Zum Inhalt springen Zur Navigation springen
DSGVO-Löschpflicht & deren Umsetzung durch Anonymisierung

DSGVO-Löschpflicht & deren Umsetzung durch Anonymisierung

Artikel von Dr. Datenschutz·29. März 2021

Das Recht auf Vergessenwerden ist eines der wesentlichen Betroffenenrechte aus der DSGVO. Die Voraussetzungen, wann der Betroffene dieses Recht geltend machen kann sowie die Löschpflichten des Verantwortlichen sind gesetzlich geregelt. Weiterhin zu klären ist hingegen, die Umsetzung der Löschung durch den Verantwortlichen im Wege der Anonymisierung.

Löschanspruch und Löschpflicht

Während die meisten Betroffenenrechte in der DSGVO als Antragsrechte konzipiert sind und einen Antrag der betroffenen Person voraussetzen, ist das Recht auf Vergessenwerden in Art. 17 Abs. 1 DSGVO sowohl als Löschanspruch als auch als Löschpflicht, d.h. unabhängig von einem Löschantrag der betroffenen Person ausgestaltet.

Die Löschung muss jedoch in zweifacher Hinsicht unverzüglich erfolgen:

  • einmal kann die betroffene Person eine unverzügliche Löschung bezogen auf den Zeitraum zwischen Antrag und Löschhandlung verlangen und
  • zum anderen muss der Verantwortliche unverzüglich löschen, sobald einer der Löschgründe vorliegt, für den es keinen Antrag des Betroffenen bedarf.

In welchen Fällen hat eine unverzügliche Löschung zu erfolgen?

Eine unverzügliche Löschung hat gemäß Art. 17 Abs. 1 DSGVO immer dann zu erfolgen, wenn einer der genannten sechs Löschgründe vorliegt:

  • Die personenbezogenen Daten sind für die zweckgebundene Verarbeitung nicht mehr notwendig (Art. 17 Abs. 1 lit. a DSGVO).
  • Die betroffene Person widerruft die Einwilligung und es gibt auch keine andere Rechtsgrundlage für die Verarbeitung der Daten (Art. 17 Abs. 1 lit. b DSGVO).
  • Die betroffene Person widerspricht der Datenverarbeitung (Art. 21 Abs. 1 DSGVO oder Art. 21 Abs. 2 DSGVO).
  • Die Datenverarbeitung erfolgte unrechtmäßig (Art. 17 Abs. 1 lit. d DSGVO).
  • Die Löschung erfolgt zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Art. 17 Abs. 1 lit. e DSGVO).
  • Die personenbezogenen Daten wurden in Bezug auf gem. Art. 8 Abs. 1 DSGVO angebotene Dienste erhoben (Art. 17 Abs. 1 lit. f DSGVO).

Welche Ausnahmetatbestände für eine Löschung gibt es?

Eine unverzügliche Löschung muss immer dann nicht erfolgen, wenn eine Ausnahme nach Art. 17 Abs. 3 DSGVO gegeben ist, nämlich:

  • die Ausübung des Rechts auf freie Meinungsäußerung und Information (Art. 17 Abs. 3 lit. a DSGVO),
  • die Erfüllung einer Rechtspflicht oder einer öffentlichen Aufgabe (Art. 17 Abs. 3 lit. b DSGVO),
  • das Vorliegen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Art. 17 Abs. 3 lit. c DSGVO),
  • die Verarbeitung zu Archiv-, Forschungs- und statistischen Zwecken (Art. 17 Abs. 3 lit. d DSGVO),
  • die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 17 Abs. 3 lit. e DSGVO).

Welche weiteren Verpflichtungen bestehen neben der Löschungshandlung?

Zusätzlich zu der konkreten Löschung bestehen für den Verantwortlichen auch noch weitere Verpflichtungen, die nicht immer alle Verantwortlichen im Blick haben. Einmal die Benachrichtigungspflicht gem. Art. 19 DSGVO an weitere Datenempfänger sowie die Pflicht des Verantwortlichen gemäß Art. 17 Abs. 2 DSGVO andere Verantwortliche über das Löschverlangen der betroffenen Person zu informieren, soweit die Daten öffentlich gemacht wurden.

Wie erfolgt die Umsetzung der Löschung?

Art. 4 Nr. 2 DSGVO legt fest, dass es sich bei dem Löschvorgang um eine Datenverarbeitung handelt. Der Begriff „Löschen“ wird in der DSGVO jedoch nicht definiert, d.h. der Löschvorgang kann auf unterschiedliche Weise erfolgen. Von der unverzüglichen und unentgeltlichen Löschpflicht des Verantwortlichen sind die Daten ausgenommen, die der Verantwortliche Dritten offengelegt hatte und von diesen Dritten gespeichert (auch im Rahmen einer Sicherheitskopie) wurden. Zu beachten ist hierbei, dass eine Umgehung der eigenen Löschpflicht durch gezielte Offenlegung der Daten gegenüber Dritten einen Verstoß gegen die eigene Löschpflicht darstellt.

Maßgeblich für das Löschen im Sinne von Art. 17 DSGVO ist der Löscherfolg, also die faktische Unmöglichkeit der Kenntnisnahme von den Daten bzw. den darin enthaltenen Informationen.

Mögliche Löschhandlungen sind:

  • tatsächliches Überschreiben der die Daten betreffenden Speicherplätze
  • fachmännische, physische Zerstörung von Datenträgern bzw. fachmännische Entsorgung
  • Löschungen von Verknüpfungen oder Codierungen, die zur Wahrnehmung von Informationen in Bezug auf die Daten erforderlich sind
  • Recht auf Auslistung siehe Google-Spain-Urteil

Keinesfalls ausreichend als Löschhandlung sind rein organisatorische Maßnahmen, z.B. Verbot der Kenntnisnahme, Hinweis auf Ungültigkeit der Daten, da in diesem Fall von den in den Daten enthaltenen Informationen ohne unverhältnismäßigen Aufwand wieder Kenntnis erlangt werden kann.

Möglichkeit der Anonymisierung

Bleibt zu klären, ob eine Anonymisierung einen ausreichenden sicheren Löscherfolg darstellt, um eine faktische Unmöglichkeit der Kenntnisnahme zu erreichen und auf welchen Zeitpunkt hierbei abgestellt wird. Schließlich entwickelt sich die Technik weiter und was heute ausreichend anonymisiert gilt, kann im Laufe der Zeit bereits (s. Big Data) nicht mehr sachgemäß anonymisiert sein.

Nachdem in Art. 17 DSGVO die Löschhandlungen und auch der Löscherfolg nicht eindeutig festgelegt ist, erhebt sich die Frage, ob die sachgemäße Anonymisierung als Löschhandlung möglich ist. Bei der Anonymisierung handelt es sich grundsätzlich um eine Methode der Technikgestaltung, die die Anforderungen des Datenschutzes umsetzt, wobei es als nicht ausreichend betrachtet wird, wenn nur die unmittelbaren identifizierenden Merkmale aus einem Datenbestand entfernt werden. Vielmehr darf nach der Anonymisierung keine Partei mehr in der Lage sein, zwischen zwei Datensätzen eines Datenbestandes oder zwischen mehreren unabhängigen Datenbeständen eine Verbindung herzustellen oder durch Inferenz Informationen aus diesen abzuleiten. Inferenz bedeutet dabei, die Möglichkeit, den Wert eines Merkmales mit einer signifikanten Wahrscheinlichkeit von einer Reihe von anderen Werten abzuleiten.

Welche Arten der Anonymisierung gibt es?

Von der Art. 29 -Gruppe werden die möglichen Methoden der Anonymisierung in die Randomisierung und die Generalisierung sowie deren Kombination eingeteilt.

  • Randomisierung
    Zufälliges Herausgreifen und Isolation der Datensätze aus dem Datenbestand, wobei dies je nach Datenbestand zu einer dauerhaften De-Identifikation führen kann, was im konkreten Fall zu prüfen und sicherzustellen ist.
  • Generalisierung
    Aggregation von Einzelangaben, Werten, d.h. eine künstliche Unschärfe.
  • Verhinderung der Verknüpfung
    Verhinderung der Verknüpfung der Datensätze in verschiedenen Datenbanken, so dass diese nicht mehr in Beziehung gesetzt werden können.

Welche Rechtsgrundlage für die Anonymisierung gibt es?

Die Anonymisierung wird gem. Art. 4 Nr. 2 DSGVO als eine personenbezogene Datenverarbeitung in Form der Veränderung bzw. der Löschung definiert, weil die personenbezogenen Daten den Personenbezug entzogen bekommen bzw. die Löschung der Information erfolgt. Demnach wird hierfür auch eine Rechtsgrundlage benötigt. Nähere detaillierte Ausführungen zu der in diesem Fall diskutierten Rechtsgrundlage der Zweckänderung aus Art. 6 Abs. 4 DSGVO finden Sie in diesem Artikel. Die Anonymisierung wäre somit nur dann zur Erfüllung der Vorgaben aus Art. 17 DSGVO ausreichend, wenn diese mit dem ursprünglichen Zweck, zu dem die Daten erhoben wurden, vereinbar ist. Andere wiederum sehen die Rechtsgrundlage für die Anonymisierung als Erfüllung der Löschpflicht und daher in Art. 6 Abs. 1 S. 1 lit. c i.V.m. Art. 17 DSGVO verankert.

Ist die Anonymisierung eine geeignete Löschhandlung?

Unabhängig von der Rechtsgrundlage auf die man die Anonymisierung begründet, bleibt zu klären, ob diese eine geeignete Maßnahme des Verantwortlichen darstellt um dem Löschanspruch des Betroffenen bzw. der eigenen Löschpflicht als Verantwortlicher nachzukommen. Dies gilt umso mehr, als es schwierig ist festzustellen, ab wann Daten sachgemäß anonymisiert sind, d.h. tatsächlich so anonymisiert sind, dass ein Personenbezug absolut nicht mehr hergestellt werden kann. Ausreichend ist jedoch bereits die faktische Unmöglichkeit einen Personenbezug erneut herzustellen und zwar im Zeitpunkt der Anonymisierung, d.h. in diesem Zeitpunkt darf es niemanden mehr möglich sein ohne unverhältnismäßigem Aufwand einen Personenbezug herzustellen.

Grundsätzlich ist die Löschpflicht, wie diese in Art. 17 DSGVO begründet wird, ein Ausfluss der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO. Der Grundsatz der Speicherbegrenzung besagt, dass eine Identifizierung der betroffenen Personen nur solange möglich sein darf, solange dieser Personenbezug, also die Identifizierung oder die Identifizierbarkeit der betroffenen Person, für die Zweckerreichung erforderlich ist. Nach Art. 17 Abs. 1 lit. a DSGVO besteht in dem Fall, wo die personenbezogenen Daten für die zweckgebundene Datenverarbeitung nicht mehr erforderlich sind, eine Löschpflicht. Bei einer sachgemäßen Anonymisierung wird der Personenbezug, d.h. die Identifizierung oder Identifizierbarkeit aufgehoben, so dass eine ausreichende Erfüllung der Löschpflicht durch die Löschhandlung der Anonymisierung erfolgt, weil der Personenbezug entfällt.

Regelmäßige Prüfung der Anonymisierung ist erforderlich

Auch wenn das Restrisiko einer unsachgemäßen Anonymisierung verbleibt, schließt dies nicht die grundsätzliche Geeignetheit der Anonymisierung als Löschhandlung aus. EG 26 S. 4 verdeutlicht, dass hinsichtlich der sachgemäßen Anonymisierung auf den Zeitpunkt der Vornahme und die zu diesem Zeitpunkt verfügbaren Technologien und Entwicklungen abzustellen ist. Dies gilt auch, wenn es sich um eine faktische und nicht um eine absolute Unmöglichkeit handelt. Dem Verantwortlichen obliegt es jedoch in diesem Fall, in regelmäßigen Abständen den aktuellen Stand der Technik zu prüfen und einer ggf. mittlerweile eingetretenen Re-Identifizierungsmöglichkeit entgegenzuwirken. In diesem Fällen kann bei einer faktischen Unmöglichkeit die Anonymisierung als Löschhandlung mit dem entsprechenden in Art. 17 Abs. 1 DSGVO vorgeschriebenen Löscherfolg gewertet werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Sollte man zu diesem Punkt noch erwähnen, Umsetzung der Löschung, die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 17 Abs. 3 lit. e DSGVO):
    Ein Arzt, der bis zu 30 Jahre auf Behandlungsfehler verklagt werden kann, die Löschpflicht aber in der Regel nach 10 Jahren nach letztem Patientenkontakt eintritt, kann zur Rechtsverteidigung die Patientenakte solange aufheben. Allerdings muss die Akte dann gesperrt werden. Warum wird diese Möglichkeit so selten erwähnt und beschrieben, was Sperren heißt ?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.