DSGVO: Entscheidung der DSB zur Löschung personenbezogener Daten

14. November – need2know

Der Unternehmensalltag ist ohne die Verarbeitung von Daten schlicht unvorstellbar und es sind schwerlich Konstellationen denkbar, in welchen ein Unternehmen keine personenbezogenen Daten verarbeitet.

Diese Datenverarbeitung ist im Regelfall aber nicht zeitlich unbegrenzt möglich, und so kommt früher oder später der Zeitpunkt, an welchem die Daten gelöscht werden müssen. Dem entspricht auch das Recht der Betroffenen, bei Vorliegen bestimmter Gründe, die Löschung ihrer Daten vom Verantwortlichen zu verlangen.

Es bleibt daher die Frage, was unter der „Löschung“ im Sinne der Datenschutz-Grundverordnung (DSGVO) zu verstehen ist?

Eine Definition dafür sucht man in der DSGVO vergeblich und ebenso wenig wird Auskunft darüber gegeben, auf welche Art und Weise die Löschung personenbezogener Daten durchzuführen ist.

Führt man sich vor Augen, dass eine herkömmliche Festplatte aus Millionen von Bits besteht, die zwei Zustände (beispielsweise 1 oder 0, Ein oder Aus) annehmen können und deren Anzahl immer gleich bleibt, so wird schnell klar: Beim Löschen einer Datei verschwinden diese Bits nicht einfach von der Festplatte, viel mehr wird im Dateisystem lediglich vermerkt, dass der entsprechende Datenbereich wieder frei für neue Daten ist. Um also Daten physisch komplett zu vernichten, wäre es notwendig, die Festplatte mit einem Hammer, einer Bohrmaschine odgl zu zerstören. Dass diese Lösung nicht immer praktikabel ist, versteht sich von selbst. Die Datenschutzbehörde (DSB) beschäftigte sich erfreulicherweise jüngst mit der Frage, welche technischen Merkmale eine Löschung zur Folge haben (DSB 5.12.2018, DSB-D123.270/009-DSB/2018).

Im konkreten Fall brachte ein Versicherungsnehmer Beschwerde bei der Datenschutzbehörde ein, weil die Versicherung nicht alle personenbezogenen Daten aus ihren Systemen durch irreversibles Überschreiben löschte, sondern diese teilweise „lediglich“ anonymisierte. Im Rahmen dieser Anonymisierung erfolgte eine unwiderrufliche manuelle Überschreibung der Daten Name, Adresse und Geschlecht mit einer „Dummy Kundenverbindung“, nämlich „Max Mustermann“. Auch wurde die Kundenverbindung zu einem weiteren nicht zuordenbaren Eintrag zusammengefasst, womit auch der Änderungsverlauf nicht mehr rekonstruierbar war. Aufgrund dieser Überschreibung, so jedenfalls die Argumentation der Versicherung, wären keine weiteren Informationen vorhanden, die auf die Identität des Versicherungsnehmers hinweisen würden.

„Verarbeitung“: Löschen und Vernichtung nicht zwingend deckungsgleich

Die DSB führte dazu in Ihrer Entscheidung an, dass aus der in der DSGVO enthaltenen Definition des Begriffs der „Verarbeitung“ das Löschen und die Vernichtung nicht zwingend deckungsgleich sind. Daraus leitete die Behörde ab, dass eine Löschung nicht zwingend die endgültige Vernichtung der Daten voraussetzt. Ein mögliches Mittel zur Löschung könnte auch die Entfernung des Personenbezuges, also die Anonymisierung sein, wenn sichergestellt ist, dass niemand ohne unverhältnismäßigen Aufwand diesen Personenbezug wiederherstellen kann. Auch die Möglichkeit, die Daten zu irgendeinem späteren Zeitpunkt, etwa durch neue technische Verfahren, wiederherstellen zu können, führt im Ergebnis nicht dazu, dass die Löschung durch Unkenntlichmachung derzeit unzureichend wäre. Eine völlige Irreversibilität wird von der Behörde somit nicht gefordert. Außerdem würde es am Verantwortlichen liegen zu entscheiden, auf welche Art und Weise eine Löschung vorgenommen wird. Ein subjektiver Anspruch des Betroffenen auf ein konkretes Mittel besteht daher nicht.

Im Ergebnis ist diese Entscheidung für Verantwortliche begrüßenswert, erlaubt sie einerseits eine gewisse Flexibilität hinsichtlich der Löschungsmodalitäten und erleichtert andererseits bei komplexeren technischen Systemen, wo eine Löschung von Daten nicht einfach durch Betätigen der „Entfernen-Taste“ möglich ist, den Vorgaben der DSGVO durch Anonymisierung zu entsprechen.

Hier finden Sie die Entscheidung der Datenschutzbehörde.

Autor:
Emanuel Hackl

Praxisgruppe:
IP/IT/Datenschutz

Wenn Sie zukünftige Ausgaben von need2know erhalten möchten, folgen Sie uns auf LinkedIn oder senden Sie eine E-Mail an subscribe@bpv-huegel.com.