Die französische Aufsichtsbehörde CNIL hat zuletzt (22.07.2021) im Bereich des Versicherungssektors ein Bußgeld in Höhe von 1.750.000 Euro wegen Verstöße gegen die Grundsätze der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), sowie unzureichenden Informationspflichten (Art. 13, 14 ff. DSGVO) verhängt. Betroffen vom Bußgeld war insbesondere die SGAM AG2R LA MONDIALE, eine Konzerngesellschaft der AG2R LA MONDIALE.
Das Tätigkeitsfeld der Versicherungsunternehmens erstreckt sich innerhalb der Unternehmensgruppe dabei insbesondere auf die Koordinierung von
- Spar-,
- Kranken-,
- Vorsorge-,
- Abhängigkeits- und
- Zusatzrentenversicherungen
Sachverhalt und Gründe des Bußgelds:
Verstoß gegen die Grundsätze der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Das Unternehmen hatte die Aufbewahrungs- und Löschfristen, die es fachlich definiert hatte, nicht in seinen Systemen implementiert. Infolgedessen speicherte es die personenbezogenen Daten seiner Interessenten und Kunden über einen übermäßig langen und damit unzulässigen Zeitraum.
- unzulässige Aufbewahrung von Interessentendaten
In Bezug auf Interessentendaten hat das Unternehmen, die in seinen Standards und im Verzeichnis der Verarbeitungstätigkeiten festgelegte maximale Aufbewahrungsfrist von drei Jahren, nicht eingehalten. So wurden die Daten von knapp 2.000 Interessenten, die mehr als drei Jahre, teilweise fünf Jahre, keinen Kontakt zum Unternehmen hatten, aufbewahrt.
- Unzulässige Aufbewahrung von Kundendaten:
In Bezug auf Kundendaten hat das Unternehmen die, insbesondere im französischen Versicherungsgesetzbuch und im Handelsgesetzbuch, vorgesehenen maximalen gesetzlichen Aufbewahrungsfristen nicht eingehalten. In diesem Fall hat das Unternehmen die zum Teil sensiblen (Gesundheits-) oder besonderen (Bankdaten) Daten von mehr als 2 Millionen Kunden über die nach Vertragsende zulässigen gesetzlichen Aufbewahrungsfristen hinaus aufbewahrt.
Unzureichende Informationspflichten bei werblichen Anrufen (Art. 13, 14 ff. DSGVO)
Weiterhin wurde von der CNIL ermittelt, dass zahlreiche werbliche Kundenanrufe der Unternehmensgruppe nicht datenschutzkonform durchgeführt wurden. Es wurden zum einen Gespräche aufgezeichnet, ohne dass die kontaktierte Person über den Grundsatz der Aufzeichnung oder ihr Widerspruchsrecht informiert wurde.
Darüber hinaus wurden den kontaktierten Personen keine weiteren Informationen über die Verarbeitungsvorgänge in Bezug auf ihre personenbezogenen Daten oder ihre sonstigen Rechte erteilt. So wurde den betroffenen Personen nach Angaben der CNIL nicht die Möglichkeit geboten, auf umfassendere Informationen im Sinne der Art. 12 ff DSGVO zuzugreifen, beispielsweise durch Drücken einer Taste auf ihrem Telefon oder durch Senden einer E-Mail an die verantwortliche Stelle.
Das Unternehmen hat mittlerweile jedoch Maßnahmen ergriffen, um die erforderlichen Änderungen vorzunehmen, um die aufgezeigten Mängel Einklang mit der DSGVO zu bringen.
Fazit:
Das Bußgeld der französischen Aufsichtsbehörde zeigt einmal mehr, dass Löschfristen nicht lediglich fachlich und auf dem Papier in den Verzeichnissen von Verarbeitungstätigkeiten und Löschkonzepten festzuhalten sind. Vielmehr sind die definierten Aufbewahrungs- und Löschfristen auch praktisch in den jeweiligen Anwendungen und (IT-) Systemen umzusetzen und fortwährend nachzuhalten. Dies erfordert in Unternehmen daher eine grundsätzliche Awareness und einen engen Austausch mit den jeweiligen IT- Verantwortlichen fachbereichsübergreifend.
Des Weiteren zeigt das Bußgeld der CNIL einmal mehr, dass mit Umgang von Transparenzpflichten und Betroffenenrechten nicht zu spaßen ist.