Grundsätze der DSGVO
Die DSGVO sieht nach Art. 5 Abs. 1 lit. c DSGVO vor, dass Daten nur so lange wie nötig gespeichert werden dürfen. Demnach sind personenbezogene Daten zu löschen, wenn der Zweck, für den sie erhoben wurden, entfallen ist und keine anderweitigen gesetzlichen oder vertraglichen Aufbewahrungspflichten bestehen.
Nach Art. 5 Abs. 2 DSGVO obliegt jedem Verantwortlichen für eine Datenverarbeitung die Pflicht, jederzeit die Einhaltung der gesetzlichen Bestimmung nachweisen zu können. Von dieser Nachweispflicht ist grundsätzlich auch die Pflicht zur Löschung von Daten umfasst. Dass diese Rechenschaftspflicht in gewissem Maße mit dem Grundsatz der Speicherbegrenzung kollidieren kann, haben wir bereits dargestellt. Zur Art und Form, wie solche Nachweise zu führen sind, macht die DSGVO keine konkreten Vorgaben.
Löschprotokolle
Löschungen können demnach mittels Löschprotokollen dokumentiert werden, welche sich in technischer Hinsicht auch automatisiert erstellen lassen können, immer wenn eine Löschung vorgenommen wird. In Bezug auf die konkreten Inhalte solcher Löschprotokolle sind viele Verantwortliche allerdings unsicher, wie sie den gesetzlichen Anforderungen entsprechen können, ohne entweder den Grundsatz der Rechenschaftspflicht oder der Speicherbegrenzung zu verletzen.
Um eine Löschung zu dokumentieren, ist in erster Linie festzuhalten, dass Daten überhaupt gelöscht wurden. Ob im Weiteren auch dokumentiert werden muss, welche Daten im Einzelnen gelöscht wurden, kann diskutiert werden. Unter logischen Gesichtspunkten ist aber wohl nicht davon auszugehen, dass der Gesetzgeber beabsichtigte, dass die Dokumentation der Löschung de facto zur Speicherung von mehr Daten führt, als vor der Löschung vorhanden waren. Demnach sollten auch die Informationen und Daten, die der Dokumentation der Löschung dienen, auf das mindestnotwendige Maß beschränkt werden. Ein Löschprotokoll sollte somit selbst keine personenbezogenen Daten enthalten, sondern nur dokumentieren, dass eine Löschung vorgenommen wurde.
Begriff des „Löschens“
Aber was genau bedeutet „Löschen“ im Sinne der DSGVO? In der alten Fassung des Bundesdatenschutzgesetzes war „Löschen“ definiert als „das Unkenntlichmachen gespeicherter personenbezogener Daten“. Die DSGVO spricht in Art. 4 Nr. 2 DSGVO von „Löschen oder die Vernichtung“. Demnach sind Löschen und Vernichtung nach dem Verständnis der DSGVO alternative Maßnahmen.
Anonymisieren = Löschen?
Ein Blick nach Österreich zeigt, dass die dortige Aufsichtsbehörde bisweilen auch eine Anonymisierung als angemessenen Löschvorgang ansieht. Zwar wird der Begriff der Anonymisierung in der DSGVO selbst nicht definiert. Aber Erwägungsgrund 26 zur DSGVO besagt, dass die gesetzlichen Vorgaben keine Anwendung auf anonymisierte Daten finden. Danach sind solche Informationen anonym, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Wenn also der Personenbezug eines Datums absolut und unwiderruflich entfernt wurde, könnten Daten also auch als gelöscht gelten, da sie dem Anwendungsbereich der DSGVO entzogen wurden. Eine (technische) Vernichtung der Daten ist nicht zwingend erforderlich. Für eine Pseudonymisierung von Daten gilt dies nicht, da der Personenbezug wiederherstellbar ist (Art. 4 Nr. 5 DSGVO).
Fazit
Löschen im Sinne der DSGVO bedeutet die unwiderrufliche Entfernung eines Personenbezugs und der Rückschlussmöglichkeit auf eine natürliche Person. Löschprotokolle sind ein zweckdienliches Instrument, um den Vorgang der Löschung rechtskonform zu dokumentieren.
Auch Maßnahmen der Anonymisierung können den Anforderungen einer Löschung im Sinne der DSGVO genügen, wobei auch diese zu protokollieren sind. Allerdings sollten sowohl Protokolle zur Löschung als auch zur Anonymisierung selbst keine personenbezogenen Daten enthalten.
Bescheidspruch der Datenschutzbehörde
zurück