“Wenn durch eine Anony­mi­sie­rung erreicht wird, dass ein Datum sich nicht mehr auf eine bestimm­te Per­son bezie­hen lässt, so gibt es bei der Löschung schlicht kein Datum mehr, das auf eine Per­son bezo­gen wer­den könn­te.” – Mat­thi­as Herkert

Nach­dem wir uns in einem frü­he­ren Bei­trag bereits mit der Abgren­zung anony­mer und pseud­ony­mer Daten beschäf­tigt haben (HIER geht es zum Betrag „Anony­me und pseud­ony­me Daten“ in unse­rem Blog), beleuch­ten wir in die­sem Bei­trag die Mög­lich­kei­ten und Gren­zen, per­so­nen­be­zo­ge­ne Daten durch Anony­mi­sie­rung zu löschen.

Wann ist ein Datum anonym?

Erw­Gr 26 S. 5 DSGVO klärt uns auf, dass ein per­so­nen­be­zo­ge­nes Datum dann anonym sei, wenn „die betrof­fe­ne Per­son nicht oder nicht mehr iden­ti­fi­ziert wer­den kann“.

Hier gilt es nun wei­ter zu klä­ren, wann eine Per­son im daten­schutz­recht­li­chen Sinn über­haupt „iden­ti­fi­ziert“ ist. Das Hand­buch zum euro­päi­schen Daten­schutz­recht der Agen­tur der Euro­päi­schen Uni­on für Grund­rech­te erklärt, dass für die Iden­ti­fi­zie­rung Anga­ben erfor­der­lich sei­en, „die eine Per­son so beschrei­ben, dass sie sich von allen ande­ren Per­so­nen unter­schei­det und als Indi­vi­du­um erkenn­bar ist“.

In der Umkeh­rung ist eine natür­li­che Per­son mit­hin „anonym“, wenn sie mit­tels Zuord­nung zu einer oder meh­re­ren Merk­ma­len, die Aus­druck ihrer phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät sind, nicht mehr iden­ti­fi­ziert ist oder iden­ti­fi­ziert wer­den kann.

Kurz und bün­dig: ein Datum ist anonym, wenn die betrof­fe­ne Per­son über die­ses Datum nicht und nie­mals mehr iden­ti­fi­zier­bar ist.

Wel­che Fol­gen hat die Anonymität?

Wenn nun also die DSGVO sach­lich nur bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Anwen­dung fin­det (Arti­kel 2 Abs. 1 DSGVO) und per­so­nen­be­zo­ge­ne Daten eben nur sol­che sind, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen (Arti­kel 4 Nr. 1 DSGVO), fal­len anony­me Daten, über die kei­ne natür­li­che Per­son mehr iden­ti­fi­ziert oder sin­gu­la­ri­siert wer­den kann, nicht in den Anwen­dungs­be­reich der Datenschutzgrundverordnung.

Ein vor­mals noch per­so­nen­be­zo­ge­nes Datum ist also nach der erfolg­rei­chen Anony­mi­sie­rung nicht mehr durch gel­ten­des Daten­schutz­recht geschützt und die Pflicht der für die Ver­ar­bei­tung ver­ant­wort­li­chen Stel­le zum Schutz der Grund­rech­te und Grund­frei­hei­ten der Betrof­fe­nen entfällt.

Anony­mi­sie­ren und Löschen füh­ren zu unter­schied­li­chen Daten!

Unstrit­tig kann durch die Ope­ra­ti­on der Anony­mi­sie­rung ein per­so­nen­be­zo­ge­nes Datum in ein nicht-personenbezogenes Datum trans­for­miert werden.

Anders bei der Löschung per­so­nen­be­zo­ge­ner Daten, die nicht auf ein nicht-personenbezogenes Datum als Ergeb­nis der Ope­ra­ti­on zielt, son­dern auf ein lee­res Datum.

Und noch­mals kurz und bün­dig: wenn durch eine Anony­mi­sie­rung erreicht wird, dass ein vor­mals per­so­nen­be­zo­ge­nes Datum sich nicht mehr auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re Per­son bezie­hen lässt, so gibt es bei der Löschung schlicht kein Datum mehr, das auf eine natür­li­che Per­son bezo­gen wer­den könnte.

Kann die Lösch­pflicht durch Anony­mi­sie­ren erfüllt werden?

Der Unter­schied der bei­den Ver­fah­ren lässt das Pro­blem erken­nen – wie end­gül­tig ist eine Anony­mi­sie­rung, wenn, anders als beim Löschen, eben kein lee­res Datum als Out­put erzeugt wird?

Wäh­rend bei abso­lu­ter Anony­mi­tät eine Auf­he­bung der Anony­mi­sie­rung für die Zukunft unmög­lich gemacht wird, führt fak­ti­sche Anony­mi­tät ledig­lich dazu, dass eine Rean­ony­mi­sie­rung zwar nicht gänz­lich aus­ge­schlos­sen wer­den kann, Ein­zel­an­ga­ben jedoch im Sin­ne des § 16 Abs. 6 S. 1 BstatG „nur mit einem unver­hält­nis­mä­ßig gro­ßen Auf­wand an Zeit, Kos­ten und Arbeits­kraft zuge­ord­net wer­den können“.

Und hier ist nun der Wil­le des Ver­ord­nungs­ge­bers im Daten­schutz­recht klar zu erken­nen. So sol­len, um fest­zu­stel­len, ob eine Per­son iden­ti­fi­zier­bar ist, im Sin­ne des Erw­Gr 26 S. 4 DSGVO alle Mit­tel berück­sich­tigt wer­den, die „nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren“.  Eine fak­ti­sche Anony­mi­sie­rung soll mit­hin im Sin­ne des euro­päi­schen Daten­schutz­rechts aus­rei­chend, um eine Ent­pflich­tung des Ver­ant­wort­li­chen von der Umset­zung der For­de­run­gen der DSGVO zu errei­chen. Ande­ren­falls wäre die­ser Hin­weis in den Erwä­gungs­grün­den schlicht sinn­be­freit und überflüssig.

In die­sem Sinn hat auch die Öster­rei­chi­sche Daten­schutz­be­hör­de bereits im Dezem­ber 2018 ent­schie­den (HIER der Link zur Ent­schei­dung DSB-D123.270/0009-DSB/2018 der Behör­de), dass die Ent­fer­nung des Per­so­nen­be­zugs von per­so­nen­be­zo­ge­nen Daten grund­sätz­lich ein mög­li­ches Mit­tel zur Löschung im Sin­ne des Arti­kel 17 Abs. 1 DSGVO dar­stel­le, wenn und soweit sicher­ge­stellt sei, dass ein Per­so­nen­be­zug nicht ohne unver­hält­nis­mä­ßi­gen Auf­wand wie­der­her­zu­stel­len ist. Dem Ver­ant­wort­li­chen ste­he daher hin­sicht­lich Art und Wei­se der Löschung ein Aus­wahler­mes­sen zu.

Fazit — Ist löschen durch Anony­mi­sie­rung möglich?

Ver­ant­wort­li­che kön­nen ihrer Lösch­pflicht neben der tech­ni­schen oder phy­si­schen Ver­nich­tung per­so­nen­be­zo­ge­ner Daten grund­sätz­lich auch durch deren wirk­sa­me Anony­mi­sie­rung nach­kom­men. Löschen durch Anony­mi­sie­ren ist soweit möglich.

Den­noch wur­de durch die vor­ste­hen­den Betrach­tun­gen deut­lich, dass Löschen und Anony­mi­sie­ren kei­nes­falls syn­onym ver­stan­den wer­den kön­nen. So füh­ren bei­de Ope­ra­tio­nen zu einem ande­ren Zustand des trans­for­mier­ten Datums, da das gelösch­te, per­so­nen­be­zo­ge­ne Datum im Sin­ne eines lee­ren Daten­sat­zes sinn­ge­mäß kei­ne Infor­ma­ti­on mehr ent­hält, wäh­rend dem anony­mi­sier­ten Datum wei­ter ein Infor­ma­ti­ons­wert zufällt, dem es jedoch am Per­so­nen­be­zug mangelt.

Im Ergeb­nis füh­ren indes bei­de Ope­ra­tio­nen dazu, dass eine wei­ter daten­schutz­recht­lich rele­van­te Ver­ar­bei­tung des vor­mals per­so­nen­be­zo­ge­nen Datums nicht mehr erfol­gen kann.