesse eines Datenverarbeiters (und als
unternehmensfreundliche Alternative) zugelassen.
472
466 Vgl. zum Erforderlichkeitsprinzip Roßnagel in: Roßnagel, Handbuch Datenschutzrecht, 1 Rn.
40. Siehe außerdem Bizer in: Simitis, BDSG-Kommentar, § 3a BDSG Rn. 53. Zur
Erforderlichkeit siehe außerdem S. 98, wonach eine Information ist zur Erfüllung einer Aufgabe nur dann erforderlich ist, wenn die Aufgabe ohne Kenntnis der Information nicht, nicht
rechtzeitig, nur mit unverhältnismäßigem Aufwand oder mit sonstigen unverhältnismäßigen Nachteilen erfüllt werden kann.
467 Siehe insbesondere Heibey in: Roßnagel Handbuch Datenschutzrecht, 4.5 Rn. 23 zum datenschutzgerechten Löschen und Unkenntlichmachen von Daten im Sinne des
§ 3 Abs. 3 Nr. 5 BDSG, so dass diese nicht mehr mit handelsüblichen Programmen wiederhergestellt werden können. Heibey (aaO) verweist hierbei auf spezielle
Löschungsverfahren, die zu löschende Daten überschreiben oder magnetisieren. Vgl. ebenso Dammann in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 200, der ausführt, dass eine
Anonymisierung nur bei einer absolut irreversiblen Maßnahme vorliegt. Daher muss auch eine Löschung so durchgeführt werden, dass die Daten tatsächlich nicht mehr zurückgewonnen werden können.
468 Vgl. hierzu auch Dammann in: Simitis, BDSG-Kommentar, § 3 BDSG Rn. 35, der sich beispielhaft auf die Übermittlung verschlüsselter Daten an einen Empfänger bezieht und insoweit ausführt, dass diese Daten für den Empfänger anonym sind, aber diese vorher relativ anonymen Daten auch für den Empfänger bestimmbar und damit personenbezogen werden, wenn der Code nachträglich preisgegeben wird. Siehe auch Tinnefeld in: Roßnagel, Handbuch Datenschutzrecht, 4.1 Rn. 23 mit dem Hinweis, dass das Risiko der Re-Individualisierung nie ganz ausgeschlossen werden kann. Ebenso Roßnagel/Scholz, MMR 2000, 721, 726.
469 Siehe zu den Verknüpfungsmöglichkeiten, der wachsenden Gefahr der Identitätsaufdeckung und den Zusammenführungsmöglichkeiten im Internet Fröhle, Web Advertising, Nutzerprofile und Teledienstedatenschutz, S. 51/52; Schaar, Datenschutz im Internet, Rn. 174.
470 Vgl. etwa Hornung, MMR 2004, 3, 4/5.
471 De Terwangne/Louveaux, MMR 1998, 451, 451.
472 Eine Einschränkung ergibt sich lediglich in § 98 TKG.