Datenschutz in Österreich: Löschen heißt nicht unbedingt vernichten

Die Datenschutzgrundverordnung (DSGVO) verbrieft das Recht auf Löschung personenbezogener Daten. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. So sieht das die österreichische Datenschutzbehörde (DSB). Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Vergangenen Juli hatte ein Österreicher von seiner ehemaligen Versicherung verlangt, alle über ihn gespeicherten Daten unverzüglich zu löschen. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch "Max Mustermann" mit einer Musteradresse ersetzt, und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Eine endgültige Vernichtung aller Daten wurde erst für März 2019 in Aussicht gestellt. Der Kunde bestand aber auf einer sofortigen Löschung und beschwerte sich bei der Datenschutzbehörde. Sie hat zugunsten der Versicherung entschieden (Az. DSB-D123.270/0009-DSB/2018).

Löschung und Vernichten sind zweierlei

Die Behörde weist in ihrer Entscheidung darauf hin, dass Artikel 17 der DSGVO ein Recht auf Löschung personenbezogener Daten vorsieht. Gleichzeitig zählt die DSGVO in Artikel 4 Ziffer 2 Datenverarbeitungsmethoden auf, darunter "das Löschen oder die Vernichtung". Folglich seien Löschung und Vernichtung nicht identisch. Es liege im Ermessen des Verantwortlichen der Datenverarbeitung, die Löschmethode zu bestimmen.

"Es muss jedoch sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter, ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann", erklärte die DSB. Der Versicherung hat in diesem Fall geholfen, dass sie auch keine Logdateien mehr hatte, über die die Anonymisierung leicht hätte ausgehebelt werden können.

Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann: "Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten (...) nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die 'Löschung durch Unkenntlichmachung' nicht unzureichend. Eine völlige Irreversibilität ist daher (…) nicht notwendig."

Tipps für die Praxis

Die Wiener Anwaltskanzlei Wolf Theiss weist in einer Mitteilung darauf hin, dass nur eine Anonymisierung der Daten selbst verbunden mit Bereinigung oder Löschung entsprechender Logdaten ausreicht. Und bloß den gezielten Zugriff auf die Daten zu sperren reiche nicht. Außerdem sei es wichtig, zu dokumentieren, wie man welche Daten gelöscht hat, um das gegebenenfalls nachweisen zu können. (ds)