Datenschutzgrundverordnung und ihre Umsetzung 2. Teil

von Mag. Stephan M. Novotny

Datenschutz Vertrag auf Papier mit Stift

Grundsätzlich haben Kunden das Recht, ihre Daten beim Versicherungsvermittler unter bestimmten Voraussetzungen gem. Art 17 DSGVO löschen zu lassen. Folgende Gründe müssen ua vorliegen, damit dieses Recht auf Löschung begehrt werden kann:

Die personenbezogenen Daten sind für jene Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. Daneben gilt dies auch dann, wenn personenbezogene Daten unrechtmäßig verarbeitet wurden, die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat (und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen) oder die betroffene Person ihre Einwilligung zur Datenverarbeitung widerrufen hat.

Berechtigterweise stellt sich der Versicherungsvermittler aber die Frage, ob der Antrag des Kunden auf Löschung seiner Daten auch abgelehnt werden kann. Offenkundig unbegründete oder exzessive Anträge kann der Datenverantwortliche jedenfalls ablehnen oder hierfür Entgelt verlangen. Wichtig ist, dass dem Löschbegehren gem. Art. 17 Abs 3 DSGVO entgegen gehalten werden kann, dass die Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung notwendig ist (beispielsweise die gesetzlichen Bestimmungen zur Aufbewahrung von Unterlagen nach der Bundesabgabenordnung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen). Ist daran zu denken, dass der Versicherungsvermittler beispielsweise wegen behaupteter Fehlberatung binnen drei Jahren ab Kenntnis von Schaden und Schädiger, längstens jedoch innerhalb von 30 Jahren rechtlich in Anspruch genommen werden könnte, so ist es schon aus diesem Grund zumindest aus Sicht der Versicherungsvermittler gerechtfertigt, Kundendaten auch nach Beendigung der Kundenbeziehung mindestens 30 Jahre lange aufzubewahren.

Anders sieht dies allerdings die Datenschutzbehörde, welche in ihren Urteilen davon ausgeht, dass die Aufbewahrung von Daten lediglich dann gerechtfertigt ist, wenn die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen schon stattfindet oder sicher bevorsteht. Hier wurde dem Interesse auf Schutz der Kundendaten der Vorrang gegeben und die Löschverpflichtung des Versicherungsmaklers vor dessen Interesse auf Abwehr und Verteidigung von Rechtsansprüchen gestellt.

Jedenfalls gerechtfertigt ist die Aufbewahrung der Daten dann, wenn einer gesetzlichen Frist zur Aufbewahrung entsprochen wird. Dies wird auch Frau Adelheid letztlich einsehen müssen. Hier eine Auswahl einiger wichtiger gesetzlicher Fristen im Zusammenhang mit der datenschutzrechtlichen Speicherbegrenzung:

• steuerrechtliche Aufbewahrungsfrist gem. § 132 Abs 1 BAO: 7 Jahre

• Aufbewahrungsfrist nach Umsatzsteuergesetz für Rechnungen: 7 Jahre

• Aufbewahrungsfrist nach den Geldwäschebestimmungen der Gewerbeordnung: 5 Jahre

• Aufbewahrungsfrist für Finanzdienstleistungen nach § 33 WAG: 5 bis 7 Jahre

• Frist für allgemeinen Schadenersatz nach § 1489 ABGB (Entschädigungsklagen): 3 Jahre ab Kenntnis von Schaden und Schädiger, absolut 30 Jahre

Im Einzelfall ist daher tunlichst und genau zu prüfen, ob einem derartigen Löschbegehren tatsächlich entsprochen werden muss, oder ob es gute Gründe gibt, die Kundendaten dennoch weiter aufbewahren zu dürfen.