Mit einem interessanten Urteil hat die österreichische Datenschutzbehörde eine weitreichende Entscheidung getroffen: Eine Anonymisierung reicht aus, wenn ein Betroffener die Löschung seiner Daten verlangt (oder wenn die Daten sonst gelöscht werden müssen).

 

DSGVO: Anonymisierung reicht als Löschung

Die Begründung: „Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person […] nicht mehr möglich ist.“

Da genau das (die Verarbeitung und Nutzung) bei einer Anonymisierung nicht mehr möglich ist, müssen die Daten – so die DSB – nicht zwingend auch gelöscht werden. Demnach reicht auf Grundlage der EU-Datenschutz-Grundverordnung (DSGVO) eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist.

Hintergrund der Entscheidung war die Klage eines Betroffenen, der von einer Versicherung die Löschung seiner Daten begehrte; diese teilte ihm mit, dass seine Daten vorerst anonymisiert wurden und zu einem späteren Zeitpunkt dann tatsächlich auch gelöscht werden sollten. Dagegen beschwerte sich der Betroffene, doch die Datenschutzbehörde lehnte die Klage mit der o.a. Begründung ab.