Datenlöschung muss nicht durch Vernichtung erfolgen

Eine gesetzlich vorgeschriebene Datenlöschung muss nicht unbedingt durch eine Vernichtung erfolgen. Eine Anonymisierung der betreffenden Daten kann genügen.

Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der definierten Gründe vorliegt. Dies ist z. B. der Fall, falls die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 DSGVO).

Das Löschen zählt genau wie das Vernichten zu den Formen der Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO. Und genau hier knüpft eine Entscheidung der österreichischen Datenschutzbehörde an.

Sachverhalt

Der Aufsichtsbehörde lag eine Beschwerde hinsichtlich einer vermeintlichen Verletzung des Rechts auf Löschung vor. Der Beschwerdeführet brachte vor, dass er bei einer Versicherung einen Antrag auf Löschung all seiner Daten gestellt habe. Die Beschwerdegegnerin habe die vollständige Löschung seiner Daten jedoch verweigert.

In ihrer Stellungnahme führte die Beschwerdegegnerin aus, Schritte eingeleitet und die dem Beschwerdeführer eindeutig zuordenbaren Daten entweder sofort gelöscht, oder „DSGVO-konform anonymisiert“ zu haben. Eine Rückführbarkeit auf seine Person sei somit unwiderruflich ausgeschlossen. So seien alle elektronischen Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden sofort gelöscht worden. Sowohl Name als auch Adresse des Betroffenen seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identischem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden. Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet. Eine endgültige Vernichtung aller Daten wurde erst für März 2019 in Aussicht gestellt.

Entscheidung der Aufsichtsbehörde

Die österreichische Datenschutzbehörde musste nun darüber entscheiden, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Löschung verletzt hat, indem sie seinem Löschbegehren dadurch entsprochen hat, dass Teile seiner personenbezogenen Daten durch Anonymisierung unkenntlich gemacht wurden, sodass ein Bezug zu seiner Person nicht mehr oder nur mit unverhältnismäßigem Aufwand möglich ist.

Nach Ansicht der Aufsichtsbehörde sind das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“ im Art. 4 Nr. 2 DSGVO), die nicht zwingend deckungsgleich sind. Somit setzt eine Löschung nicht zwingend eine endgültige Vernichtung voraus. Daher stehe dem Verantwortlichen hinsichtlich der Mittel – sowie der vorgenommenen Art und Weise der Löschung – ein  Auswahlermessen zu.

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten könne somit grundsätzlich ein mögliches Mittel zur Löschung i. S. v. Art. 4 Nr. 2 i. V. m. Art. 17 Abs. 1 DSGVO sein. Es müsse jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, könne der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden.

Übertragbarkeit der Entscheidung der Aufsichtsbehörde auf Deutschland

Gemäß Art. 3 Abs. 1 DSGVO findet die Datenschutz-Grundverordnung Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt. Somit ist die DSGVO sowohl in Österreich als auch in Deutschland gültig und die Entscheidung der österreichischen Aufsichtsbehörde ist auch für die Datenverarbeitung in Deutschland von Bedeutung.

Fundstelle

Der Bescheid der österreichischen Datenschutzaufsichtsbehörde vom 05.12.2018 (DSB-D123.270/0009-DSB/2018) kann unter folgender URL aufgerufen werden:

https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c19ad54e-6d66-4198-a7f2-809ecacf0fad&Position=1&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.1990&BisDatum=20.02.2019&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=DSBT_20181205_DSB_D123_270_0009_DSB_2018_00