Ich dachte ursprünglich dabei an den einfachsten Fall, d.h. eine nicht-personenbezogene Anmeldung,
z.B. mit freiem Usernamen, Cookie, OHNE Email-Adresse, zur Verifikation lediglich Captcha.
So könnte sich ein User an ein System registrieren, ohne das er auch nur einen echten Teil seiner echten Identität angeben müsste.
Trotzdem wäre er eindeutig identifiziert, unter seinem Account, durch Cookies o.ä.
Ich habe solche Systeme schon öfter mal gesehen, und für sehr praktisch befunden.
Also wäre das nach der Begriffsbestimmung doch Alles schon eindeutig UNTER der DSGVO:
Zitat:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt
oder indirekt (ja, aber wäre nicht ohne mehrere Instanzen rückverfolgbar), insbesondere
mittels Zuordnung zu einer Kennung (ja, wäre aber nur ein Alias) wie einem Namen, zu einer Kennnummer (ja, aber anonym), zu Standortdaten, zu einer Online-Kennung (ja, aber anonym)
oder zu einem oder mehreren besonderen Merkmalen (wenn das zu dem Folgenden gehört ist das wohl nicht erfüllt) identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Die Frage wäre doch ob eine
"therese1799" oder ein "knallipulli33" eine IDENTIFIZIERBARE Person wäre, wenn diese sich über anyonyme Daten an ein System anmeldet, und dort nur ihre/seine eigenen Daten verwaltet.
Wäre dies identifizierbar ?
Mit Email: ja womöglich, wenn auch nur mit Hilfe vom Provider
Ohne Email: das wäre doch normalerweise auszuschliessen (mal abgesehen von Vorratsdatenspeicherung und Prism)
Wenn ich REST-Services für registierte Benutzer anbiete, ohne diese zu zwingen persönliche Daten anzugeben könnte man doch theoretisch ausserhalb des DSGVO Anwendungsfalls liegen.
Andererseits
Zitat:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
Selbst wenn Obiges für solche REST-Services zuträfe, und eine Ausnahme wären:
Dann könnte man trotdem nicht verhindern das Personen ihre echten Daten/Informationen eingeben und veröffentlichen statt bewusst anonym zu bleiben
(Der DAU soll ja geschützt werden).
So wie ich das verstehen müsste wäre wirklich JEDER Fall unter der DSGVO zu berücksichtigen, vermutlich nur mit unterschiedlicher Schärfe, je nach Relevanz der Daten und Indentifizierbarkeit der echten Person.
Andere Fälle wären wohl noch: (mal bewusst etwas weiter hergeholt)
- Gaming mit Online-Austausch der Scores (sind allgemeine, personenbezogenen Informationen)
- Browser-Historie (sind allgemeine, personenbezogenen Informationen)
- Desktop-App Setup (sind allgemeine, personenbezogenen Informationen)
- Intranet-Server App (sind allgemeine, personenbezogenen Informationen)
- Nutzung von VoiceCommand in Apps (wird i.d.R. personenbezogene Sprachinfo an Clouds in Drittländer (AWS, Google, Azure) liefern)
...
...
Dann sollte man sich wohl doch mal tiefer mit den ganzen Prozessen zum Datenschutz auseinandersetzen, und was das als Entwickler und Betrieben für solche Apps und Dienste wohl bedeuten mag
Ein einfacher Disclaimer zum Wegclicken wird vielleicht nicht mehr ausreichen.
Rollo