Sowohl an der Formulierung der DSGVO als auch an der Entscheidung ĂŒber die DSGVO haben viele Menschen mitgewirkt. Welche Absichten die Beteiligten hatten, als sie bestimmte Formulierungen gewĂ€hlt haben oder als sie sich entschieden haben, bestimmte vorgeschlagene Formulierungen zu verabschieden, wird sich niemals vollstĂ€ndig ermitteln lassen.
Insofern ist es immer ein bisschen unseriös, wenn man versucht, mit der "Absicht des Gesetzgebers" zu argumentieren.
Man darf ruhig annehmen (!), dass es der Absicht "des Gesetzgebers" entspreche, wenn bei zu löschenden personenbezogenen Daten nicht die Daten gelöscht werden, sondern nur der Personenbezug.
Nur: Diese Annahme ist nur eine Annahme. Justiz und Verwaltung mĂŒssen sich aber an den konkreten Inhalt des Gesetzes bzw. der Verordnung halten. Und der sieht eine Löschung (und nicht lediglich eine Anonymisierung) vor. Insofern halte ich die österreichische Entscheidung fĂŒr falsch.
.
Mir leuchtet allerdings noch nicht ganz ein, wie der Unterschied zwischen Löschen und Anonymisieren in der Praxis aussieht:
Beispiel:
Warenwirtschaftssystem. Um das Beispiel einfach zu halten, tue ich mal so, als wĂŒrden nur vorhandene Waren verkauft und als wĂ€re immer bekannt, wer eine Ware kauft.
Es gibt also eine Tabelle "KundInnen", eine Tabelle "Waren", eine Tabelle "Anfangs-Lagerbestand" (zum Beispiel bei der letzten Inventur), eine Tabelle "VerkaufsvorgÀnge" und eine Tabelle "aktueller Lagerbestand".
Der aktuelle Lagerbestand errechnet sich aus dem Anfangs-Lagerbestand und den VerkaufsvorgÀngen: Jeder Verkauf verringert den aktuellen Lagerbestand.
Kundin A verlangt jetzt die Löschung ihrer personenbezogenen Daten. Klar ist, dass A aus der Tabelle "KundInnen" entfernt werden muss. Aber in der Tabelle mit den VerkaufsvorgÀngen wird es schwieriger:
Möglichkeit a) (Löschung): Jeder Verkaufsvorgang, an dem A beteiligt war, ist personenbezogen. Wenn diese VerkaufsvorgÀnge aber aus der Tabelle gelöscht werden, dann stimmt die Tabelle "aktueller Lagerbestand" nicht mehr.
Möglichkeit b) (Anonymisierung): FĂŒr jeden Verkaufsvorgang wird die Information entfernt, wer die Ware gekauft hat. Die Datenbank bleibt konsistent, aber nach dem Wortlaut des Gesetzes wurde unter UmstĂ€nden ein (ursprĂŒnglich) personenbezogenes Datum nicht entfernt, sondern lediglich anonymisiert.
Mir fĂ€llt noch eine dritte Möglichkeit c) ein: Ich fĂŒhre eine zusĂ€tzliche Tabelle "Warenreduktion" ein. Da sieht ein Datensatz z. B. so aus:
ID | Zeitpunkt | Ware | Anzahl
Aber wo ist der Mehrwert gegenĂŒber einer Verkaufstabelle, die so aussieht:
ID | Zeitpunkt | Ware | Anzahl | Kunde/Kundin
... wenn das Feld "Kunde/Kundin" leer ist oder auf "anonym" oder auf "Max Mustermann" gesetzt wird?
.
Es scheint mir in der Praxis schwierig zu sein, genau zwischen "Löschung" und "Anonymisierung" zu unterscheiden.
Mir persönlich wÀre erstmal wichtig, dass jeglicher Personenbezug zuverlÀssig entfernt wird, wenn ich das verlange.
Aber es macht mir doch etwas Angst, dass eine Behörde hier mit unglaubwĂŒrdigen Sprachverdrehungen versucht, geltendes Recht nicht durchsetzen zu mĂŒssen. - Wenn es ein Unterschied ist, Daten zu "löschen" oder Daten zu "vernichten", dann ist es wahrscheinlich auch ein Unterschied, ob ich jemanden "töte", oder ob ich bei jemandem "lebensnotwendige Körperfunktionen beende"?
Vielleicht kommt man in Ăsterreich ja auch ungestraft aus einer Mord-Anklage heraus, wenn man sich darauf beruft, dass nur eine Tötung strafbar ist, aber nicht das Beenden lebensnotwendiger Körperfunktionen einer anderen Person?
Es bleibt beĂ€ngstigend, wenn Gerichte oder Behörden den Wortlaut von Gesetzen oder Verordnungen in einer Weise verdrehen, die ĂŒberhaupt nicht nachvollziehbar ist.
Schönen GruĂ
Holger