Löschung durch Anonymisierung – Auskunftsrecht zu den Löschungsmodalitäten

Hallo zusammen,

ich habe eine Frage zum Auskunftsrecht bei Löschaufträgen.

Ein Löschauftrag kann durch Datenvernichtung oder Anonymisierung umgesetzt werden. Bei der Anonymisierung werden personenbezogene Daten so verändert, meist vergröbert, dass der Datenspender nur noch mit unverhältnismäßig hohem Aufwand reidentifiziert werden kann.

Je stärker ein Datensatz anonymisiert wird, desto geringer ist sein Wert für die Forschung. Es bleibt daher zu befürchten, dass ein Verantwortlicher die Anonymisierung unzureichend vornimmt, um die Datenqualität zu erhalten. Doch selbst wenn der Verantwortliche formal die Kriterien für eine ordnungsgemäße Anonymisierung erfüllt, kann beim Betroffenen ein Gefühl der Unsicherheit zurückbleiben. Unter diesen Umständen würde er möglicherweise lieber auf die Löschung verzichten, als seine Rechte an den Daten zu verlieren.

In meinem Fall geht es um eine klinische Studie mit einer kleinen Teilnehmerzahl. Im Rahmen dieser Studie wurden Daten z.B. zu Drogenkonsum, Gewalt- und Missbrauchserfahrungen erhoben. Mein eigener Datensatz wäre bereits durch die Kombination von Klinik, Alter und Diagnosen reidentifizierbar. Ich wandte mich an den Datenschutzbeauftragten des Klinikums und stellte wiederholt die Frage, ob Löschung durch Anonymisierung umgesetzt wird. Der Datenschutzmanager antwortete stets, dass ich meine Einwilligung widerrufen könne, und meine Daten nach dem Widerruf „gelöscht“ würden. Meine dringende Frage, ob die gespeicherten Daten tatsächlich vernichtet werden oder ob Löschung lediglich durch Anonymisierung umgesetzt wird, hat er nicht beantwortet.

Daraus ergibt sich folgende Frage: Haben Betroffene nach DSGVO ein Recht darauf, bereits vor dem Widerruf der Einwilligung zu erfahren, ob der Verantwortliche eine Löschung durch Vernichtung oder durch Anonymisierung vorsieht? Anonymisierung ist ja eine Form der Verarbeitung; wenn Anonymisierung beabsichtigt ist, sollten Betroffene wenigstens auf Nachfrage Informationen dazu erhalten.

Sobald die Daten anonymisiert sind, steht der Verantwortliche auf dem Standpunkt, dass keine personenbezogenen Daten mehr vorhanden sind. Der Datenspender wird dann nicht mehr erfahren, ob seine Daten tatsächlich aus der Welt geschaffen wurden oder ob sie weiterhin verarbeitet und verbreitet werden.

Ich finde diese Ungewissheit schwierig und wüsste gerne, ob die DSGVO hier tatsächlich eine Schutzlücke lässt. Über fachlich fundierte Einschätzungen würde ich mich sehr freuen. Danke für Eure Mühe!

Verständnisfrage:

Du warst/bist in einer Klinik in Behandlung. Diese Klinik nimmt an einer klinischen Studie teil. Hierrüber bist Du sicher informiert worden und hast sogar eine Einwilligung zur Teilnahme an der Studie unterschrieben, sonst würde der Datenschutzbeauftragte der Klinik nicht widerholt auf die Möglichkeit des Widerrufs hinweisen.

Für den Fall des Widerrufs der Teilnahme an der Studie, sollte die Patienteninformation zur Studie ausführlich darüber Auskunft geben, was mit den bereits erhoben Daten passieren wird im Falle des Widerrufs. Betroffenenrecht können bei klinischen Studien ggf. sogar eingeschränkt sein, um die das Ziel eines Forschungsvorhabens nicht zu gefährden. Auch darüber muss die Patienteninformation zur Studie informieren. Eine Patienteninformation sollte dir vor der Unterschrift der Einwilligung ausgehändigt worden sein. Was steht denn dort drin zu dem Thema?

Ich habe als Proband an einer explorativen Querschnittsstudie teilgenommen; die Studie hat keinen Behandlungsbezug.

Die Probandeninformation enthält folgende Widerrufsbelehrung:

„Die Verarbeitung Ihrer personenbezogenen Daten ist nur mit Ihrer Einwilligung rechtmäßig. Sie haben das Recht, Ihre Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen. Es dürfen jedoch die bis zu diesem Zeitpunkt erhobenen Daten durch die in der Patienteninformation und Einwilligungserklärung genannten Stellen verarbeitet werden.“

Dieser Satz besagt nach meinem Verständnis, dass trotz Widerrufs der Einwilligung eine Datenverarbeitung erlaubt wäre. Die Formulierung „dürfen verarbeitet werden“ steht im Präsens (Gegenwartsform), nicht im Präteritum (Vergangenheitsform). Darüber hinaus enthält die Probandeninformation keine Aussage über eine Einschränkung der Betroffenenrechte.

Ich wandte mich an den Datenschutzbeauftragten der Klinik und fragte, ob meine Daten nach einem Widerruf weiterhin verarbeitet werden und, wenn ja, auf welcher Rechtsgrundlage. (Sollte sich die Studienleitung auf Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 Abs. 1 BDSG berufen, müsste eine Interessenabwägung stattfinden, die zugunsten der Probanden ausfallen könnte.)

Der Datenschutzmanager antwortete:

Eine Weiterverarbeitung der bis dahin erhobenen Daten ist – sofern sie erforderlich ist – nur dann rechtmäßig, wenn eine andere Rechtsgrundlage gemäß Artikel 6 Absatz 1 bzw. Artikel 9 Absatz 2 DSGVO besteht (z. B. eine gesetzliche Verpflichtung oder ein erhebliches öffentliches Interesse im Bereich der öffentlichen Gesundheit oder wissenschaftlichen Forschung).

Wenn Sie als Probandin an einer Studie des UKJ teilnehmen und Ihre personenbezogenen Daten auf Grundlage Ihrer Einwilligung verarbeitet werden, können Sie diese Einwilligung selbstverständlich jederzeit und formlos widerrufen. Liegt nach Ihrem Widerruf keine anderweitige Rechtsgrundlage für die Verarbeitung vor und bestehen keine gesetzlichen Aufbewahrungspflichten, werden die Sie betreffenden personenbezogenen Daten vom Verantwortlichen gelöscht.

Er nannte zwar die Öffnungsklausel in Art. 9 Abs. 2 DSGVO, aber keine konkrete Rechtsgrundlage im nationalen Recht. Er lässt mich somit im Unklaren darüber, ob tatsächlich eine Rechtsgrundlage für die Datenverarbeitung nach Widerruf existiert und, falls ja, welche das wäre. Damit entzieht er mir die Möglichkeit, die Rechtmäßigkeit einer solchen Datenverarbeitung zu prüfen.

Sind DSB bzw. DSM verpflicht, meine Frage zur Datenverarbeitung nach Widerruf konkret zu beanworten, oder genügt die Auskunft, dass eine Datenverarbeitung rechtmäßig sei, wenn eine RG gemäß Artikel 6 Absatz 1 bzw. Artikel 9 Absatz 2 DSGVO besteht? Meine Anfrage bezieht sich auf eine konkrete Studie; ich habe den Titel der Studie und die Studienleiter genannt.

Ohne weitere Hintergründe zur konkreten Studie zu kennen wird es schwierig. Obige Formulierung könnte ggf. eine etwas “dämliche” Formulierung. Datenverarbeitungen sind und bleiben bis zum Zeitpunkt des Widerrufs rechtmäßig. Auch die Weiterverwendung der bereits rechtmäßig erhobenen Daten kann u.U. zulässig sein.

Die Studienleitung bzw. der zuständige Prüfarzt sollte auch Rede und Antwort stehen können.

Das tun sie aber nicht. Ich hatte eine Anfrage an die Studienleitung geschickt und im CC an den DSB. Die Studienleitung reagierte nicht, der DSM antwortete – aber ausweichend.

Könnte bitte jemand auf meine Frage antworten: Haben Betroffene nach DSGVO ein Recht darauf, bereits vor dem Widerruf der Einwilligung zu erfahren, ob der Verantwortliche eine Löschung durch Vernichtung oder durch Anonymisierung vorsieht?

Ein konkret definiertes Recht gem. DSGVO wohl eher nicht. Die Betroffenenrechte sind in Kapitel III DSGVO definiert. Ein Recht im Vorfeld zu erfahren, wie ein Verantwortlicher “löschen” wird gibt es leider nicht.

Was spricht denn gegen den Widerruf der Einwilligung? Warum ist es es so essenziell wichtig wie ggf. gelöscht wird?

Es gibt mehrere Situationen, wo das Löschen bzw. Anonymisieren angegeben werden muss.

Bei der Datenerhebung: Pflichtinformationen nach Art. 13 u. 14 DSGVO; u. a. die Dauer der Verarbeitung; also wie lange verarbeitet (auch gespeichert) wird. Ggf. ist zu beschreiben, wenn Daten anonymisiert statt gelöscht werden, weil das eine abweichende Verarbeitungstätigkeit wäre, für die man die Daten “in die Hand” nehmen muss, und das verlangt nach einer Rechtsgrundlage. (Meistens berechtigte Interessen an der längeren statistischen Auswertung, nachdem der Personenbezug entfernt ist. Normalerweise OK, wenn keine Grundrechte und Grundfreiheiten der Preson überwiegen.)

Bei einem Antrag auf Auskunft: Nach Art. 15 DSGVO ist u. a. nochmal die Verarbeitungsdauer anzugeben.

Bei einem Antrag auf Löschung: Wenn nach Art. 17 Abs. 1 DSGVO nicht alles gelöscht werden kann, weil z. B. nach Art. 17 Abs. 3 DSGVO bestimmte Dokumentationspflichten weiter bestehen, müsste man die konkrete Pflicht und die verbleibende Dauer angeben.

D., der in diesen Fällen immer darauf drängt, die relevanten Fristen zu kennen.

Weder die Einwilligungserklärung noch die Belehrung zum Datenschutz enthalten eine Auskunft zur Speicherdauer.

Ich vermute, dass die Klinik Art. 9 Abs. 2 lit. j DSGVO in Verbindung mit § 27 BDSG verwenden will, um im Falle eines Widerrufs die Daten zu anonymisieren. Kann das sein? Und habe ich ein Recht, vorab darüber Auskunft zu erhalten?

Ich habe leider, ziemlich blauäugig, im Rahmen einer “Vitamin”-Studie intimste Daten preisgegeben und weitreichende Broad-Consent-Klauseln unterschrieben. Meine Daten können unbegrenzt in der Forschungslandschaft verteilt werden. Ich fühle mich getäuscht und ausgetrickst.

Art. 13 Abs. 2 lit. a DSGVO: “die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;”

Unangekündigte /nicht erwartbare Anonymisierungen sind genau genommen eine Zweckänderung. (Weil die Daten statt einfach Ploff zu machen und weg zu sein nochmal durch die Anonymisierung gekurbelt werden.) D. h. der Verantwortliche muss für den zusätzlichen Zweck dessen Rechtmäßigkeit klären, eine Kompatibilitätsprüfung machen (Art. 6 Abs. 4), und vor der Verarbeitung zum geänderten Zweck die betroffene Person darüber informieren (Art. 13 Abs. 3, Art. 14 Abs. 4 DSGVO).

D., der bei Forschung immer schon am Anfang versucht, die Anonymisierung einzuplanen.

Hier wird das grundsätzliche Problem angesprochen, wie Laien datenschutzrechtliche Formulierungen verstehen. Für die meisten dürfte Löschung mit Vernichtung der Daten gleichzusetzen sein, während sie bei einer Anonymisierung denken, ja da wurde mein Name gelöscht, aber der Rest meiner Angaben existiert ja weiterhin, also sind das auch weiterhin meine Daten im Datensatz - auch wenn der Personenbezug nicht mehr herstellbar ist.
Wenn in dem Datensatz weiterhin Klinik, Alter und Diagnose enthalten sind, würde ich anzweifeln. dass eine ausreichende Anonymisierung vorliegt. Wobei ich den Zwiespalt verstehe, einerseits Daten wirkungsvoll zu anonymisieren, andererseits möglichst viele Informationen für Forschungszwecke erhalten zu wollen. Aber da bietet ja Art. 89 verschiedene Optionen an wie Pseudonymiserung und entsprechende TOMs.

Vielen Dank, diese Auskunft hilft schon weiter. Verstehe ich das richtig – wenn ich meine Einwilligung widerrufe, passiert wahrscheinlich Folgendes?

1. Der Verantwortliche prüft, ob er die Daten auf einer alternativen Rechtsgrundlage weiterhin verarbeiten darf – z. B. auf Basis von Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 BDSG.
2. Er kommt zu dem Ergebnis, dass eine Zweckänderung auf anonymisierte Verarbeitung zulässig ist.
3. Die Anonymisierung wird umgesetzt.
4. Nach der Anonymisierung existieren formal keine personenbezogenen Daten mehr. Damit endet mein Auskunfts-, Lösch- oder Widerspruchsrecht, weil die DSGVO nur personenbezogene Daten schützt.

Wenn die Anonymisierung zulässig sein sollte und der Verantwortliche anonymisieren will: habe ich in diesem Fall die Möglichkeit eine Anonymisierung zu verhindern? Kann ich der Anonymisierung widersprechen, nachdem ich widerrufen habe?

Ich habe das Vertrauen in das UKJ verloren und möchte, dass meine gespendeten Daten aus dieser Einrichtung entfernt werden – vollständig! Ich möchte meine Einwilligung so schnell wie möglich widerrufen, aber ich mach mir Sorgen, dass gegen meinen Willen anonymisiert wird.

wie bereits mehrfach erwähnt, muss bei der Absicht der (anonymen) Weiterverwendung von Studiendaten vorher informiert werden. Gegen den Verarbeitungsvorgang der Anonymisierung kann übrigens auch widersprochen werden. Zumindest dann, wenn vorher über die Beschränkung der Betroffenenrechte nicht informiert wurde.