Sowohl an der Formulierung der DSGVO als auch an der Entscheidung über die DSGVO haben viele Menschen mitgewirkt. Welche Absichten die Beteiligten hatten, als sie bestimmte Formulierungen gewählt haben oder als sie sich entschieden haben, bestimmte vorgeschlagene Formulierungen zu verabschieden, wird sich niemals vollständig ermitteln lassen.
Insofern ist es immer ein bisschen unseriös, wenn man versucht, mit der "Absicht des Gesetzgebers" zu argumentieren.
Man darf ruhig annehmen (!), dass es der Absicht "des Gesetzgebers" entspreche, wenn bei zu löschenden personenbezogenen Daten nicht die Daten gelöscht werden, sondern nur der Personenbezug.
Nur: Diese Annahme ist nur eine Annahme. Justiz und Verwaltung müssen sich aber an den konkreten Inhalt des Gesetzes bzw. der Verordnung halten. Und der sieht eine Löschung (und nicht lediglich eine Anonymisierung) vor. Insofern halte ich die österreichische Entscheidung für falsch.
.
Mir leuchtet allerdings noch nicht ganz ein, wie der Unterschied zwischen Löschen und Anonymisieren in der Praxis aussieht:
Beispiel:
Warenwirtschaftssystem. Um das Beispiel einfach zu halten, tue ich mal so, als würden nur vorhandene Waren verkauft und als wäre immer bekannt, wer eine Ware kauft.
Es gibt also eine Tabelle "KundInnen", eine Tabelle "Waren", eine Tabelle "Anfangs-Lagerbestand" (zum Beispiel bei der letzten Inventur), eine Tabelle "Verkaufsvorgänge" und eine Tabelle "aktueller Lagerbestand".
Der aktuelle Lagerbestand errechnet sich aus dem Anfangs-Lagerbestand und den Verkaufsvorgängen: Jeder Verkauf verringert den aktuellen Lagerbestand.
Kundin A verlangt jetzt die Löschung ihrer personenbezogenen Daten. Klar ist, dass A aus der Tabelle "KundInnen" entfernt werden muss. Aber in der Tabelle mit den Verkaufsvorgängen wird es schwieriger:
Möglichkeit a) (Löschung): Jeder Verkaufsvorgang, an dem A beteiligt war, ist personenbezogen. Wenn diese Verkaufsvorgänge aber aus der Tabelle gelöscht werden, dann stimmt die Tabelle "aktueller Lagerbestand" nicht mehr.
Möglichkeit b) (Anonymisierung): Für jeden Verkaufsvorgang wird die Information entfernt, wer die Ware gekauft hat. Die Datenbank bleibt konsistent, aber nach dem Wortlaut des Gesetzes wurde unter Umständen ein (ursprünglich) personenbezogenes Datum nicht entfernt, sondern lediglich anonymisiert.
Mir fällt noch eine dritte Möglichkeit c) ein: Ich führe eine zusätzliche Tabelle "Warenreduktion" ein. Da sieht ein Datensatz z. B. so aus:
ID | Zeitpunkt | Ware | Anzahl
Aber wo ist der Mehrwert gegenĂĽber einer Verkaufstabelle, die so aussieht:
ID | Zeitpunkt | Ware | Anzahl | Kunde/Kundin
... wenn das Feld "Kunde/Kundin" leer ist oder auf "anonym" oder auf "Max Mustermann" gesetzt wird?
.
Es scheint mir in der Praxis schwierig zu sein, genau zwischen "Löschung" und "Anonymisierung" zu unterscheiden.
Mir persönlich wäre erstmal wichtig, dass jeglicher Personenbezug zuverlässig entfernt wird, wenn ich das verlange.
Aber es macht mir doch etwas Angst, dass eine Behörde hier mit unglaubwürdigen Sprachverdrehungen versucht, geltendes Recht nicht durchsetzen zu müssen. - Wenn es ein Unterschied ist, Daten zu "löschen" oder Daten zu "vernichten", dann ist es wahrscheinlich auch ein Unterschied, ob ich jemanden "töte", oder ob ich bei jemandem "lebensnotwendige Körperfunktionen beende"?
Vielleicht kommt man in Österreich ja auch ungestraft aus einer Mord-Anklage heraus, wenn man sich darauf beruft, dass nur eine Tötung strafbar ist, aber nicht das Beenden lebensnotwendiger Körperfunktionen einer anderen Person?
Es bleibt beängstigend, wenn Gerichte oder Behörden den Wortlaut von Gesetzen oder Verordnungen in einer Weise verdrehen, die überhaupt nicht nachvollziehbar ist.
Schönen Gruß
Holger