Löschen ist Löschen, oder doch nicht. Reicht Anonymisierung?
Die DSB hatte sich mit der Frage auseinanderzusetzen, ob eine Anonymisierung von Daten als Löschen im Sinne des Art 17 DSGVO anzusehen ist.
Erfreulicherweise bejahte die DSB dies in einer Entscheidung am 5.12.2018 (DSB-D123.270/0009-DSB/2018).
Keine verbindliche Definition des „Löschens“ in der DSGVO
Weder im verbindlichen Teil der DSGVO (zB Art 17) noch in den ErwG findet sich eine Definition des Begriffes „Löschung von personenbezogenen Daten“. In Art. 4 Z 2 sind das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“). Diese sind nicht zwingend identisch.
Daraus leitet die DSB ab, dass eine Löschung von personenbezogenen Daten „nicht zwingend eine endgültige Vernichtung voraussetzt (vgl. den Bescheid der ehemaligen DSK vom 26. September 2008, GZ. K121.375/0012-DSK/2008, noch in Bezug auf Art 2 lit. b der Richtlinie 95/46/EG, wonach ebenso zwischen Löschen und Vernichtung differenziert wurde; vgl. auch Kamann/Braun in Ehmann/Selmayr (Hrsg), Datenschutz-Grundverordnung [2017] Art. 17 Rz. 32).“
Diese Differenzierung ergäbe sich auch aus der Judikatur des VfGH. (vgl. dazu VfSlg. 19.937/2014).
Wer entscheidet, wie gelöscht werden soll?
Der Verantwortliche ist in der Wahl seiner Mittel frei, solange die Mittel angemessen sind. Die vorgenommene Art und Weise des Löschens kann unterschiedlich sein, so zB die Vernichtung von Codes oder sonstigen Entschlüsselungseinrichtungen ohne Beseitigung der Daten selbst bzw. die Auflösung der Verknüpfung zwischen Identifikatoren (zB Personalnummer) und Dateninhalt, sodass die ursprüngliche Information nicht mehr gelesen werden kann oder jede Art der Unkenntlichmachung der gespeicherten personenbezogenen Daten.
Die DSB dazu wörtlich:
„Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein.
Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann (vgl. RIS-Justiz RS0125838, wonach es nicht ausreichend ist, die Datenorganisation bloß so zu verändern, dass ein „gezielter Zugriff“ auf die betreffenden Daten ausgeschlossen ist; vgl. dazu weiters das Urteil des EuGH vom 19. Oktober 2016, C-582/14, Rz 45 f).
Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (vgl. die Stellungnahme 5/2014 zu Anonymisierungstechniken der ehemaligen Art. 29-Datenschutzgruppe, WP216, S. 10).
Auch der Verwaltungsgerichtshof hat – zur insoweit vergleichbaren Rechtslage nach dem DSG 2000 – ausgesprochen, dass etwa eine „Schwärzung“ als Form der Löschung angesehen werden kann. Durch die Unkenntlichmachung des Namens des Betroffenen sowie aller anderer seine Person betreffende Daten wird dessen Löschungsbegehren entsprochen (vgl. dazu das Erkenntnis vom 23. November 2009, Zl. 2008/05/0079).“
Der seitens des Beschwerdeführers ins Treffen geführte Umstand, dass „die Daten zu einem späteren Zeitpunkt „de-anonymisiert werden könnten“, vermag daran nichts zu ändern.
Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person – so wie im vorliegenden Fall – nicht mehr möglich ist.
Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die „Löschung durch Unkenntlichmachung“ nicht unzureichend.
Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig (vgl. erneut den Bescheid der DSK vom 26. September 2008 a.a.O; vgl. auch Kamann/Braun a.a.O Rz. 33 mwN sowie Haidinger in Knyrim (Hrsg), DatKomm [2018] Art. 17 Rz 63).
Schlussfolgerung:
Der Verantwortliche kann sich entscheiden, ob er die Daten „endgültig löscht“, oder den Personenbezug durch Anonymisierung in einer Art und Weise aufhebt, dass es ihm oder auch einem Dritten nicht ohne unverhältnismäßigen Aufwand gelingt, den Personenbezug wiederherzustellen.
Werden die personenbezogenen Daten in einer Art und Weise „maskiert“ zB durch Überschreiben der Daten (Name, Adresse) mit anonymen Bezugsdaten wie zB„Max Mustermann, 0000 Musterstadt, Musterplatz 1“, und wird sichergestellt, dass ein „Reverse-Engineering“ nicht mehr erfolgen kann, um diese „Dummy-Daten“ zur richtigen Person rückzuverfolgen. Es können zB alle Interessenten-Daten so auf „Max Mustermann“ zusammengelegt werden.
Ein Löschen durch Unkenntlichmachen – so wie das Schwärzen von Papierdokumenten – ist daher zulässig, wobei eine völlige Irreversibilität nicht erforderlich ist.
Kommentar schreiben
Allo-allo! (Mittwoch, 27 Februar 2019 21:23)
Es soll eine neue Entscheidung der DSchB geben, bei der es um das Rating von Ärzten geht. Ist die schon wo zu finden?
Schweiger Thomas (Mittwoch, 27 Februar 2019 21:38)
Am Sa werde ich die Ents in meinem Blog behandeln. Wenn Sie mir eine E-Mail senden, dann kann ich Ihnen die Ents vorab zusenden.
lG Thomas Schweiger