anonymisierter Daten zulässig, wenn dies zu historischen, statistischen oder wissenschaftli-
chen Zwecken geschieht. Hierfür müssen geeignete Garantien für den Schutz dieser Daten
und der Einschránkung der Verarbeitung auf diese Zwecke gewáhrleistet werden. ^^?
Diese Vorschrift der DS-RL findet sich in Art 5 Abs 1 lit e DS-GVO unter dem Begriff
»Speicherbegrenzung* wieder und weist im Wesentlichen denselben Inhalt auf. Entsprechend
sind die Ausführungen zur RL-Bestimmung gleichermafsen auf jene der VO anwendbar, so-
weit sich nicht anderweitige rechtliche Pflichten des Verantwortlichen zur Aufbewahrung bzw
Erhaltung der einschlägigen Daten ergeben oder die betroffene Person eine entsprechende
Einwilligung abgegeben hat.!*! Zusätzlich kann im Hinblick auf Art 89 DS-GVO auf die
obigen Ausführungen betreffend einschlägige Datenverarbeitungen durch Behörden verwie-
sen werden. 1422
Art 19a Abs 1 DSG verpflichtet Privatpersonen, welche personenbezogene Daten verar-
beiten, diese zu vernichten bzw zu anonymisieren, wenn sie „für die Erreichung der Zwecke,
für die sie verarbeitet wurden, nicht mehr benötigt werden.“ Abs 2 sieht wiederum Ausnah-
men von der Löschungs- und Anonymisierungspflicht für den Fall vor, dass die personenbe-
zogenen Daten „über ihre ursprüngliche Verarbeitung hinaus für historische, statistische oder
wissenschaftliche Zwecke weiter aufbewahrt werden sollen.“
Art 19a DSG wurde im Rahmen der Gesetzesnovelle 2009!^? geschaffen; Anlass dafür
war Kritik seitens der ESA, dass die DS-RL hinsichtlich ihres Art 6 Abs 1 lit e nicht korrekt
umgesetzt war, da die vorgegebenen Verpflichtungen auf nationaler Ebene nur für Behórden
geregelt waren (Art 25 DSC), aber nicht für Privatpersonen. Dies wurde durch die Einführung
des Art 19a DSG korrigiert. ^^
Art 19a Abs 2 DSG gestattet die Weiterverarbeitung personenbezogener Daten zu den in
Abs 1 genannten Zwecken, welche für den ursprünglichen Zweck nicht mehr benótigt werden,
ohne dass diese anonymisiert oder vernichtet werden!^^*; dies unter der Voraussetzung, dass
der Verantwortliche, „geeignete technische und organisatorische Maßnahmen“ setzen muss,
149 Vg] Dammann/Simitis, EG-Datenschutz-RL, Art 6, Rz 18.
1*1 Vg] Frenzel in Paal/Pauly, Datenschutz-Grundverordnung, Art 5, Rz 45.
1422 Vg] Kapitel 7.9.3.5.
193 TL, GB] 2009/46.
144 Vg] BuA 130/2008, 41.
145 S dazu auch BuA 130/2008, 41.
249