DSGVO: Wie Versicherer das „Recht auf Vergessen“ umsetzen

Als im Mai 2018 die Europäische Datenschutz-Grundverordnung eingeführt wurde, war in Fachkreisen die Aufregung groß. Seitdem ist es um die neuen Datenschutzvorschriften wieder etwas stiller geworden. Dies sollte aber nicht darüber hinwegtäuschen, dass die Umsetzung der neuen Datenschutzvorschriften komplex und bei den meisten Unternehmen nicht abgeschlossen ist.

Eine diesbezügliche Umfrage bei Schweizer Unternehmen, vornehmlich Versicherungen, Banken und Pharmaunternehmen, ergab, dass die Umsetzungsprioritäten 2018 die „minimale Compliance“ (Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, Erstellung oder von Datenschutzrichtlinien etc.). Die Ziele im 2019 verlagerten sich in die Operationalisierung, wobei das Datenmanagement und -löschung bei den Befragten oberste Priorität hatte.

Dabei bezeichneten ganze 59 Prozent der Befragten den Reifegrad von Datenmanagement und -löschung als niedrig oder nicht vorhanden. Immerhin 19 Prozent verfügten über eine detaillierte Übersicht der gesetzlichen Aufbewahrungsfristen, was eine Löschung der vorhandenen Daten überhaupt erst ermöglicht. Nur vier Prozent verfügten über eine automatisierte Datenlöschung. Dabei planten 70 Prozent, im 2019 eine Lösung für die automatisierte Datenlöschung zu entwickeln und zu implementieren. Das Ziel ab 2020 ist die volle Implementierung des Datenschutzes im Tagesgeschäft.

Das Recht auf Vergessen, eigentlich ein Recht auf Vergessenwerden, erhielt durch das sogenannte Google-Spain-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2014 breite mediale Aufmerksamkeit. Nun findet sich das Recht auf Vergessen erstmals kodifiziert in der Datenschutz-Grundverordnung neben dem Recht auf Löschung wieder. Der Verantwortliche unterliegt damit nicht nur der Pflicht, Löschungsbegehren von Betroffenen nachzukommen, sondern einer grundsätzlichen gesetzlichen Löschungspflicht.

Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten beispielsweise zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft, oder keine berechtigten Interessen des Verantwortlichen mehr bestehen, diese zu verarbeiten (wie Aufbewahrungspflichten bis zum Ablauf der Verjährungsfrist).

Daneben sind die Daten selbstverständlich zu löschen, wenn bereits die Verarbeitung an sich unrechtmäßig war. Wurden die personenbezogenen Daten öffentlich gemacht, so müssen angemessene Maßnahmen getroffen werden, die alle weiteren für die Datenverarbeitung Verantwortlichen darüber informieren, dass alle Links zu diesen personenbezogenen Daten oder Kopien der personenbezogenen Daten zu löschen sind.

Bei Versicherern gehören die personenbezogenen Daten insbesondere den Arbeitnehmern und den Versicherungsnehmern sowie weiteren Dritten. Bei den Arbeitnehmern handelt es sich um Bewerbungs- und Personaldossiers, bei den Versicherungsnehmern um Kundenakten, also beispielsweise im Rahmen der Versicherungsberatung, der Prüfung des Versicherungsantrags (inkl. Risikoabklärung) oder der Vertragserfüllung (Kundenbetreuung, Abwicklung von Versicherungsfällen etc.) erhobene Daten.

Sobald die erhobenen Daten nicht mehr notwendig sind, um den Zweck zu erfüllen, müssen die Daten gelöscht werden, wobei die Umsetzung unverzüglich zu erfolgen hat. Bei einem Antrag auf Löschung muss der Betroffene spätestens innerhalb eines Monats über ergriffene Maßnahmen oder über die Gründe der Ablehnung informiert werden. Das bedeutet, dass dem Verantwortlichen nur eine angemessene Zeit zur Prüfung der Voraussetzungen eines Löschungsantrags zur Verfügung steht.

Die Grundsätze der Datenbearbeitung sind in Art. 5 DSGVO festgehalten. Entscheidend ist im Zusammenhang mit dem Recht auf Vergessen die Datenminimierung und die Speicherbegrenzung. Dies soll durch geeignete technische und organisatorische Massnahmen sichergestellt werden (Privacy by Design, Privacy by Default).

Wie die Daten im Einzelfall gelöscht werden sollen, wird vom Gesetz nicht weiter beschrieben. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen.^[6] Es ist also nicht nötig, die Datenträger physisch zu zerstören oder die Daten unter Verwendung spezieller Software endgültig zu überschreiben. Dies ist eine gute Nachricht, denn im Zeitalter von Big Data und künstlicher Intelligenz sind Daten das neue Öl, und daraus gewonnene Informationen als das neue Gold. Die Alternative zum Löschen von Daten ist, den Personenbezug irreversibel zu löschen.

Anonymisierung bezeichnet den Vorgang, bei dem Daten so verändert werden, dass nicht mehr auf die betroffene Person geschlossen werden kann. Bei der Pseudonymisierung hingegen werden alle identifizierenden Daten durch einen neutralen Datensatz (Pseudonym) ersetzt. Die Pseudonymisierung lässt sich rückgängig machen, solange eine Korrespondenztabelle besteht und zugänglich ist, die eine Zusammenführung der beiden Datenteile ermöglicht, die Anonymisierung indes ist endgültig. Auf pseudonymisierte Daten findet die DSGVO und deren Löschungspflichten weiterhin Anwendung.

Autorin: Lucy Gordon, LL.M., ist als Rechtsanwältin und Fachanwältin SAV für Haftpflicht- und Versicherungsrecht bei MME in Zürich tätig.