Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

Umsetzung der DSGVO-Löschpflicht durch Anonymisierung

 
 
 

 

 

 

Neben dem Recht auf Auskunft ist das Recht auf Vergessenwerden eines der wesentlichen Betroffenenrechte aus der Datenschutzgrundverordnung. Wann Betroffene dieses Recht geltend machen können und wann eine Löschpflicht des Verantwortlichen vorliegt, wird durch die DSGVO näher geregelt. Neben einer tatsächlichen Löschung sieht der Gesetzgeber die Möglichkeit der Anonymisierung vor.

In welchen Fällen eine Anonymisierung erfolgen kann und wie diese Abläuft, können Sie diesem Beitrag entnehmen.

 

Das Wichtigste in Kürze

  • Nach Art. 17 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen eine Löschung der über ihn gespeicherten personenbezogenen Daten zu verlangen
  • Eine Löschverpflichtung des Verantwortlichen kann unter Umständen entfallen, wenn eine der Ausnahmen des Art. 17 Abs. 3 DSGVO vorliegt
  • Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.
  • Unter Umständen genügt für eine Löschung eine Anonymisierung der personenbezogenen Daten.
  • Eine Anonymisierung kann durch Randomisierung, Generalisierung oder eine Kombination der beiden Varianten erfolgen.

 

Recht auf Vergessenwerden

Im Gegensatz zu den anderen Betroffenenrechten, die sich aus der DSGVO ergeben und regelmäßig einen Antrag des Betroffenen voraussetzten, ergibt sich das Recht auf Vergessenwerden sowie ein unmittelbarer Löschanspruch der betroffenen Person auch unabhängig von einem Antrag aus Art. 17 Abs. 1 DSGVO.

Eine Löschung muss insoweit unverzüglich vorgenommen werden, wenn die betroffene Person eine Löschung verlangt und sobald einer der Löschgründe aus Art. 17 Abs. 1 DSGVO gegeben ist.

 

Pflicht zur Löschung nach Art. 17 Abs. 1 DSGVO

Liegen folgende Voraussetzungen vor, ist der Verantwortliche zur unverzüglichen Löschung verpflichtet:

  • Die personenbezogenen Daten, die für die Verarbeitung zu einem bestimmten Zweck erhoben wurden, werden nicht mehr benötigt
  • Der Betroffene widerruft seine ursprünglich erteilte Einwilligung und es liegt keine anderweitige Rechtsgrundlage ein
  • Der Betroffene widerspricht der Datenverarbeitung im Sinne von Art. 21 DSGVO
  • Die Datenverarbeitung war unrechtmäßig
  • Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste gem. Art. 8 Abs. 1 DSGVO erhoben

Ausnahmen von der Löschpflicht nach Art. 17 Abs. 3 DSGVO

Liegt eine der folgenden Ausnahmen nach Art. 17 Abs. 3 DSGVO vor, entfällt eine Pflicht des Verantwortlichen:

  • Die Verarbeitung ist für die Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich;
  • Die Verarbeitung für die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe erforderlich ist;
  • Der Löschung steht ein öffentliches Interesse im Bereich der öffentlichen Gesundheit entgegen;
  • Die Verarbeitung ist zu Archiv-, Forschungs- und statistischen Zwecken erforderlich;
  • Die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

 

Mit der Löschpflicht zusammenhängende Pflichten

Abgesehen von der konkreten Löschung ist der Verantwortliche weiterhin gem. Art. 19 DSGVO verpflichtet, weitere Datenempfänger zu benachrichtigen. Zudem ist der Verantwortliche gem. Art. 17 Abs. 2 DSGVO verpflichtet, sofern die Daten öffentlich gemacht wurden, weitere Verantwortliche davon zu unterrichten, dass der Betroffene eine Löschung sämtlicher Links zu diesen personenbezogenen Daten oder gegebenenfalls Kopien oder Replikationen dieser personenbezogenen Daten verlangt.

Zudem ist im Anschluss an die Löschung die betroffene Person über den Löschvorgang nach Art. 19 DSGVO zu informieren.

 

Umsetzung der Löschpflicht

Nach Art. 4 Nr. 2 DSGVO stellt der Löschvorgang selbst eine Datenverarbeitung i.S.d. DSGVO dar. Da der Begriff des Löschens in der DSGVO nicht weiter definiert wird, können Löschungen auf unterschiedliche Art und Weise durchgeführt werden. Zu beachten ist hierbei, dass von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen solche Daten ausgenommen sind, die vom Verantwortlichen rechtmäßig offengelegt und infolgedessen von Dritten gespeichert wurden.

Folgende Löschhandlungen kommen grundsätzlich in Betracht:

  • Überschreiben der Datenträger, die die personenbezogenen Daten speichern;
  • Physische Zerstörung der Datenträger und fachmännische Entsorgung;
  • Löschung der Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen;
  • Auslistung (insb. bei Suchmaschinen).

Ausschlaggebend für die Umsetzung der Löschpflicht nach Art. 17 DSGVO ist der Löscherfolg. Das heißt, es muss faktisch unmöglich sein von den personenbezogenen Informationen Kenntnis zu nehmen.

Löscherfolg durch Anonymisierung

Es stellt sich mithin die Frage, ob für eine Löschung von personenbezogenen Daten eines Betroffenen nach Art. 17 Abs. 1 DSGVO eine sachgemäße Anonymisierung ausreicht. Schließlich können anonymisierte Daten keiner natürlichen Person mehr zugeordnet werden. Anonymisierte Daten weisen keinerlei Personenbezug auf, sodass sie nicht mehr den datenschutzrechtlichen Vorschriften unterfallen.

Die DSGVO enthält in diesem Zusammenhang keine praktischen Regelungen oder Definitionen im Hinblick auf anonyme Daten. Auf anonymisierte Daten wird lediglich in Erwägungsgrund 26 Bezug genommen. Danach finden datenschutzrechtliche Grundsätze keine Anwendung, wenn Informationen vorliegen, die keinen Bezug zu einer identifizierten oder identifizierbaren natürliche Person haben.

Eine absolute Anonymisierung dahingehend, dass es niemandem mehr möglich ist einen Personenbezug wiederherzustellen, wird in der Regel kaum möglich sein. Im Hinblick darauf ist es aus Sicht des Datenschutzes ausreichend, dass der Personenbezug lediglich so weit aufgehoben ist, dass es faktisch unmöglich ist, eine Re-Identifizierung vorzunehmen. Es darf faktisch auch nicht mehr möglich sein, eine natürliche Person anhand mehrerer Datensätze eines Datenbestandes oder auch unter mehreren voneinander unabhängigen Datenbeständen zu identifizieren. Dies ist regelmäßig dann der Fall, wenn Kosten und Zeitaufwand einer erneuten Identifizierung unverhältnismäßig hoch wären.

Im Hinblick auf eine sachgemäße Anonymisierung ist auf den Zeitpunkt der Durchführung sowie die zu diesem Zeitpunkt vorhandenen Technologien und technologischen Entwicklungen abzustellen. In diesem Zusammenhang obliegt es dem Verantwortlichen in regelmäßigen Abständen sicherzustellen, dass die Anonymisierung dem aktuellen Stand der Technik entspricht und jegliche Re-Identifizierungsmöglichkeit zu beseitigen.

 

Arten der Anonymisierung

Die Art. 29-Datenschutzgruppe werden mögliche Arten der Anonymisierung in folgende drei Gruppen eingeteilt:

  • Randomisierung

Dabei werden Datensätze aus dem Datenbestand zufällig herausgegriffen und isoliert. Dies kann je nach Datenbestand zu einer permanenten De-Identifikation führen. Allerdings muss dies für den konkreten Fall geprüft und sichergestellt werden.

  • Generalisierung

Hierbei werden Quasi-Identifier wie Einzelangaben und Werte so gut wie möglich zusammengefasst, sodass künstlich ein Verlust von Informationen herbeigeführt wird.

  • Kombination der Randomisierung und Generalisierung

Durch eine Kombination der genannten Varianten wird eine Verknüpfung der Datensätze in verschiedenen Datenbanken verhindert, sodass diese nicht mehr in Verbindung gebracht werden können.

 

Rechtsgrundlage der Anonymisierung

Da nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) auch eine Anonymisierung eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO in Gestalt einer Veränderung bzw. der Löschung darstellt, bedarf es auch für diese einer Rechtsgrundlage.

Grundsätzlich kommen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. In diesem Zusammenhang ist ein Rückgriff auf die Zweckänderung aus Art. 6 Abs. 4 DSGVO von besonderem Interesse. Darauf könnte die Anonymisierung  gestützt werden, sofern sie mit dem ursprünglichen Verarbeitungszweck, für den die Daten erhoben wurden, vereinbar ist.

Weiterhin wird als Rechtsgrundlage für die Anonymisierung Art. 6 Abs. 1 S. 1 lit. c) i.V.m. Art. 17 DSGVO herangezogen, da die Anonymisierung der Erfüllung der Löschpflicht des Verantwortlichen dient.

 

Geeignetheit der Anonymisierung zur Erfüllung der Löschpflicht

Unabhängig von der Frage nach der Rechtsgrundlage, auf welche die Anonymisierung gestützt werden kann, ist die Frage zu klären, ob eine Anonymisierung eine geeignete Löschhandlung zur Erfüllung der Löschpflicht des Verantwortlichen darstellt und dem Löschanspruch des Betroffenen gerecht wird. Insbesondere, da es in der Regel nur schwer feststellbar ist, wann eine sachgerechte Datenanonymisierung vorliegt.

Insoweit hat der Verantwortliche seiner Löschpflicht bereits Genüge getan, wenn es im Zeitpunkt der Vornahme der Anonymisierung faktisch unmöglich ist einen Personenbezug wiederherzustellen. In dem genannten Zeitpunkt darf es nicht möglich sein, ohne unverhältnismäßigen Aufwand eine Person zu identifizieren oder identifizierbar zu machen.

Die Löschpflicht aus Art. 17 DSGVO steht in engem Zusammenhang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e) DSGVO. Letzterer besagt, dass die Identifizierung oder Identifizierbarkeit einer Person nur solange möglich sein darf, bis der Verarbeitungszweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, erreicht ist.

Daraus folgt, dass eine Löschpflicht nach Art. 17 Abs.1 lit. a) DSGVO immer dann besteht, sobald die personenbezogenen Daten für eine zweckgebundene Datenverarbeitung nicht mehr erforderlich sind.

Daher ist die Löschpflicht immer dann ausreichend erfüllt, wenn durch eine geeignete Löschhandlung im Rahmen einer sachgemäßen Anonymisierung jeglicher Personenbezug, der eine Identifizierung oder Identifizierbarkeit ermöglicht, aufgehoben wird.

 

Ausblick

Liegt eine gesetzliche Löschpflicht vor oder machen Betroffene ihren Anspruch auf Löschung geltend, hat dies nicht unbedingt zur Folge, dass Daten vernichtet werden müssen. Auch Maßnahmen der Anonymisierung können einer Löschung im Sinne der DSGVO genügen. Diese Art der Datenverarbeitung birgt allerdings auch Risiken. Bei der Durchführung einer Anonymisierung gilt es daher unbedingt zu beachten, dass eine Rechtsgrundlage vorliegt und Sie als Verantwortlicher ihren Informationspflichten nachkommen, in dem Sie den Betroffenen umfassend über eine Anonymisierung informieren.

Da die Generierung eines anonymen Datenbestandes eine große Herausforderung für den Verantwortlichen darstellt und einige Fehlerquellen birgt, sollte in der Regel eine Risikoanalyse und gegebenenfalls eine Datenschutz-Folgenabschätzung durchgeführt werden. Findet in Ihrem Unternehmen regelmäßig eine Datenanonymisierung statt, sollten Sie die bestehende Anonymisierungen überprüfen und gegebenenfalls neu bewerten.

 

Call Now ButtonKontakt aufnehmen