top of page
Tilman Herbrich

Löschen durch Anonymisieren löst keine Infopflicht aus

Sehr geehrte Leserinnen und Leser,


vor gut zwei Wochen fand unsere jährliche Datenschutzkonferenz (DSK2021) statt. Erstmals war es mir seit Beginn der COVID-19-Pandemie möglich, mit derart vielen DatenschutzexpertInnen und -interessierten in einen persönlichen Diskurs zu treten. Dies, und die 2½ intensiven Tage, welche mit vielen verschiedenen Aspekten des Datenschutzrechts gefüllt waren, empfand ich auf zahlreichen Ebenen als sehr bereichernd. Ich hoffe, es ging Ihnen – sofern Sie dabei waren – nicht anders! Sollten Sie weder digital noch vor Ort teilgenommen haben, gibt es hierzu bald die nächste Gelegenheit: auf der DSK2022 in Düsseldorf, für die Sie sich bereits jetzt anmelden können.


Auf der diesjährigen DSK kam während des Experten-Diskussionspanel die Frage auf, ob „eine Infopflicht gegenüber Betroffenen existiere, wenn bereits bei Erhebung der Daten die Anonymisierung als Löschsubstitut festgelegt sei“. Die Frage wurde ausnahmslos beantwortet mit: „Ja“. Dieser Aussage möchte ich auf zwei Ebenen mit „Nein“ entgegentreten. Denn in diesem Fall ist die Anonymisierung bereits von Anfang an als Löschsubstitut festgelegt und selbst wenn man dem BfDI zur Position der Anonymisierung folgt, liegt darin keine Zweckänderung nach Art. 6 Abs. 4 DSGVO. Das Unternehmen hatte die Anonymisierung ja bereits von Anfang an vorgesehen. Eine Infopflicht nach Art. 13 Abs. 3 DSGVO besteht deshalb (vorab) nicht. Möchte sich das Unternehmen absichern, kann es bereits in den Informationen für die Ersterhebung mitteilen, „die Löschung erfolgt durch Anonymisierung“.


Darüber hinaus kennt die DSGVO für die Löschung auch keine allgemeine (nachträgliche) Infopflicht. Die Systematik untermauert dies noch: Aus Art. 17 Abs. 2, 19 DSGVO ergibt sich, dass die Löschung (nur) gegenüber Empfängern aktiv anzeigepflichtig sein kann. Art. 12 Abs. 3 DSGVO sieht eine Infopflicht nur dann vor, wenn die Löschung auf „Antrag“ erfolgt. Erfolgt sie etwa aufgrund des Zweckfortfalls, ohne Tätigwerden des Betroffenen, erfährt dieser hiervon erst durch einen Auskunftsantrag. Daneben ergibt sich gegenüber Betroffenen einzig aus Art. 34 Abs. 1, 4 Nr. 12 DSGVO eine „aktive“ Infopflicht, wenn die Löschung „unbeabsichtigt oder unrechtmäßig“ erfolgt und aus dem Fehlen des Identifizierungsmerkmals „ein hohes Risiko“ resultiert. Für die Anonymisierung als Substitut kann ohne ausdrückliche Pflicht deshalb ebenfalls keine Pflicht bestehen.


Es bliebe also nur dann eine Infopflicht, wenn diese durch eine Zweckänderung ausgelöst würde. Aber selbst wenn ein Unternehmen sich erst später, und nicht von Anfang an, für die Anonymisierung als „Löschmethode“ entscheidet, ist dies nicht zweckändernd. Löschen ist – wie sich treffend aus Art. 5 Abs. 1 lit. e DSGVO ergibt – eine Speicherform, welche die Identifizierung des Betroffenen nicht mehr ermöglicht. Löschen ist kein Zweck, sondern der Verarbeitungsvorgang selbst, genauso wie Speichern nicht der Zweck des Speicherns ist. Der Zweck liegt in der Erfüllung einer gesetzlichen Vorgabe: der Speicherbegrenzung. Die Anonymisierung kann hierfür eine gangbare (Lösch-) Methode darstellen. Daneben gibt es aber einen noch viel entscheidenderen Aspekt: jeder Erhebung von personenbezogenen Daten ist es von Beginn an inhärent, dass der Personenbezug zu einem späteren Zeitpunkt entfernt wird („Speicherbegrenzung“). Weil die DSGVO verlangt, dass über diese Pflicht nach Art. 13, 14 DSGVO aufgeklärt wird, wäre dies dem Betroffenen sogar als „Zweck“ von Anfang an bekannt. Für die Art und Weise, wie die Pflicht erreicht wird – bspw. durch Anonymisierung –, sieht die DSGVO keine Infopflicht vor. Andernfalls müssten auch die TOM proaktiv mitgeteilt werden.


Ich muss an dieser Stelle allerdings zugeben, dass ich selbst in der Anonymisierung zum Zwecke weiterer Datenanalysen keine Zweckänderung erkenne, aber dies erläutere ich gerne an anderer Stelle. Oder noch besser, wir tauschen uns auf der DSK2022 in Düsseldorf aus, auf die ich Sie herzlich einladen möchte. Ich kann Ihnen einen Besuch nur ans Herz legen und würde mich freuen, zahlreiche der Leserinnen und Leser dort begrüßen zu dürfen! Derweil wünsche ich Ihnen viel Spaß mit unserer Ausgabe 10/2021.


Ihr

Laurenz Strassemeyer



Dieser Beitrag erschien als Editorial in der Ausgabe 10/2021 des Datenschutz-Berater.


DSB_aufgeschlagen_streifen.png

Aktuelle Beiträge

Anzeige

Banner_Freund_Online_300x250 (003).jpg
>>  Ihr zuverlässiger Partner für Datenschutz und Datensicherheit
bottom of page