Genügt für eine Löschung von personenbezogenen Daten und damit der Erfüllung des Löschungsanspruchs eines Betroffenen nach Art. 17 Abs. 1 DSGVO, dass diese Daten anonymisiert werden?
Mit dieser äußerst relevanten Praxisfrage für die Anwendung der DSGVO musste sich die österreichische Datenschutzbehörde auseinandersetzen (DSB, Bescheid v. 5.12.2018, Gz. D123.270/0009-DSB/2018).
Nach der Auffassung der DSB kann die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein. Das bedeutet, dass die Daten nicht auch vernichtet werden müssen.
Versicherungskunde verlangte Löschung seiner Daten
Ein Österreicher verlangte von seiner ehemaligen Versicherung die Löschung der personenbezogenen Daten. Die Versicherung löschte daraufhin die Kontaktdaten und erstellten Versicherungsangebote und stoppte alle Werbezusendungen. Den Namen und die Adresse ersetzte die Versicherung durch „Max Mustermann“ sowie eine anonymisierte Musteradresse. Informationen zu früheren Versicherungsverträgen behielt die Versicherung jedoch.
Nach Aufforderung der Datenschutzbehörde legte die Beschwerdegegnerin ihren Anonymisierungsprozess dar. So sei die ursprüngliche Kundenverbindung durch Umsetzung folgender Schritte aus Löschung und Anonymisierung entfernt worden:
- Löschung der Kundenanfrage sowie des Vertragsangebots
- Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden
- Änderung der Person (Name, Vorname, Adresse): sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden
- Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden
- Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.
- Löschen des Kunden im elektronischen Akt (Historie).
Durch die Umsetzung all dieser beschriebenen Schritte sei eine faktische Anonymisierung der ursprünglichen Kundenverbindung durch das Überschreiben mit einer „Dummy-Kundenverbindung“ herbeigeführt worden.
Eine endgültige Vernichtung aller Daten wurde erst für März 2019 in Aussicht gestellt. Der Kunde bestand aber auf einer sofortigen Vernichtung und beschwerte sich daraufhin bei der Datenschutzbehörde.
DSB: Unterschied zwischen Löschen und Vernichten
Die Datenschutzbehörde gab der Versicherung Recht.
Die Behörde weist in ihrer Entscheidung darauf hin, dass Artikel 17 Abs. 1 DSGVO ein Recht auf Löschung personenbezogener Daten vorsieht. Gleichzeitig zählt die DSGVO in Artikel 4 Nr. 2 Datenverarbeitungsmethoden auf, darunter „das Löschen oder die Vernichtung“. Folglich seien Löschung und Vernichtung nicht identisch.
Nach Ansicht der DSB liegt eine Löschung dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person nicht mehr möglich ist. Auf welchem Wege und vor allem mit welchen Mitteln ein Verantwortlicher zu diesem Ergebnis gelangt, ist in der DSGVO gerade nicht vorgegeben und daher durch den Verantwortlichen individuell umsetzbar.
Dem Verantwortlichen steht mithin hinsichtlich der Löschmethode ein Auswahlermessen zu.
Löschung von personenbezogenen Daten ist auch durch Anonymisierung möglich
Bei der Vernichtung geht es darum, die Daten rückstandslos zu beseitigen. Müssen Unternehmen Daten löschen, reicht es aus, diese zu anonymisieren. Sie müssen dabei lediglich sicherstellen, dass weder der Verantwortliche noch Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug herstellen können.
Im vorliegenden Fall hat das Unternehmen die personenbezogenen Daten nach Ansicht der DSB
„teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs zum Beschwerdeführer „gelöscht“.
Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy-Daten) ist nach Auffassung der DSB ausreichend, um eine Löschung i.S.d. DSGVO annehmen zu können. Die Datenschutzbehörde entschied deshalb, dass die Versicherung ihrer gesetzlichen Pflicht nachgekommen war.
Die Behörde verlangt dabei nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann:
„Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten (…) nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die ‚Löschung durch Unkenntlichmachung‘ nicht unzureichend. Eine völlige Irreversibilität ist daher (…) nicht notwendig.“
Fazit
Wollen Kunden, dass Unternehmen ihre personenbezogenen Daten löschen, reicht eine Anonymisierung der Daten verbunden mit Bereinigung oder Löschung entsprechender Logdaten aus. Daten lediglich vor einem Zugriff zu sperren, reicht dagegen nicht aus, um dem Löschantrag eines Kunden nachzukommen. Dabei ist es wichtig, zu dokumentieren, wie man welche Daten gelöscht hat. Das kann im Falle eines Prozesses als Nachweis dienen.