Die Löschung von personenbezogenen Daten in IT-Systemen stellt eine besondere Herausforderung dar. Die generelle Kritik, die ich an der DSGVO immer wieder äußere, lässt sich auch an dem Thema Löschung von personenbezogenen Daten gut nachvollziehen. Bestimmte und gute Aspekte werden für einen Bereich angewendet, auf den sie einfach nicht passen.
Einzelne Felder einer relational angelegten Datenbank können nach Aussage von Technikern eben nicht beliebig gelöscht werden, ohne dass die Integrität und die Nutzbarkeit der Datenbank kompromittiert wird. Nun stellt sich die Frage: Gibt es auch andere Wege, dem Prinzip der Löschung personenbezogener Daten zu entsprechen, ohne dass die Daten physikalisch vernichtet werden, etwa durch eine Anonymisierung?
In der DSGVO bedeutet die Anonymisierung ein Verfahren, das auf die Aufhebung des Personenbezugs gerichtet ist. Die Person hinter den Daten soll nicht mehr erkennbar sein. Das unterscheidet die Anonymisierung von der Pseudonymisierung. Bei der Pseudonymisierung ist es möglich, den Personenbezug durch Heranziehung von zusätzlichen Informationen, wie zum Beispiel öffentlichen Datenbanken oder Schlüsseln, wiederherzustellen. Das genau soll durch eine Anonymisierung nicht mehr möglich sein.
Gesetzliche Grundlagen:
Die Pflicht zur Löschung besteht nach dem Gesetz dann,
- Wenn personenbezogene Daten für den Verarbeitungszweck nicht mehr notwendig sind;
- bei Widerruf der Einwilligung;
- bei Widerspruch im Sinne von Artikel 21 DSGVU;
- bei einer unrechtmäßigen Verarbeitung bei Vorliegen der Erforderlichkeit der Löschung zur Erfüllung einer rechtlichen Verpflichtung;
- bei der Erhebung In Bezug auf Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO.
Der Artikel 17 DSGVO besagt aber nicht, welche Anforderungen zu erfüllen sind, damit eine Löschung im Sinne der DSGVO bejaht werden kann. Bedeutet Löschung immer zwangsläufig eine physikalische Vernichtung?
Spricht man als Jurist vor diesem Hintergrund mit einem Techniker, lautet der häufigste Einwand, dass man im Prinzip jedes auf Anonymisierung ausgerichtete System auch „knacken“ kann, weswegen die Pseudonymisierung von der Anonymisierung kaum zu unterscheiden sei und im Endeffekt nur eine physikalische Löschung im Sinne eines Scheiterhaufens eine Gewähr für die Löschung biete.
Juristen hingegen legen Begriffe aus und das abseits des normalen Sprachgebrauchs. Es kommt darauf an, dass die personenbezogenen Daten nicht rückverfolgt werden können. Die Person muss hinter den Daten verschwinden. Dabei sind objektive Faktoren wie die Kosten für eine mögliche Identifizierung oder der Zeitaufwand mit in Erwägung zu ziehen. Und der Maßstab sind nicht die technischen Möglichkeiten von Geheimdiensten.
Es ist nicht richtig, das eine Anonymisierung nur dann vorliegt, wenn schlichtweg nach menschlichem Ermessen ausgeschlossen ist, dass personenbezogene Daten rückverfolgt werden können. Es reicht, dass ein gewisses Maß an Wahrscheinlichkeit besteht. Die DSGVO gibt nicht, – und das ist für Deutsche immer schwer zu verstehen – ganz oder gar nicht – Raster vor, sondern sie verfolgt einen risikobasierten Ansatz. Es kommt darauf an, welche Datenarten, wie viele Datenarten verarbeitet werden und welches Maß an Wahrscheinlichkeit dafür besteht, dass die Daten ohne erheblichen Aufwand rückübersetzt werden können und welches Risiko sich für die Betroffenen aus diesem Umstand ergibt. Und das muss – leider – wieder in einer Dokumentation niedergelegt werden.
Zwei Punkte müssen technisch durch die Anonymisierung realisiert werden können:
Die Generalisierung und die Randomisierung. Unter der Randomisierung werden Techniken verstanden, bei denen die direkte Verbindung zwischen den Daten (Informationen) und der Person entfernt werden, also zum Beispiel Abmahnungen oder disziplinarische Maßnahmen aus den Personaldaten entfernt werden. Eine Generalisierung liegt vor, wenn der Wert eines Merkmals durch ein weniger spezifischen Wert ersetzt wird. Eine Form der Generalisierung wäre zum Beispiel, dass man anstelle von einer bestimmten Stadt, in der eine Person wohnt, von dem Bundesland spricht. Bevor Daten anonymisiert werden können, müssen also juristische Axiome umgesetzt werden. Man muss sich zuerst überlegen, was für den speziellen Zweck der Verarbeitung wichtig war und dann im zweiten Schritt, wie man diese Daten „vernebeln“ kann.
Anonymisierung ist keine Vernichtung. Aber das muss auch nicht immer sein. Natürlich besteht immer das Restrisiko, dass die hinter den Daten stehenden Personen doch wieder identifiziert werden können. Aber die DSGVO verlangt eben kaum jemals die ausschließliche Durchsetzbarkeit eines Prinzips, sondern eine Abwägung von Risiko, Kosten und Möglichkeit.
Das Problem der Anonymisierung besteht an anderer Stelle. Mit der Weiterentwicklung der Technik kann sich eine einmal als sicher qualifizierte Technik der Anonymisierung zu einem anderen Zeitpunkt als unsicher erweisen. Deshalb muss bei der Anonymisierung immer wieder neu geprüft werden, ob sich das Risiko der Identifikation der Menschen inzwischen wieder geändert hat. Anonymisierte Daten sterben eben nicht, sondern müssen weiterhin behandelt werden.
Prozess der Anonymisierung
In die Verarbeitungsverzeichnisse muss als Rechtsgrundlage der Art 6 IV DSGVO, Art 6 I UAbs 1c, Art 17 DSGVO eingetragen werden. Das gilt – trotz eines anderen Wortlauts auch für personenbezogene Daten nach Art 9 Abs.1 DSGVO.