In der Praxis stellt sich häufig die Frage, ob anstelle einer Löschung von Personendaten auch ihre Anonymisierung genügt. Die DSGVO gibt dazu keine klare Auskunft. Aus dem Sinn des Datenschutzrechts folgt aber eindeutig, dass die Anonymisierung genügen muss:
- Der Regelungsanspruch des Datenschutzrechts endet prinzipiell mit der Aufhebung des Personenbezugs. Anders formuliert: Das Datenschutzrecht kann seinen sachlichen Anwendungsbereich auch bei der Frage der Löschung nicht überschreiten.
- Zwar verfolgt der Verantwortliche bei der Anonymisierung einen bestimmten Zweck – die Weiterverwendung der anonymisierten Daten -, was bei der Löschung nicht der Fall ist. Da sich dieser Zweck aber nicht auf Personendaten bezieht, kann bzw. darf sich das Datenschutzrecht für diesen Zweck nicht interessieren.
- Der Verantwortliche dürfte sich die anonymen Daten jederzeit beschaffen, ohne datenschutzrechtliche Anforderungen einhalten zu müssen (sofern die Daten auch bei seiner eigenen Verarbeitung anonym bleiben). Es wäre widersprüchlich, ihm die Anonymisierung zu verbieten, wenn ihm die Wiederbeschaffung freigestellt ist.
Daraus musste geschlossen werden, dass die Anonymisierung datenschutzrechtlich der Löschung entspricht, also ein Löschungsäquivalent ist, und demnach immer dann ohne weiteres zulässig ist, wenn eine Löschung erlaubt oder geboten ist.
Mit dieser Frage hat sich nun auch die österreichische Aufsichtsbehörde befasst (Entscheid DSB-D123.270/0009-DSB/2018 vom 5. Dezember 2018). Der Verantwortliche hatte auf ein Löschungsbegehren bestätigt, er habe die Daten des Antragstellers je nach System entweder gelöscht oder „DSGVO-konform anonymisiert“. Diese Vorgehensweise einer Löschung gleichzustellen. Die Datenschutzbehörde gibt dem Verantwortlichen recht: Die DSGVO definiere den Begriff der “Löschung” nicht. Aus Art. 4(2) DSGVO ergebe sich aber, dass das Löschen und die Vernichtung zwei unterschiedliche Dinge sind, woraus wiederum folgt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt. Auch die Entfernung des Personenbezugs könne ein mögliches Mittel zur Löschung i.S.v. Art. 4(2) i.V.m. Art. 17 Abs. 1 DSGVO sein. Die Anonymisierung muss aber eine vollständige sein:
Es muss […] sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann […]. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (vgl. die Stellungnahme 5/2014 zu Anonymisierungstechniken der ehemaligen Art. 29-Datenschutzgruppe, WP216, S. 10).