2019/02/06 Anonymisierung ist DSGVO-konformes Löschen
Anonymisierung entspricht "Recht auf Vergessen werden" - Datenschutzbehörde bestätigt Position der ARGE DATEN - Softwarelieferanten in der Pflicht - Datenverarbeiter müssen Löschfunktionen vorsehen - Ende der unsinnigen Diskussion über logisches und physisches Löschen
Anonymisierung entspricht "Recht auf Vergessen werden"
Ein zentrales Anliegen der Datenschutz-Grundverordnung (DSGVO) ist das möglichst rasche Löschen von nicht mehr benötigten, veralteten oder rechtswidrig verarbeiteten Daten. Besonders IT-Techniker oder Softwarehersteller hatten in den letzten Jahren immer wieder neue Nebelwände aufgezogen, um zu erklären, warum die IT-Branche nichts löschen könne.
Dabei wurde übersehen, dass das Löschgebot gemäß DSGVO immer mit dem Zweck einer Verarbeitung untrennbar verknüpft ist. Die DSGVO verlangt kein abstraktes Löschen, quasi vernichten aller Spuren, sondern "bloß" das Löschen nicht mehr benötigter persönlicher Daten in einer Verarbeitung.
Bestellt ein Kunde einen Newsletter ab, hat er keinen Anspruch als Kunde gelöscht zu werden. Es reicht die Löschung jenes Häckchens in der Datenbank, das ihn als Nesletterbezieher identifiziert. Alle anderen Daten bleiben erhalten. Selbst eine historische Dokumentation von wann bis wann jemand Newsletterbezieher war, bliebe zulässig, wenn der Verantwortliche dafür einen vernünftigen Grund hat.
Auch der Ersatz der Identifikationsdaten eines Betroffenen (Kunde, Patient, Mitarbeiter, ...) durch einen zufällig generierten Wert wäre eine zulässige Löschung im Sinne der DSGVO. Der Vorteil für den Verantwortlichen wäre, dass er viele Langzeitanalysen seiner wertvollen Daten weiterhin durchführen könnte, die Systemkonsistenz gewahrt bleibt und die Bedürfnisse des Betroffenen nach DSGVO-konformer Löschung trotzdem erfüllt werden.
Datenschutzbehörde bestätigt Position der ARGE DATEN
In der jüngst ergangenen Entscheidung der Datenschutzbehörde (DSB-D123.270/0009-DSB/2018) wird die Position der ARGE DATEN klar bestätigt.
Das Entfernen "des Personenbezugs ('Anonymisierung') von personenbezogenen Daten kann somit grundsätzlich ein mögliches Mittel zur Löschung iSv Art. 4 Z 2 iVm Art. 17 Abs. 1 DSGVO sein."
Der Nutzer eines Online-Beratungsforums verlangte eine komplette Löschung. Dies war weder sinnvoll, noch möglich. Alternativ setzte das Online-Forum folgende Maßnahmen:
- Löschung eines konkreten Offerts
- Löschung der Kontaktdaten des Betroffenen
- Überschreiben der Identifikationsdaten durch eine anonymisierte Personenkennung
- Löschen der personenbezogenen Kundenhistorie
Die Datenschutzbehörde bestätigte, dass auf diese Weise den Löschverpflichtungen gemäß DSGVO genüge getan wurde.
Hans G. Zeger, Obmann ARGE DATEN: "Leider müssen in vielen Fällen diese Verarbeitungsschritte von den Verantwortlichen manuell durchgeführt werden. Softwarelieferanten ignorieren noch immer ihre Verpflichtung, nicht nur für Datenerfassung oder Auswertung effiziente Tools bereit zu stellen, sondern auch für das Ende des Daten-Lebenszyklus, für die Löschung."
Softwarelieferanten in der Pflicht
Für eine sichere Anonymisierung empfiehlt die ARGE DATEN die Verwendung von Zufallsfunktionen, wie etwa UUID-Generatoren, die zu einem Namen eines Betroffenen zu einem bestimmten Zeitpunkt eine zufällige Zeichenkette generieren. Alle Identifikationsmerkmale eines Betroffenen sollten dann zu diesem Zeitpunkt durch den Zufallscode ersetzt werden. Bei Wiederholung des Zufallsgenerators würde zum Namen des Betroffenen eine völlig andere Zeichenkette entstehen.
Alle Betriebssysteme, alle höheren Programmiersprachen und viele moderne Anwenderprogramme (Apps) verfügen über derartige Generierungs- und Replace-Funktionen.
Verantwortliche sind gut beraten bei ihrem Softwarelieferant eine derartige Anonymisierungs-Funktion (aka "Löschfunktion") einzufordern, sie können auf diese Weise den DSGVO-Löschverpflichtungen leicht nachkommen.
Unterlassen es Verantwortliche derartige Löschfunktionen vorzusehen, machen sie sich nach DSGVO Art 83 Abs 5 strafbar und müssen mit Strafen bis 4% (bis 20 Mio Euro) rechnen.
Wesentlich kritischer ist jedoch, dass jeder Betroffene einen Anspruch auf immateriellen Schadenersatz hat. Selbst wenn als Untergrenze "nur" 1.000,- Euro angesetzt werden, kann das bei einigen hundert Betroffenen wirklich teuer werden.
Ende der unsinnigen Diskussion über logisches und physisches Löschen
Mit der Entscheidung der Datenschutzbehörde wird hoffentlich auch die besonders unter Technikern beliebte, jedoch sinnlose Diskussion über logisches und physisches Löschen ihr Ende finden.
Weder die DSGVO, noch nationale Bestimmungen verlangen Löschoperationen, die zu einem völligen Verschwinden von Daten führen. Niemand verlangt das Schreddern von Festplatten, nur weil ein Kunde keinen Newsletter will. Erforderlich ist ausschließlich ein sicheres Datenschutzmanagementsystem, bei dem gelöschte Daten für bestimmte Zwecke auch in Zukunft nicht verfügbar sind.
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
mehr --> Anmeldung Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Wann müssen Daten berichtigt oder gelöscht werden, Empfänger v...
mehr --> Beinhaltet das Recht auf Löschung auch ein Recht auf Herausgab...
mehr --> Löschungsanspruch gegenüber Wirtschaftsauskunftsdiensten & Banken
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
andere --> https://www.ris.bka.gv.at/Bundesrecht/
|
