.st0{fill:#FFFFFF;}

Löschung durch Anonymisierung

Wichtige Datenschutz-Themen von Profis aufbereitet

Löschung durch Anonymisierung

Die Datenschutzgrundverordnung schreibt vor, dass personenbezogene Daten unter bestimmten Voraussetzungen vom Verantwortlichen gelöscht werden müssen. Doch eine Löschung muss nicht unbedingt einen Datenverlust zur Folge haben.

Durch Anonymisierung besteht für Unternehmen die Möglichkeit ihrer Löschverpflichtung aus Art. 17 DSGVO nachzukommen und zugleich Daten ohne jeden konkreten Personenbezug zugunsten des Unternehmens zu Analyse- und Statistikzwecken weiterhin zu verwenden.


Das Wichtigste auf einen Blick

  • Der Verantwortliche ist unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO, verpflichtet eine Löschung personenbezogener Daten durchzuführen
  • Eine Löschung im Sinne von Art. 17 DSGVO kann auch durch Anonymisierung personenbezogener Daten erfolgen.
  • Die Grundsätze des Datenschutzes gelten nicht für solche Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Eine erfolgreiche Anonymisierung ist dann zu bejahen, wenn es keine Möglichkeiten mehr gibt, eine Person zu direkt oder indirekt zu identifizieren.

    1. Löschpflicht nach Art. 17 Abs. 1 DSGVO

    Betroffenen Personen steht nach Art. 17 DSGVO ein Recht auf Löschung der zu ihrer Person erhobenen, gespeicherten und verarbeiteten Daten zu.

    Zudem besteht auch eine Pflicht des Verantwortlichen nach Art. 17 Abs. 1 DSGVO, unter den dort genannten Voraussetzungen eine Löschung personenbezogener Daten durchzuführen.

    So besteht beispielsweise unter anderem eine Löschpflicht, wenn die personenbezogenen Daten für eine zweckgerichtete Verarbeitung nicht mehr benötigt werden, die Datenverarbeitung unrechtmäßig war oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

    Von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen sind allerdings solche Daten ausgenommen, die von Dritten in Folge einer Offenlegung durch den Verantwortlichen gespeichert wurden.

    Experteninfo

    Achtung! Eine Umgehung der eigenen Pflicht zur Datenlöschung durch gezielte Offenlegung der Daten gegenüber Dritten stellt einen Verstoß gegen die Löschpflicht dar!

    Darüber hinaus sind die Ausnahmen der Löschpflicht aus Art. 17 Abs. 3 DSGVO zu beachten.

    2. Löschung im Sinne der DSGVO

    Da Art. 17 DSGVO nicht definiert, welche Anforderungen zu erfüllen sind, damit eine Löschung bejaht werden kann, kann eine Löschung auf unterschiedlichste Art und Weise erfolgen.

    Als mögliche Löschhandlungen kommt die physische Zerstörung oder Überschreibung der Datenträger in Betracht. Zudem kann die Löschpflicht auch durch Löschungen von Verknüpfungen oder Codierungen, die eine Wahrnehmung der personenbezogenen Daten ermöglichen sowie eine Auslistung umgesetzt werden.

    Für die erfolgreiche Umsetzung der Löschpflicht aus Art. 17 DSGVO ist der Löscherfolg maßgeblich. Dieser tritt ein, sobald es für jedermann faktisch unmöglich wird, von den personenbezogenen Daten Kenntnis zu nehmen.

    3. Löschung durch Anonymisierung

    Zwar wird der Begriff der Anonymisierung nicht in der DSGVO definiert, allerdings geht aus Erwägungsgrund 26 zur DSGVO hervor, dass die Grundsätze des Datenschutzes für solche Informationen nicht gelten, die anonym sind, also solche, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen.

     Demnach sind anonymisierte Daten ein guter Kompromiss, um den Anforderungen aus der DSGVO gerecht zu werden und zugleich dem Unternehmen Daten zu erhalten.

     

    4. Arten der Anonymisierung

    Eine Anonymisierung kann auf drei verschiedene Arten erfolgen.

    • Randomisierung

    Bei der Randomisierung werden zufällig Datensätze aus einem Datenbestand herausgegriffen und anschließend isoliert.

    • Generalisierung

    Bei der Generalisierung werden potenzielle Identifizierungsmerkmale wie Einzelangaben und Werte aggregiert, wodurch ein künstlicher Datenverlust herbeigeführt wird.

    • Randomisierung und Generalisierung

    Eine weitere Art der Anonymisierung ist die Kombination der genannten Varianten. Dabei wird eine Verbindung von Datensätzen verschiedener Datenbanken verhindert, sodass bestimmte Daten nicht mehr in Verbindung gebracht werden können und ein Rückschluss auf natürliche Personen verhindert wird.


    5. Rechtsgrundlage der Anonymisierung

    Die genaue rechtliche Grundlage einer Anonymisierung bedarf noch genauerer Klärung.

    Einige sehen die Anonymisierung in Gestalt einer Veränderung oder der Löschung als Verarbeitung personenbezogener Daten nach Art. 4 Nr. 2 DSGVO an. Als Rechtsgrundlage kämen insoweit sämtliche Rechtsgrundlagen des Art. 6 DSGVO in Betracht. Wobei die Zweckänderung nach Art. 6 Abs. 4 DSGVO besonders nennenswert ist.

    Darüber hinaus ziehen andere für die Anonymisierung Art. 6 Abs. 1 S.1 lit. c) in Verbindung mit Art. 17 DSGVO als Rechtsgrundlage heran, mit der Begründung, dass die Anonymisierung der Erfüllung der DSGVO-Löschpflicht des Verantwortlichen dient.

    6. Erfolgreiche Anonymisierung

    Eine erfolgreiche Anonymisierung ist dann zu bejahen, wenn es keine Möglichkeiten mehr gibt, eine Person zu direkt oder indirekt zu identifizieren.

    In der Regel wird eine absolute Anonymisierung dahingehend, dass der Personenbezug von niemandem mehr wiederhergestellt werden kann, nicht möglich sein. Dies wird datenschutzrechtlich allerdings auch nicht gefordert. Ausreichend ist vielmehr, dass der Personenbezug so weit aufgehoben ist, dass eine Re-Identifizierung praktisch unmöglich ist. Dies ist regelmäßig dann zu bejahen, wenn die Kosten einer Identifizierung und der dafür erforderliche Aufwand unverhältnismäßig hoch wären.

    Insoweit müssen stets die aktuell verfügbaren Technologien und technologischen Entwicklungen berücksichtigt werden. Da im Zeitalter fortschreitender Digitalisierung Mittel zur Identifizierung zunehmend kostengünstiger werden und die Entwicklung von Technologien voranschreitet, muss der Verantwortliche regelmäßig sicherstellen, dass eine sachgerechte Anonymisierung vorliegt und prüfen, ob Re-Identifikationsmöglichkeiten vorliegen, die beseitigt werden müssen.

    7. Ausblick

    Die aus der DSGVO resultierende Löschpflicht muss nicht immer einen Datenverlust zur Folge haben. Auch wenn die Anonymisierung für viele Unternehmen zunächst als Wertverlust für die Daten erscheint, hat sie dennoch Vorteile im Vergleich zu einer tatsächlichen Löschung.

    Dennoch birgt eine Anonymisierung einige Fehlerquellen. Sofern Sie regelmäßig mit der Datenanonymisierung arbeiten, sollten Sie bestehende Anonymisierungen jetzt überprüfen und gegebenenfalls an den aktuellen Stand der Technik anpassen.

    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.