In dem Fall des Datenschutzbeauftragten gegen Telstra Corporation Limited- [2017] FCAFC 4 – hat der oberste Gerichtshof Australiens am 19.01.2017 die Definition von persönlicher Information („personal Information“) aus den nationalen Datenschutzprinzipien (National Privacy Principles- NPP) ausgelegt als das Erlangen persönlicher Information die im speziellen auf die individuelle Person bezogen sein muss.  Es muss demnach in der Information bzw. den Daten um die Person selbst gehen. Die NPP wurden im Privacy Act 1988 (Cth)(„Privacy Act“) aufgestellt und regelten wie bestimmte private Organisationen persönliche Informationen behandeln, benutzen und verwalten können. Die NPP sind inzwischen durch die australischen Datenschutzprinzipien (Australian Privacy Principles – APP) ersetzt worden. Die Nutzung dieser Definition um Festzustellen was als persönliche Information gilt, birgt die potentielle Gefahr Metadaten, die in der Hand von privaten Organisationen sind, von dem Schutz der APP auszuschließen.

Der Datenschutzbeauftragte gg. Telstra Fall begann mit der Bitte eines Journalisten die persönlichen Informationen einzusehen, die sein Telekommunikationsdiensteanbieter Telstra über ihn gesammelt hatte. Gemäß NPP 6.1, welcher der Journalist als Rechtsgrundlage für den Zugang zu seinen Informationen nutzte, haben Individuen das Recht auf Einsicht und Korrektur ihrer, bei privaten Organisationen befindlichen, persönlichen Informationen. Der Grund für die Bitte des Journalisten war, unter anderem, die Kompetenz des Einzelnen zum Zugang zu persönlichen Informationen, im Vergleich zu beispielsweise öffentlichen privaten Organisationen, zu zeigen.

Telstra lehnte die Bitte des Journalisten teilweise ab; Sie stellten keine Informationen bezüglich der Mobilfunknetze zur Verfügung (IP Adressen, URL Informationen, Informationen zu den Standorten von Mobilfunkmasten, und Informationen über die Nummern und Position von Anrufern). Telstra war der Ansicht diese Informationen nicht herausgeben zu müssen, da sie nicht personenbezogen seien, und daher nicht als persönliche Informationen gemäß dem NPP gelten.

Der oberste Gerichthof stimmte diesem Argument zu. Nach der Definition des Gerichtshofes von persönlicher Information nach dem Privacy Act, ist es notwendig, dass die Information so personenbezogen ist, dass die Identität des Antragstellers dadurch offenbar ist, oder mit zumutbarem Aufwand herausgefunden werden könnte. Zudem zeigt der Gerichtshof auf, dass nicht jede Information, durch die die Identität des Antragstellers erlangt werden kann als personenbezogene Information gilt. Vielmehr muss es in dieser Information speziell um den Antragsteller als Individuum gehen.

Trotz der ausdrücklichen Erwähnung von Metadaten, wurde nicht festgestellt, ob diese unter die Definition der persönlichen Information fallen. Der Gerichtshof war eher darauf fixiert, dass die Information personenbezogen sein muss. Durch diese Argumentation hat der Gerichtshof gleichwohl die Möglichkeit Metadaten als persönliche Information zu werten stark eingeschränkt. Der Gerichtshof hat somit die Möglichkeit außer Acht gelassen, zum Beispiel durch Datenvernetzung („data linking“) und Datenvergleich („data matching“), die Identität einer Person zu erlangen auch ohne einen personenbezogenen Informationsinhalt.

Das Urteil ist hier zu finden: http://www.judgments.fedcourt.gov.au/judgments/Judgments/fca/full/2017/2017fca

fc0004

Ursprünglich erschienen im EMR-Newsletter 05/17 von Kristine Biason, Rechtsanwältin bei Legal Vision in Surry Hills, New South Wales, Australien