- Von Redaktion
- 06.03.2019 um 11:36
Was ist geschehen?
Ein Österreicher verlangt von seiner ehemaligen Versicherung die Löschung der personenbezogenen Daten und beruft sich dabei auf die Datenschutzgrundverordnung (DSGVO). Die Versicherung löscht daraufhin die Kontaktdaten sowie sämtliche erstellte Versicherungsangebote. Zudem werden alle Werbezusendungen gestoppt. Den Namen ersetzt die Versicherung durch „Max Mustermann“, an die bisherige Adresse tritt eine anonyme Musteradresse. Informationen zu früheren Versicherungsverträgen behält die Versicherung jedoch. Eine endgültige Vernichtung aller Daten stellt das Unternehmen erst für März 2019 in Aussicht. Der Kunde besteht aber auf einer sofortigen Vernichtung der Daten und beschwert sich daraufhin bei der Datenschutzbehörde (DSB) in Österreich. Wer ist im Recht?
Mit dieser „äußerst relevanten Praxisfrage für die Anwendung der DSGVO“ hat sich Anna Kopylova, wissenschaftliche Mitarbeiterin bei der Kölner Rechtsanwaltskanzlei Lampmann, Haberkamm & Rosenbaum, beschäftigt. In einem Beitrag auf der Webseite der Kanzlei legt die Autorin dar, wie die Datenschutzbehörde den strittigen Fall einschätzt.
So hat die Datenschutzbehörde entschieden
Die Datenschutzbehörde sieht die Versicherung im Recht.
Im vorliegenden Fall habe das Unternehmen die personenbezogenen Daten nach Ansicht der DSB „teils vernichtet (also ohne „Hinterlassen“ von anonymisierten Daten), teils durch Entfernung des Personenbezugs…,gelöscht‘“, zitiert die Autorin der Kanzlei aus der Entscheidung der Behörde.
Diese Kombination aus Vernichtung und Entfernung des Personenbezugs (auch durch Ersetzen mit Dummy-Daten) sei nach Auffassung der DSB ausreichend, um eine Löschung im Sinne der DSGVO annehmen zu können. „Die Datenschutzbehörde entschied deshalb, dass die Versicherung ihrer gesetzlichen Pflicht nachgekommen war“, berichtet Kopylova. „Die Behörde verlangt dabei nicht, dass die Anonymisierung niemals rückgängig gemacht werden kann“, so die Autorin.
Die Datenschützer begründen das demnach so:
„Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten (…) nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die ‘Löschung durch Unkenntlichmachung’ nicht unzureichend. Eine völlige Irreversibilität ist daher (…) nicht notwendig.“
In ihrem Fazit kommt die Autorin zu dem Schluss, dass es ausreicht, wenn Unternehmen „eine Anonymisierung der Daten verbunden mit Bereinigung oder Löschung entsprechender Logdaten“ vornehmen. Daten lediglich vor einem Zugriff zu sperren, reiche dagegen nicht aus, um dem Löschantrag eines Kunden nachzukommen. Dabei sei es wichtig, zu dokumentieren, wie ein Unternehmen welche Daten gelöscht habe. „Das kann im Falle eines Prozesses als Nachweis dienen“, betont Autorin Kopylova.
0 Kommentare
- anmelden
- registrieren
kommentieren