Vernichtung oder Anonymisierung von personenbezogenen Daten als probate Mittel dem Recht auf Löschung zu entsprechen?

Die österreichische Datenschutzbehörde (DSB) verdichtet weiter ihre Spruchpraxis zum datenschutzrechtlichen Löschungsanspruch. Nachdem zuletzt das Verhältnis von Löschpflichten zu gesetzlichen Aufbewahrungsfristen sowie die weitere Vorhaltung von Kontaktdaten für eventuell zukünftige Kontaktaufnahmen trotz Löschungsbegehrens behandelt wurden, erkannte die DSB in einer kürzlich ergangenen Entscheidung (GZ: DSB-D123.270/0009-DSB/2018) über die "Anonymisierung" von Daten als möglichem Mittel zur Entsprechung von Löschpflichten.

Der Sachverhalt

Im zugrundeliegenden Fall standen Beschwerdeführer und Verantwortlicher offenbar in einer vormaligen Kundenbeziehung, aus der noch Daten zu stornierten Vertragsverhältnissen und aus einer Online-Beratung verarbeitet wurden.

Nach Einlangen des Löschungsersuchens hatte der Verantwortliche zunächst bestehende Vertragsofferten sowie elektronische Kontaktinformationen (E-Mail-Adresse, Telefonnummer, etc.) gelöscht. Ferner – und von besonderer Relevanz – wurden die dem Betroffenen zuordenbaren Daten zur Person (Name, Vorname, Adresse) manuell durch eine anonyme, nicht zuordenbare Person ("Max Mustermann") mit identem Geschlecht und Geburtsdatum unwiderruflich überschrieben. Die solcherart inhaltsleere Kundenverbindung war damit nur mehr "Max Mustermann" (und nicht mehr dem Beschwerdeführer) zugeordnet. In den Dateien bestanden auch keine weiteren identifizierenden Merkmale mehr, die mit der ursprünglichen Onlineanfrage des Beschwerdeführers in Verbindung gebracht werden konnten.

Der Betroffene sah sich dennoch beschwert, da der Verantwortliche die personenbezogenen Daten (teilweise) eben nur "anonymisiert", nicht jedoch gänzlich gelöscht habe und wandte ein, dass ihm ein Löschungsanspruch zustehe, da "anonymisierte" Daten unter bestimmten Umständen wieder de-anonymisiert werden könnten und der Vernichtung der Daten Vorrang zukomme.

Entscheidung der Datenschutzbehörde

Die DSB führte dazu grundlegend aus, dass die EU Datenschutz-Grundverordnung (DSGVO) keine Definition zu den Begriffen "Anonymisierung" und "Löschung" enthält. Die Erwägungsgründe halten jedoch fest, dass die DSGVO keine Anwendung auf anonymisierte Daten findet und darunter jene Informationen zu verstehen sind, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann". Demgegenüber spricht die Definition des Begriffs der "Verarbeitung" (Art 4 Z 2 DSGVO) von "Löschen" und "Vernichten" als Formen der Datenverarbeitung, woraus die DSB zwei alternative Handlungsformen ableitet, die nicht zwingend deckungsgleich sind. "Löschen" im Sinne der DSGVO, so die DSB, setzt daher nicht zwingend eine endgültige Vernichtung der betreffenden Daten voraus. Vor diesem Hintergrund spricht die DSB dem Verantwortlichen im Löschungsprozess ein Auswahlermessen zu.

Die DSB bestätigte, dass die Entfernung des Personenbezugs (Anonymisierung") von personenbezogenen Daten grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein kann. Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst noch ein Dritter "ohne unverhältnismäßigen Aufwand" einen Personenbezug wiederherstellen kann. Der "Anonymisierungsprozess" sei im Verfahren nachvollziehbar dargelegt worden und es bestünden auch keine Anhaltspunkte, aus welchen ein Personenbezug weiterhin gegeben bzw. die Wiederherstellung des Personenbezugs ohne unverhältnismäßigen Aufwand möglich sei. Im Übrigen führte die Behörde an, dass eine völlige Irreversibilität – unabhängig vom verwendeten Mittel der Löschung – nicht notwendig ist. Die Beschwerde wurde daher abgewiesen.

Praxis - Tipps

Die Entscheidung ist aus Sicht von Unternehmen durchaus zu begrüßen, bringt sie für die in der Praxis so herausfordernde Löschungsthematik doch gewisse Erleichterungen. Erste Schlussfolgerungen für die Praxis lauten:

  • Das "Recht auf Löschung" erfordert nicht zwingend eine Vernichtung der Daten, sondern kann auch durch Anonymisierung erfüllt werden, sofern die betroffene Person nicht oder nicht mehr identifiziert werden kann.
  • Durch das Überschreiben der Personenstammdaten mit einer Dummy Kundenverbindung" lässt sich grundsätzlich eine faktische Anonymisierung der ursprünglichen Kundenverbindung herbeiführen. Dies entspricht einer Löschung, wenn der Personenbezug nicht "ohne unverhältnismäßigen Aufwand" wiederhergestellt werden kann. Besonderes Augenmerk ist hierbei auf Log-Daten zu legen, die als "hidden data" allenfalls weiterhin eine Zuordnung erlauben!
  • Eine völlige Irreversibilität ist nicht gefordert, weshalb auch eine allenfalls später mögliche Rekonstruktion nicht schadet. Der Einsatz von technischen Hilfsmitteln oder die Einführung von "Big Data" darf vorgenommenen Anonymisierungsprozessen jedoch nicht kompromittieren!
  • Nicht ausreichend dürfte es sein, die Datenorganisation bloß so zu verändern, dass ein gezielter Zugriff" auf die betreffenden Daten ausgeschlossen ist (zB bloßes Kappen der logischen Zugriffsmöglichkeit). Nur wenn Daten im Ergebnis auf einer Ebene aggregiert werden, sodass keine Einzelereignisse mehr identifizierbar sind, kann der so entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden.
  • Die angewendeten Mittel der Löschung sind ausreichend zu dokumentieren und müssen der Behörde im Anlassfall auch nachgewiesen werden können!

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.