Wirksame Anonymisierung entspricht den Löschanforderungen aus Art. 17 DSGVO

05.12.2018

 

 

Duch die DSGVO genießen betroffene Personen das Recht, von jeder Organisation zu verlangen, ihre personenbezogenen Daten unverzüglich zu löschen. Einem solchen Verlangen ist unverzüglich zu entsprechen, z.B. sofern die Daten nicht mehr für den Zweck, zu dem sie erhoben wurden, notwendig sind oder eine Einwilligung widerrufen wird oder falls die Verarbeitung der Daten unrechtmäßig war.

 

In den vergangenen zwei Jahren war es für Softwarehersteller unsicher, ob eine solche Löschung bereits durch eine Anonymisierung erfüllt ist. 

 

Am 05.12.2018 hat dazu die österreichische Datenschutzaufsichtsbehörde festgestellt, dass eine Anonymisierung personenbezogener Daten den Anforderungen des Art. 17 der DSGVO nach Löschung entsprechen kann. Es muss dazu sichergestellt sein, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann.

Rechtssicherheit 

Mit diesem Urteil erhalten Softwarehersteller und IT-Betreiber die Rechtssicherheit, dass eine wirksame Anonymisierung personenbezogener Daten den Anforderungen an das Löschen genügt. In der Entscheidung wird zusätzlich festgestellt, dass das Wahlrecht der verwendeten Mittel bei der verantwortlichen Stelle liegt und nicht bei der betroffenen Person.

 

Wichtig ist also die wirksame Entfernung aller Daten, die einen Personenbezug ermöglichen. So kann das Überschreiben der Personendaten mit den Dummy-Werten einer Musterperson „Max Mustermann“ für alle relevanten Personendaten ausreichend. Softwarehersteller sollten darauf achten, dass keine "verborgenen" Personenbezüge zum Beispiel in Logdaten verbleiben.

 

Verweis

Sie finden den Bescheid im Rechtsinformationssystem des Bundes, Österreich.