Schlagwort: Recht auf Löschung

Österreichische Datenschutzbehörde: Löschung nicht gleich Vernichtung

13. Februar 2019

Die Datenschutz-Grundverordnung (DSGVO) räumt den Betroffenen in Art. 17 Abs. 1 ein Recht auf die Löschung ihrer Daten ein. Das bedeutet aber nicht, dass die Daten tatsächlich vernichtet werden müssen. Laut einer aktuellen Entscheidung kann es hinreichen, den Personenbezug durch Anonymisierung zu entfernen.

Die österreichische Datenschutzbehörde entschied im Dezember 2018, dass das sogenannte Recht auf Löschung personenbezogener Daten den Verantwortlichen nicht zu einer sofortigen Vernichtung der Daten in ihren Systemen verpflichte. Auf Grundlage der DSGVO reiche eine Anonymisierung der Daten aus, nach der eine Rekonstruktion des Personenbezugs „ohne unverhältnismäßigen Aufwand“ nicht mehr möglich ist. Allerdings verlangt die Behörde nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann. Eine Löschung liege dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweise, mache die „Löschung durch Unkenntlichmachung“ nicht unzureichend. Eine völlige Irreversibilität sei daher nicht notwendig.

Hintergrund des Streits war eine Anfrage eines österreichischen Betroffenen bei einer Versicherung. Unter Verweis auf Art. 17 DSGVO hatte dieser die unverzügliche Löschung seiner personenbezogenen Daten verlangt, da sie für den Zweck, für den sie erhoben worden waren, nicht mehr benötigt würden. Die Versicherung löschte E-Mail-Adresse, Telefonnummer sowie Angaben über ein einst erbetenes Versicherungsangebot und stoppte alle Werbezusendungen. Name und Adresse wurden allerdings durch „Max Mustermann“ mit einer Musteradresse ersetzt und Informationen über zwei frühere Versicherungsverträge blieben offenbar erhalten.

Die Versicherung setzte den Betroffenen in Kenntnis, dass sie die Daten „DSGVO-konform anonymisiert“ habe. Eine Rückführbarkeit auf seine Person sei unwiderruflich ausgeschlossen. Die anonymisierten Daten würden beim nächsten automatischen Löschlauf im März 2019 endgültig aus den Systemen gelöscht. Auch aus den Logdaten könne die ursprüngliche Anfrage nicht mehr mit dem Betroffenen verknüpft werden.

Das reichte dem Betroffenen jedoch nicht aus, sodass er sich bei der Datenschutzbehörde beschwerte. Diese hielt jedoch das Anonymisierungsverfahren der Versicherung für ausreichend. Denn nach Ansicht der Behörde macht die DSGVO keine konkreten Angaben darüber, wie eine Löschung von personenbezogenen Daten umgesetzt werden muss. In Art. 4 Nr. 2 DSGVO würden zudem Löschung und Vernichtung von Daten „als alternative Formen der Verarbeitung aufgeführt“, die nicht zwingend deckungsgleich seien. „Daraus erhellt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt“, schreibt die Behörde in ihrer Entscheidung.

Vielmehr stehe dem Verantwortlichen hinsichtlich der vorgenommenen Art und Weise der Löschung ein Auswahlermessen zu. Hinsichtlich des konkreten Mittels der Löschung bestehe somit „kein Wahlanspruch der betroffenen Person“.

Delivery Hero – Keine Heldentaten beim Datenschutz

31. August 2017

In immer mehr Städten etablieren sich Lieferdienste, die einem aus dem bevorzugten Restaurant schnell und bequem das Lieblingsessen nach Hause auf die Couch liefern. Für die Inanspruchnahme eines solchen Essenslieferdienstes muss sich der Kunde lediglich ein Benutzerkonto bei dem Anbieter seiner Wahl zulegen und sich hierzu mit seinen persönlichen Daten registrieren. Selbstverständlich sichern die Lieferdienste den Schutz der personenbezogenen Daten und die Achtung des Datenschutzrechts zu.

Bei der Berliner Beauftragten für den Datenschutz häufen sich nun aber Beschwerden gegen solche Lieferdienste. Alleine gegen Delivery Hero (u.a. Foodora, Lieferheld, Pizza.de) liegen bei der Berliner Beauftragten für den Datenschutz 14 Beschwerden vor. Bei diesen Beschwerden geht es darum, dass es den Kunden vielfach nur unter erschwerten Bedingungen ermöglicht wurde das angelegte Kundenkonto wieder zu löschen. So sollten die Kunden als Bedingung für die Löschung etwa einen Identitätsnachweis in Form eines kopierten Personalausweises darbringen. Teilweise wurde sogar gerügt, dass das Löschen des Kundenkontos überhaupt nicht ermöglicht wurde. Dabei ist ein Anspruch auf Löschung der personenbezogenen Daten sogar in § 35 Bundesdatenschutzgesetz normiert. Mittlerweile hat Delivery Hero zumindest bei Lieferheld und Pizza.de den Zwang zur Vorlage des Personalausweises wieder aufgehoben. Auch die komplette Löschung personenbezogener Daten soll nun wieder komplett möglich sein.

Ihre Erfahrungen mit den Essenslieferdiensten brachte die Berliner Beauftragten für den Datenschutz nun auch in den Düsseldorfer Kreis ein und schlug dort vor, bundesweit koordinierte Prüfaktionen bei den Essenslieferdiensten durchzuführen. Damit solle die Sensibilität der Essenslieferdienste für das Thema Datenschutz erhöht werden.