Anonymisierung kann Löschung entsprechen

Reicht die Anonymisierung von Daten aus, wenn Löschung verlangt wird?

  • von Sven R. Johns, Rechtsanwalt, externer Datenschutzbeauftragter

In einer Entscheidung der österreichischen Aufsichtsbehörde hat diese die Anonymisierung von Daten als ausreichend dargestellt, wenn ein Kunde die Löschung seiner Daten verlangt. Müssen Unternehmen deshalb die Daten nicht vollständig löschen, wenn ein Kunde dies verlangt?

Es kommt auf die Maßnahmen an, die das Unternehmen zur Anonymisierung einleitet. Im Ergebnis kann die Anonymisierung der Löschung von Daten entsprechen.

Wichtig ist an der Entscheidung, dass die österr. Aufsicht festgestellt hat, für anonymisierte Daten gilt die DSGVO nicht mehr und auf Erwägungsgrund 26 bei dieser Annahme verwiesen hat.

Die Darstellung der Entscheidung der österreichischen Aufsichtsbehörde enthält viele Hinweise zur Vorgehensweise von Unternehmen und der weiteren Verfahrensweise, weshalb ein Blick in die Entscheidung lohnt.

Nach Online-Anfrage Löschung verlangt

Ein Kunde hatte in einem Online-Anfrage-Formular einer Versicherung ein Angebot erstellen lassen und verlangte kurze Zeit später die Löschung der Daten.  Die Versicherung hat sich zunächst von der Identität der anfragen Person mit der in den eigenen Systemen gespeicherten Person und deren Daten überzeugen wollen.

Das in dem Löschungsantrag angegebene Geburtsdatum stimmte nicht mit der Angabe aus dem ehemals bestehenden Versicherungsantrag überein.

Sperrung von Daten

Schon in dieser Phase des Vorgangs hat die Versicherung im weiteren Verlauf des Verfahrens angegeben, dass die Kundendaten aus der Vertragsanfrage gesperrt worden seien. Zudem seien die Kundendaten für weitere Marketingmaßnahmen vollständig gelöscht worden.  Das reichte dem Kunden nicht aus.

Anonymisierung

Danach hat die Versicherung sich mit dem Kundenberater vor Ort in Verbindung gesetzt, der die Identität des Antragstellers mit der anfragenden Person bestätigt hat. Die Versicherung hat dem Kunden dann mitgeteilt, dass der Personenbezug bei den Daten nicht mehr herstellbar sei, Man habe die Daten, die eine Zuordenbarkeit zur Person ermöglich anonymisiert oder überschrieben. Das reichte dem Kunden nicht aus.

Angaben zur Anonymisierung

Im weiteren Verfahren wurde ausgeführt, dass die folgenden Schritte zur Anonymisierung eingeleitet worden seien:

Die ursprüngliche Kundenverbindung („KUV“) sei im Rahmen der Anfrage des Beschwerdeführers durch Umsetzung folgender kombinierter Schritte aus Löschung und Anonymisierung entfernt worden:

1) Löschung: Sowohl die Kundenanfrage als auch das Angebot, das aufgrund der Onlineangaben des Kunden vom Kundenmanagementsystem erstellt worden wären, wären gelöscht worden.

2) Löschung aller elektronischer Kontakte (E-Mail-Adresse, Telefonnummer, etc.) des Kunden.

3) Änderung der Person (Name, Vorname, Adresse): Sowohl Name, als auch Adresse seien durch eine anonyme, nicht zuordenbare Person (Max Mustermann) mit identischem Geschlecht und Geburtsdatum unwiderruflich manuell überschrieben worden.

4) Die nun inhaltsleere Kundenverbindung sei nur mehr Max Mustermann zugeordnet.

5) Der mit einer Kundenverbindung automatisch gestartete interne Ablauf sei sofort gestoppt worden.

6) Zusammenlegung der zu löschenden Person auf die neue anonyme Person zur Sicherstellung, dass die Überschreibung auch technisch nachhaltig verankert sei.

7) Löschen des Kunden im Elektronischen Akt (Historie).

Entspricht Anonymisierung den Vorgaben der DSGVO zur Löschung?

In der Entscheidung der Aufsichtsbehörde geht es bei der rechtlichen Würdigung nun um die Frage, ob die Anonymisierung der Löschung gleichzustellen sei. Dazu die Aufsichtsbehörde:

“Einleitend ist zu bemerken, dass der verbindliche Teil der DSGVO den seitens der Beschwerdegegnerin verwendeten Begriff der „Anonymisierung“ nicht kennt.

Lediglich in ErwGr 26 wird festgehalten, dass die DSGVO keine Anwendung auf anonymisierte Daten findet, worunter Informationen verstanden werden, „die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

D.2 Zur Entfernung des Personenbezugs („Anonymisierung“) als Mittel zur Löschung

Eine Definition des Begriffs „Löschung von personenbezogenen Daten“ iSv Art. 17 Abs. 1 findet sich weder im verbindlichen Teil der DSGVO, noch in den ErwGr der Verordnung. Nach Art. 4 Z 2 sind das Löschen und die Vernichtung als alternative Formen der Verarbeitung angeführt („das Löschen oder die Vernichtung“), die nicht zwingend deckungsgleich sind. Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt (…).

Daher steht dem Verantwortlichen hinsichtlich der Mittel – sohin der vorgenommenen Art und Weise der Löschung ein – Auswahlermessen zu .

Die Entfernung des Personenbezugs („Anonymisierung“) von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein. Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann (vgl. RIS-Justiz RS0125838, wonach es nicht ausreichend ist, die Datenorganisation bloß so zu verändern, dass ein „gezielter Zugriff“ auf die betreffenden Daten ausgeschlossen ist; vgl. dazu weiters das Urteil des EuGH vom 19. Oktober 2016, C-582/14, Rz 45 f). Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (vgl. die Stellungnahme 5/2014 zu Anonymisierungstechniken der ehemaligen Art. 29-Datenschutzgruppe, WP216, S. 10).”

Ergebnis:

Die Aufsichtsbehörde stellt schließlich  fest:

“So ist aus diesen Stellungnahmen – die den Sachverhaltsfeststellungen zugrunde gelegt wurden – ersichtlich, dass die personenbezogenen Daten des Beschwerdeführers durch einen „Dummy Kunden“ ersetzt wurden. Im nächsten Schritt wurde dieser „Dummy Kunde“ mit einem weiteren, nicht zuordenbaren Eintrag zusammengelegt, wodurch auch der Änderungsverlauf nachhaltig nicht mehr rekonstruierbar ist. Nach Aufforderung der Datenschutzbehörde wurde seitens der Beschwerdegegnerin belegt, dass auch keine zuordenbaren Logdaten mehr vorhanden sind. Die Beschwerdegegnerin hat dies durch entsprechende Screenshots – die dem Beschwerdeführer übermittelt wurden – nachgewiesen.”

Die vollständige Entscheidung ist unter diesem Link einsehbar (bitte klicken).