News

DSGVO: Anonymisierung reicht als Löschverfahren aus

(Foto: Shutterstock)

Die EU-Datenschutz-Grundverordnung räumt den Nutzern ein Recht auf die Löschung ihrer Daten ein. Doch Anbieter haben nach Ansicht der österreichischen Datenschutzbehörde verschiedene Möglichkeiten, dem Verlangen zu entsprechen.

Das sogenannte Recht auf Löschung personenbezogener Nutzerdaten verpflichtet Anbieter nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen. Das geht aus einer Entscheidung der österreichischen Datenschutzbehörde (DSB) vom Dezember 2018 hervor. Demnach reicht auf Grundlage der EU-Datenschutz-Grundverordnung (DSGVO) eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Eine völlige Irreversibilität sei nicht notwendig.

Hintergrund des Streits war die Anfrage eines österreichischen Nutzers bei einer Versicherung. Unter Berufung auf Artikel 17 der DSGVO hatte er anschließend die „unverzügliche“ Löschung der bei der Anfrage eingegebenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung teilte dem Nutzer mit, sie habe die Daten „DSGVO-konform anonymisiert“. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht.

Löschung nicht gleich Vernichtung

Das reichte dem Nutzer jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Die hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Artikel 4, Ziffer 2 würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde.

Vielmehr stehe dem verantwortlichen Datenverarbeiter hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Da die DSGVO auf anonymisierte Daten keine Anwendung finde (Erwägungsgrund 26), reiche eine Anonymisierung als Löschmethode aus.

Im konkreten Fall hatte die Versicherung dargelegt, die Daten des betroffenen Nutzers teilweise sofort vernichtet, teilweise mit Dummy-Daten (Max Mustermann) überschrieben zu haben. Damit wären keine personenbezogenen Daten und somit keine identifizierenden Merkmale mehr vorhanden, die mit der ursprünglichen Onlineanfrage des Kunden in Verbindung gebracht werden könnten. Auch aus den Logdaten könne die ursprüngliche Anfrage mehr mit dem Nutzer verknüpft werden.

Der DSB zufolge entspricht die Entfernung des Personenbezugs bereits einer Löschung. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

Autor des Artikels ist Friedhelm Greis.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.