Thesen - Deutscher Juristentag

69. Deutscher Juristentag München 2012B. Begriff der personenbezogenen Daten4. Datenschutz-Regelungen zur Datenverarbeitung sollten immer erst beim Vorliegen einesPersonenbezugs dieser Daten greifen. Wenn kein Personenbezug besteht, also Anonymitätgegeben ist, ist die Datenverarbeitung grundsätzlich ohne Einschränkung zulässig.5. Der Begriff der personenbezogenen Daten ist damit die entscheidende Stellgröße für dieReichweite datenschutzrechtlicher Regelungen. Er darf nicht so weit gehen, dass jede auch nurtheoretische Möglichkeit, insbesondere eines Dritten, den Personenbezug herzustellen, bereitsden Personenbezug und damit die volle Anwendbarkeit datenschutzrechtlicher Regeln nachsich zieht. Personenbezug durch Personenbeziehbarkeit liegt nur vor, wenn die datenverarbeitendeStelle selbst oder eine von ihr abhängige Organisationseinheit den Personenbezug ohneunverhältnismäßigen Aufwand herstellen kann (subjektiv-relative Theorie).6. Kennungen im Rahmen der Online-Nutzung wie IP-Nummern, Gerätenummern oderauch Cookie-IDs, die von der datenverarbeitenden Stelle selbst nicht unmittelbar einer Personzugeordnet werden können, stellen damit für sich keine personenbezogenen Daten dar.C. Verbot mit Erlaubnisvorbehalt und Einwilligung7. Ein Regelungssystem mit einem grundsätzlichen Verbot mit explizitem Erlaubnisvorbehaltals Basis für jede Datenverarbeitung ist in der durchgehend von Datenverarbeitunggeprägten Informationsgesellschaft nur zukunftsfähig, wenn vom Gesetzgeber weitreichendegesetzliche Erlaubnistatbestände für Datenverarbeitungsvorgänge geschaffen werden, dienicht oder nur wenig in die Persönlichkeitsrechte der Betroffenen eingreifen.8. Das Erfordernis expliziter, rechtsgeschäftlich ausgestalteter Einwilligungen sollte auf Fällemit hoher Eingriffsintensität beschränkt bleiben, da sich andernfalls die intendierte WarnundEntscheidungswirkung der Einwilligung bei den Betroffenen innerhalb kürzester Zeitverliert und damit bei erheblichen Entscheidungen mit hoher Eingriffsintensität gerade nichtmehr die wünschenswerte individuelle Auseinandersetzung mit den Konsequenzen erfolgt.9. Eine Überbetonung der Einwilligung als zentralem Element für die Ermöglichung vonDatenverarbeitung bevorzugt einseitig große geschlossene Ökosysteme, wie sie insbesonderevon globalen Playern mit einer breiten Dienstebreite angeboten werden und bei denen Nutzerfaktisch keine tatsächliche Wahlmöglichkeit haben, während kleine und neu in den Markttretende Anbieter, Nischen-Angebote und vor allem Dienste ohne die Notwendigkeit einesLogins, insbesondere viele gesellschaftlich wichtige Mediendienste, benachteiligt sind.10. Insbesondere setzt ein undifferenziertes Einwilligungssystem falsche ökonomische An -reize, da sich durch die Erlangung der Einwilligung die Pforte zu jedweder Datensammlungund -verarbeitung öffnet, während datenschutzfreundliche Modelle, die freiwillig auf eineexten sive Datenerhebung oder die Herstellung eines umfassenden Personenbezugs verzichten,keinen Vorteil mehr bieten. Der Gesetzgeber sollte daher durch Privilegierungen in Formgesetzlicher Erlaubnistatbestände Anreize für Datenverarbeiter setzen, die datenschutzfreundlicheGestaltungen mit einer möglichst geringen Eingriffsintensität wählen.11. Insbesondere sollte auch die geplante europäische Datenschutz-Grundverordnung einen74