Wenn das „gesetzeskonforme“ Löschen von personenbezogenen Daten zum Verhängnis wird
Die Datenschutz-Grundverordnung (DSGVO) wurde im Jahr 2016 kundgemacht und wirft nach wie vor Fragen in der praktischen Umsetzung auf. Der Hintergrund der Verordnung ist der einheitliche Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Für ein besseres Verständnis widmen wir uns in diesem Beitrag zunächst den Begrifflichkeiten:
Was sind personenbezogene Daten?
Gemäß Artikel 4 Z 1 VO (EU) 2016/679 (DS-GVO) sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Sollten Sie mit einem Löschungsansuchen konfrontiert sein, holen Sie sich die juristische Meinung eines Rechtsanwaltes ein, da jeder Einzelfall gesondert zu betrachten ist bzw die Frage geklärt werden muss, ob überhaupt personenbezogenen Daten vorliegen.
Missverständliche Interpretation der Verordnung
Viele Merkblätter im Internet zur DS-GVO haben zu vielen Anfragen und zu klaren Missverständnissen geführt. Als Beispiel hier „Rat“ aus dem Internet:
„Demnach sind personenbezogenen Daten zu löschen, sobald die für die Erhebung geltend gemachten Zwecke erfüllt bzw. aufgehoben sind, die Daten also nicht mehr benötigt werden. Die zweckentfremdete Nutzung ist grundsätzlich unzulässig.“
So weit, so gut. Aber gilt das tatsächlich immer und für alle Berufsgruppen? Kurze Antwort: „Ja, aber …“. Wenn Finanzdienstleister oder Versicherungsvermittler den Nachweis Ihrer Risikoaufklärung mit den Kundenakten samt dem Beratungsprotokoll „brav“ löschen, kann das schwerwiegende Folgen haben.
Welches Riesenproblem kann bei Datenlöschung entstehen?
Angenommen ein Versicherungsvermittler löscht nach der Kündigung eines Kunden sämtliche Daten über die Zusammenarbeit. Wenn derselbe Kunde nach Jahren klagt, wozu er 30 Jahre und 3 Jahre ab Kenntnis vom Schaden und dem Schädiger reichlich Zeit hat, ist nicht nur die Beweislage ein Problem, sondern auch der Haftpflichtversicherer, der nach den marktüblichen Bedingungen wegen Obliegenheitsverletzungen zu Recht Leistungsfreiheit erklären kann, womit der Berater nach Jahren seriöser Berufsausübung in seine Existenz bedrohliche Situationen gerät und mit dem Rücken zur Wand prozessieren muss.
Darf man denn das?
Nach Artikel 17 Abs 3 VO (EU) 2016/679 (DS-GVO) beseht ein Recht auf Datenlöschung des Kunden nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist, was angesichts der Obliegenheiten laut Haftpflichtversicherungsvertrag evident der Fall ist.
Das Löschen der Kundendaten oder die Entsorgung der Datenträger sollte daher dringend überdacht und unterlassen werden.
Im besten Fall geraten Sie nie in eine vergleichbare Situation!
Autor:
MMag. Dr. Johannes Neumayer
RA e.m.
Wiener Neustadt, am 09.04.2024
Bildnachweis: Kirill-makes-Pixs/ Pixabay, 09.04.2024