Kann der Pflicht zur Löschung personenbezogener Daten nach Zweckentfall oder die Erfüllung des Betroffenenrechts auf Löschung auch durch eine Anonymisierung der betroffenen Daten genügt werden oder – ganz plakativ – kann man Daten auch durch Anonymisieren löschen?
“Wenn durch eine Anonymisierung erreicht wird, dass ein Datum sich nicht mehr auf eine bestimmte Person beziehen lässt, so gibt es bei der Löschung schlicht kein Datum mehr, das auf eine Person bezogen werden könnte.” – Matthias Herkert
Nachdem wir uns in einem früheren Beitrag bereits mit der Abgrenzung anonymer und pseudonymer Daten beschäftigt haben (HIER geht es zum Betrag „Anonyme und pseudonyme Daten“ in unserem Blog), beleuchten wir in diesem Beitrag die Möglichkeiten und Grenzen, personenbezogene Daten durch Anonymisierung zu löschen.
Wann ist ein Datum anonym?
ErwGr 26 S. 5 DSGVO klärt uns auf, dass ein personenbezogenes Datum dann anonym sei, wenn „die betroffene Person nicht oder nicht mehr identifiziert werden kann“.
Hier gilt es nun weiter zu klären, wann eine Person im datenschutzrechtlichen Sinn überhaupt „identifiziert“ ist. Das Handbuch zum europäischen Datenschutzrecht der Agentur der Europäischen Union für Grundrechte erklärt, dass für die Identifizierung Angaben erforderlich seien, „die eine Person so beschreiben, dass sie sich von allen anderen Personen unterscheidet und als Individuum erkennbar ist“.
In der Umkehrung ist eine natürliche Person mithin „anonym“, wenn sie mittels Zuordnung zu einer oder mehreren Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind, nicht mehr identifiziert ist oder identifiziert werden kann.
Kurz und bündig: ein Datum ist anonym, wenn die betroffene Person über dieses Datum nicht und niemals mehr identifizierbar ist.
Welche Folgen hat die Anonymität?
Wenn nun also die DSGVO sachlich nur bei der Verarbeitung personenbezogener Daten Anwendung findet (Artikel 2 Abs. 1 DSGVO) und personenbezogene Daten eben nur solche sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nr. 1 DSGVO), fallen anonyme Daten, über die keine natürliche Person mehr identifiziert oder singularisiert werden kann, nicht in den Anwendungsbereich der Datenschutzgrundverordnung.
Ein vormals noch personenbezogenes Datum ist also nach der erfolgreichen Anonymisierung nicht mehr durch geltendes Datenschutzrecht geschützt und die Pflicht der für die Verarbeitung verantwortlichen Stelle zum Schutz der Grundrechte und Grundfreiheiten der Betroffenen entfällt.
Anonymisieren und Löschen führen zu unterschiedlichen Daten!
Unstrittig kann durch die Operation der Anonymisierung ein personenbezogenes Datum in ein nicht-personenbezogenes Datum transformiert werden.
Anders bei der Löschung personenbezogener Daten, die nicht auf ein nicht-personenbezogenes Datum als Ergebnis der Operation zielt, sondern auf ein leeres Datum.
Und nochmals kurz und bündig: wenn durch eine Anonymisierung erreicht wird, dass ein vormals personenbezogenes Datum sich nicht mehr auf eine identifizierte oder identifizierbare Person beziehen lässt, so gibt es bei der Löschung schlicht kein Datum mehr, das auf eine natürliche Person bezogen werden könnte.
Kann die Löschpflicht durch Anonymisieren erfüllt werden?
Der Unterschied der beiden Verfahren lässt das Problem erkennen – wie endgültig ist eine Anonymisierung, wenn, anders als beim Löschen, eben kein leeres Datum als Output erzeugt wird?
Während bei absoluter Anonymität eine Aufhebung der Anonymisierung für die Zukunft unmöglich gemacht wird, führt faktische Anonymität lediglich dazu, dass eine Reanonymisierung zwar nicht gänzlich ausgeschlossen werden kann, Einzelangaben jedoch im Sinne des § 16 Abs. 6 S. 1 BstatG „nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können“.
Und hier ist nun der Wille des Verordnungsgebers im Datenschutzrecht klar zu erkennen. So sollen, um festzustellen, ob eine Person identifizierbar ist, im Sinne des ErwGr 26 S. 4 DSGVO alle Mittel berücksichtigt werden, die „nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“. Eine faktische Anonymisierung soll mithin im Sinne des europäischen Datenschutzrechts ausreichend, um eine Entpflichtung des Verantwortlichen von der Umsetzung der Forderungen der DSGVO zu erreichen. Anderenfalls wäre dieser Hinweis in den Erwägungsgründen schlicht sinnbefreit und überflüssig.
In diesem Sinn hat auch die Österreichische Datenschutzbehörde bereits im Dezember 2018 entschieden (HIER der Link zur Entscheidung DSB-D123.270/0009-DSB/2018 der Behörde), dass die Entfernung des Personenbezugs von personenbezogenen Daten grundsätzlich ein mögliches Mittel zur Löschung im Sinne des Artikel 17 Abs. 1 DSGVO darstelle, wenn und soweit sichergestellt sei, dass ein Personenbezug nicht ohne unverhältnismäßigen Aufwand wiederherzustellen ist. Dem Verantwortlichen stehe daher hinsichtlich Art und Weise der Löschung ein Auswahlermessen zu.
Fazit — Ist löschen durch Anonymisierung möglich?
Verantwortliche können ihrer Löschpflicht neben der technischen oder physischen Vernichtung personenbezogener Daten grundsätzlich auch durch deren wirksame Anonymisierung nachkommen. Löschen durch Anonymisieren ist soweit möglich.
Dennoch wurde durch die vorstehenden Betrachtungen deutlich, dass Löschen und Anonymisieren keinesfalls synonym verstanden werden können. So führen beide Operationen zu einem anderen Zustand des transformierten Datums, da das gelöschte, personenbezogene Datum im Sinne eines leeren Datensatzes sinngemäß keine Information mehr enthält, während dem anonymisierten Datum weiter ein Informationswert zufällt, dem es jedoch am Personenbezug mangelt.
Im Ergebnis führen indes beide Operationen dazu, dass eine weiter datenschutzrechtlich relevante Verarbeitung des vormals personenbezogenen Datums nicht mehr erfolgen kann.
Was Sie noch interessieren könnte:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]