Österreichische Datenschutzbehörde zur DSGVO: Löschen bedeutet nicht Vernichten
Von der Versicherung wurden auf Bitte des ehemaligen Kunden alle elektronischen Kontakte (E-Mail-Adresse und Telefonnummer) sowie die Historie (Logdateien) gelöscht. Die Person, d.h. Name und Adresse, wurde lediglich durch Überschreibung mit einer anonymen, nicht zuordenbaren Person wie „Max Mustermann“ und einer Musteradresse ersetzt. Der Österreicher verlangte daraufhin die Löschung aller Daten und beschwerte sich bei der österreichischen Datenschutzbehörde (DSB), die jedoch der Versicherung recht gab.
Nach Ansicht der österreichischen Behörde kann die „Anonymisierung“ von personenbezogenen Daten ein mögliches Mittel zur Löschung sein. In der DSGVO wird der Begriff der Anonymisierung zwar nicht verwendet. Im Erwägungsgrund 26 zur Verordnung wird jedoch festgehalten, dass die DSGVO nicht auf anonymisierte Daten anwendbar ist, d.h. Informationen, die sich nicht auf identifizierte oder identifizierbare Personen beziehen. Die DSB sieht in der Anonymisierung eine „Entfernung des Personenbezugs“ und folgert hieraus, dass der Anwendungsbereich der DSGVO daher nicht mehr eröffnet ist. Folglich bestehe auch kein Recht auf Löschung.
Weiter führt die DSB aus, dass im Art. 17 DSGVO zwar nur von einer Löschung die Rede ist. Jedoch wird auf die Formulierung „die Löschung oder die Vernichtung“ in Art. 4 Ziffer 2 DSGVO hingewiesen. Daraus schließt die Behörde, dass es sich dabei um alternative, nicht identische Formen der Datenverarbeitung handelt. Dem Verantwortlichen der Datenverarbeitung stehe daher ein Ermessen bezüglich der Auswahl der Löschmethode zu. Es sei lediglich zu gewährleisten, dass der Verantwortliche selbst oder Dritte ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann.