Ein interessantes Bußgeldverfahren aus Frankreich wurde im Newsletter von Dr. Datenschutz veröffentlicht. Dieses möchte ich hier darstellen, weil es für Deuschland (oder vermutlich jedes andere EU-Land) geradezu exemplarisch ist.
Die französische Aufsichtsbehörde hat bei Kontrollen 2019 bei der Unternehmensgruppe AG2R LA MONDIALE, die im Versicherungssektor angesiedelt ist, Verstöße festgestellt. Die Konzerngesellschaft SGAM AG2R LA MONDIALE, welche für die Gruppe Tätigkeiten in Bezug auf die Koordinierung von Vorsorge-, Abhängigkeits-, Kranken-, Spar- und Zusatzrentenversicherungen erbringt, hatte u.a. Daten von fast 2.000 Interessenten mehrere Jahre nach dem letzten Kontakt noch aufbewahrt. In Bezug auf die Kundendaten wurde ebenfalls nicht die maximale Aufbewahrungsfrist eingehalten und Daten von mehr als 2 Mio. Kunden über 10 oder 30 Jahre lang gespeichert, zum Teil samt Gesundheitsdaten. Zwar hatte das Unternehmen bereits Löschfristen für solche Archive definiert, jedoch wurden diese nicht in den Systemen und Anwendungen implementiert.
Hierfür und dafür, dass die französische Aufsichtsbehörde herausgefunden, dass zahlreiche Werbeanrufe nicht ordnungsgemäß durchgeführt wurden (weder wurden die Betroffenen hinreichend nach Art. 13 DSGVO über die Datenverarbeitung informiert, noch wurden sie auf ihr Widerspruchsrecht hingewiesen) verhängte die Aufsichtsbehöre ein Bußgeld in Höhe von 1,75 Millionen Euro.
Das zeigt, dass die Festlegung von Löschfristen und deren Umsetzung, sowie die ganze Dokumentartion des Prozesses ein zentrales Thema ist und bleibt.
