In der Pra­xis stellt sich häu­fig die Fra­ge, ob anstel­le einer Löschung von Per­so­nen­da­ten auch ihre Anony­mi­sie­rung genügt. Die DSGVO gibt dazu kei­ne kla­re Aus­kunft. Aus dem Sinn des Daten­schutz­rechts folgt aber ein­deu­tig, dass die Anony­mi­sie­rung genü­gen muss:

  • Der Rege­lungs­an­spruch des Daten­schutz­rechts endet prin­zi­pi­ell mit der Auf­he­bung des Per­so­nen­be­zugs. Anders for­mu­liert: Das Daten­schutz­recht kann sei­nen sach­li­chen Anwen­dungs­be­reich auch bei der Fra­ge der Löschung nicht über­schrei­ten.
  • Zwar ver­folgt der Ver­ant­wort­li­che bei der Anony­mi­sie­rung einen bestimm­ten Zweck – die Wei­ter­ver­wen­dung der anony­mi­sier­ten Daten -, was bei der Löschung nicht der Fall ist. Da sich die­ser Zweck aber nicht auf Per­so­nendaten bezieht, kann bzw. darf sich das Daten­schutz­recht für die­sen Zweck nicht inter­es­sie­ren.
  • Der Ver­ant­wort­li­che dürf­te sich die anony­men Daten jeder­zeit beschaf­fen, ohne daten­schutz­recht­li­che Anfor­de­run­gen ein­hal­ten zu müs­sen (sofern die Daten auch bei sei­ner eige­nen Ver­ar­bei­tung anonym blei­ben). Es wäre wider­sprüch­lich, ihm die Anony­mi­sie­rung zu ver­bie­ten, wenn ihm die Wie­der­be­schaf­fung frei­ge­stellt ist.

Dar­aus muss­te geschlos­sen wer­den, dass die Anony­mi­sie­rung daten­schutz­recht­lich der Löschung ent­spricht, also ein Löschungs­äqui­va­lent ist, und dem­nach immer dann ohne wei­te­res zuläs­sig ist, wenn eine Löschung erlaubt oder gebo­ten ist.

Mit die­ser Fra­ge hat sich nun auch die öster­rei­chi­sche Auf­sichts­be­hör­de befasst (Ent­scheid DSB-D123.270/0009-DSB/2018 vom 5. Dezem­ber 2018). Der Ver­ant­wort­li­che hat­te auf ein Löschungs­be­geh­ren bestä­tigt, er habe die Daten des Antrag­stel­lers je nach System ent­we­der gelöscht oder „DSGVO-kon­form anony­mi­siert“. Die­se Vor­ge­hens­wei­se einer Löschung gleich­zu­stel­len. Die Daten­schutz­be­hör­de gibt dem Ver­ant­wort­li­chen recht: Die DSGVO defi­nie­re den Begriff der “Löschung” nicht. Aus Art. 4(2) DSGVO erge­be sich aber, dass das Löschen und die Ver­nich­tung zwei unter­schied­li­che Din­ge sind, wor­aus wie­der­um folgt, dass eine Löschung nicht zwin­gend eine end­gül­ti­ge Ver­nich­tung vor­aus­setzt. Auch die Ent­fer­nung des Per­so­nen­be­zugs kön­ne ein mög­li­ches Mit­tel zur Löschung i.S.v. Art. 4(2) i.V.m. Art. 17 Abs. 1 DSGVO sein. Die Anony­mi­sie­rung muss aber eine voll­stän­di­ge sein:

Es muss […] sicher­ge­stellt wer­den, dass weder der Ver­ant­wort­li­che selbst, noch ein Drit­ter ohne unver­hält­nis­mä­ßi­gen Auf­wand einen Per­so­nen­be­zug wie­der­her­stel­len kann […]. Nur wenn der Ver­ant­wort­li­che die Daten im Ergeb­nis auf einer Ebe­ne aggre­giert, sodass kei­ne Ein­zel­er­eig­nis­se mehr iden­ti­fi­zier­bar sind, kann der ent­stan­de­ne Daten­be­stand als anonym (also ohne Per­so­nen­be­zug) bezeich­net wer­den (vgl. die Stel­lung­nah­me 5/2014 zu Anony­mi­sie­rungs­tech­ni­ken der ehe­ma­li­gen Art. 29-Daten­schutz­grup­pe, WP216, S. 10).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.