Das sogenannte Recht auf Löschung personenbezogener Nutzerdaten verpflichtet Anbieter nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen. Das geht aus einer Entscheidung der österreichischen Datenschutzbehörde (DSB) vom Dezember 2018 hervor. Demnach reicht auf Grundlage der EU-Datenschutz-Grundverordnung (DSGVO) eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Eine völlige Irreversibilität sei nicht notwendig.

Hintergrund des Streits war die Anfrage eines österreichischen Nutzers bei einer Versicherung. Unter Berufung auf Artikel 17 der DSGVO hatte er anschließend die „unverzügliche“ Löschung der bei der Anfrage eingegebenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung teilte dem Nutzer mit, sie habe die Daten „DSGVO-konform anonymisiert“. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht.

Das reichte dem Nutzer jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Die hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Artikel 4, Ziffer 2 würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde.

Vielmehr stehe dem verantwortlichen Datenverarbeiter hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Da die DSGVO auf anonymisierte Daten keine Anwendung finde (Erwägungsgrund 26), reiche eine Anonymisierung als Löschmethode aus.

Im konkreten Fall hatte die Versicherung dargelegt, die Daten des betroffenen Nutzers teilweise sofort vernichtet, teilweise mit Dummy-Daten (Max Mustermann) überschrieben zu haben. Damit wären keine personenbezogenen Daten und somit keine identifizierenden Merkmale mehr vorhanden, die mit der ursprünglichen Onlineanfrage des Kunden in Verbindung gebracht werden könnten. Auch aus den Logdaten könne die ursprüngliche Anfrage mehr mit dem Nutzer verknüpft werden.

Der DSB zufolge entspricht die Entfernung des Personenbezugs bereits einer Löschung. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

Autor des Artikels ist Friedhelm Greis.