Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

13.12.2017

Geschäftszahl

DSB-D213.531/0009-DSB/2017

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Text

GZ: DSB-D213.531/0009-DSB/2017 vom 13.12.2017

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

[Hinweis: Es handelt sich um zwei Erledigungen. Die eigentliche Empfehlung befindet sich unterhalb der abschließenden Erledigung.]

 

Mitteilung: Enderledigung

 

A. Verfahrensgang

 

1. Die Datenschutzbehörde leitete in Umsetzung ihres diesjährigen Prüfungsschwerpunktes mit Schreiben an die XY*** Versicherungen AG (im Folgenden XY***) vom 2. März 2017 ein amtswegiges Verfahren nach § 30 des Datenschutzgesetzes (DSG) 2000 ein und übermittelte in diesem Zusammenhang einen Fragebogen.

 

2. Die XY*** nahm dazu mit Schreiben vom 3. April 2017 Stellung und führte zusammengefasst aus, dass es für die Verarbeitung von personenbezogenen Daten von Versicherungsnehmern eine ausreichende Rechtsgrundlage gebe und Datensicherheitsmaßnahmen eingehalten würden. Weiters legte die XY*** die Unternehmensstruktur dar und teilte mit, dass ein strenges rollenbasiertes Berechtigungskonzept implementiert sei, wodurch sichergestellt sei, dass nur vom zuständigen Mitarbeiter und dem jeweils direkten Vorgesetzten ein Zugriff auf die Daten der Versicherungsnehmer möglich wäre. Die Aktualität der Daten würde durch regelmäßige Zusendungen an die Versicherungsnehmer sichergestellt. Bei der Aufbewahrung der Daten würde auf die unterschiedlichen gesetzlichen Bestimmungen Rücksicht genommen werden, wobei ein technisch automatisierter Löschprozess existiere. Der Zugriff auf die Daten würde auch protokolliert werden. Im Fall eines unautorisierten Zugriffs würde überdies ein eigener Prozess gestartet und dessen Ergebnis revisionssicher dokumentiert werden. Im Übrigen würden regelmäßig IT-Security-Audits durchgeführt werden.

 

3. Die Datenschutzbehörde übermittelte an die XY*** mit Schreiben vom 15. Mai und 8. August 2017 ergänzende Fragen, welche diese mit Schreiben vom 22. Juni und 30. August 2017 beantwortete und zu diesem Zweck ergänzende Unterlagen übermittelte.

 

4. Mit Schreiben der Datenschutzbehörde vom 8. August 2017 wurde die XY*** informiert, dass am 12. Oktober 2017 eine Einschau gemäß § 30 Abs. 4 DSG 2000 an der Adresse ******straße in YZ durchgeführt und der Schwerpunkt der Einschau auf Datensicherheitsmaßnahmen, Löschfristen, Zugriffsprotokollierung und Datenaustausch mit Dritten liegen werde.

 

5. Im Zuge dieser Einschau wurden von den Vertretern der XY*** die Fragen der Datenschutzbehörde beantwortet sowie die Zugriffsberechtigungen an EDV-Arbeitsplätzen demonstriert. Die Fragen der Datenschutzbehörde betreffend Protokolldaten sowie zur Videoüberwachung im Foyer des Gebäudes wurden von der XY*** aufgenommen und mit Schreiben vom 7. November 2017 beantwortet.

 

6. Das Protokoll der Einschau wurde der XY*** mit Schreiben vom 16. November 2017 übermittelt. Diese nahm dazu mit Schreiben vom 4. Dezember 2017 Stellung.

 

B. Sachverhaltsfeststellungen

 

Die Datenschutzbehörde geht von nachstehendem Sachverhalt aus, der sich aus den vorgelegten Stellungnahmen sowie den Ausführungen der Vertreter der XY*** im Rahmen der Einschau am 12. Oktober 2017 ergibt:

 

1. Die XY*** ist ein Versicherer und bietet nahezu alle Versicherungszweige am Markt, insbesondere Krankenversicherungen, Unfallversicherungen, Ablebensversicherungen, Erlebensversicherungen und Berufsunfähigkeitsversicherungen, an.

 

2. Zur Verwaltung von Daten der Versicherungsnehmer stehen der XY*** mehrere Datenanwendungen zur Verfügung, wobei hier grundsätzlich zwischen Datenanwendungen im Bereich der Versicherungszweige Unfallversicherung, Krankenversicherung und Lebensversicherung unterschieden werden muss. Der Betrieb und die Administration der Datenbanken werden durch datenschutzrechtliche Dienstleister der XY*** durchgeführt. Es werden zudem regelmäßige Datenschutz-Audits durchgeführt.

 

3. Für jeden Versicherungszweig gibt es ein Rollenkonzept mit verschiedenen Zugriffsberechtigungen, wobei der Zugriff auf Daten eines Versicherungszweiges nur von den zuständigen Mitarbeitern und dem jeweils direkten Vorgesetzten in direkter Linie erfolgt. Sämtliche Zugriffe werden protokolliert, wobei hier unterschiedliche Aufbewahrungsfristen in der Regele drei bis vier Jahre gelten. Im Rahmen weniger IT-Systeme gibt es jedoch keine Löschregeln und werden diese Protokolldaten unbefristet gespeichert.

 

4. Die Daten der Versicherungsnehmer werden bei Vertragsabschluss mittels Zustimmung der Versicherungsnehmer erhoben, wobei die jeweiligen Verträge entsprechende Zustimmungs- und Datenschutzerklärungen aufweisen. Bei der Aufbewahrung der Daten orientiert sich die XY*** an den jeweiligen gesetzlichen Aufbewahrungsfristen und sind diesbezüglich automatisierte Löschprozesse implementiert. Dadurch wird sichergestellt, dass Daten nicht länger als notwendig aufbewahrt werden. Es werden keine Daten von Versicherungsnehmern im Ausland oder über Cloud-Services gespeichert.

 

5. Eintretende Mitarbeiter erhalten zu Beginn ihrer Tätigkeit eine Datenschutzschulung und werden die Mitarbeiter periodisch über einschlägige Datenschutzthemen informiert. Der Zugang eines Mitarbeiters zu den Versicherungsnehmerdaten ist mittels Passwort geschützt, welches periodisch zu ändern ist und bestimmte Komplexitätsanforderungen aufweisen muss.

 

6. Am Standort *******straße ** in YZ ist im gemeinsam genutzten Eingangsbereich der XY*** und der N***bank AG eine Videoüberwachung installiert. Es liegt keine Meldung dieser Videoüberwachung vor. Nach Ansicht der XY*** fällt diese unter die Standardanwendung „SA 032 A. Bank“ gemäß Anlage 1 der Standard- und Muster-Verordnung 2004, da im überwachten Bereich eine Selbstbedienungszone der N***bank AG eingerichtet ist.

 

7. Hinsichtlich des Datenverarbeitungsregisters ist die XY*** aufgrund einer Verschmelzung mehrerer übertragender Gesellschaften (****yyy AG, **** xxx AG und ****zzz AG) als Gesamtrechtnachfolger anzusehen. Diese Gesamtrechtsnachfolge ist derzeit im Datenverarbeitungsregister allerdings weder ersichtlich bzw. ableitbar, noch ist das Register derzeit aktuell oder richtiggestellt.

 

8. Die XY*** hat im Zusammenhang mit der im Mai 2018 in Geltung tretenden Datenschutz-Grundverordnung (DSGVO) ein eigenes Umsetzungsprojekt initiiert und bereits eine Datenschutzbeauftragte gemäß Artikel 37 der DSGVO bestellt

 

C. Schlussfolgerungen der Datenschutzbehörde; rechtliche Beurteilung

 

1. Gegenstand des vorliegenden Verfahrens ist die Frage, ob die XY*** gesetzliche Regelungen hinsichtlich des Schutzes personenbezogener Daten einhält, wobei der Schwerpunkt des Verfahrens auf Zugriffsprotokollierungen sowie Rollenkonzepte, routinemäßige Überprüfungen der Zugriffe auf Kundendaten, Überprüfung von herangezogenen Dienstleistern, allfällige Mehrfachnutzung von EDV-Arbeitsplätzen durch verschiedene Bedienstete sowie Übermittlung/Überlassung von Daten in Drittstaaten lag.

 

2. Das Ermittlungsverfahren ergab, dass datenschutzrechtliche Vorgaben im überwiegenden Ausmaß eingehalten werden. Besonders hervorzuheben sind folgende Bemühungen der XY***:

 

a.        das Vorliegen eines Rollen- und Berechtigungskonzepts,

 

b.        ein festgelegtes System für das Anlegen von Usern,

 

c.        das Vorliegen eines Passwortsystems, das Komplexitätsanforderungen an ein Passwort stellt, eine Passwort-History aufweist und Nutzer regelmäßig auffordert, das Passwort zu ändern,

 

d.           das Vorhandensein einer Datenschutzschulung für neue Mitarbeiter sowie periodischer Mitarbeiterinformationen zum Datenschutz,

 

e.        keine Speicherung von Versicherungsnehmer-Daten im Ausland oder über Cloud Services,

 

f.        das Vorhandensein eines umfassenden Protokollierungssystems,

 

g.        das Vorhandensein automatischer Löschprozesse,

 

h.        die regelmäßige Durchführung von Datenschutz-Audits,

 

i.        die vorbereitenden Arbeiten zur Umsetzung der DSGVO sowie

 

j.        die bereits erfolgte Bestellung einer Datenschutzbeauftragten.

 

3. Hinsichtlich der unbefristeten Aufbewahrung von Protokolldaten, der Videoüberwachung am Standort *******straße** in YZ sowie aufgrund der mangelnden Aktualität bzw. Richtigkeit des DVR-Registers war jedoch die beiliegende Empfehlung auszusprechen.

 

 

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Überprüfung der XY*** Versicherung (XY***) folgende Empfehlungen aus:

1.  Die XY*** möge geeignete Maßnahmen ergreifen, damit Protokolldaten nicht zeitlich unbefristet gespeichert bleiben.

2.  Die XY*** möge dafür sorgen, dass zur Videoüberwachung am Standort *******straße** in YZ eine Meldung an das Datenverarbeitungsregister (DVR) der Datenschutzbehörde erstattet wird.

3.  Die XY*** möge als Gesamtrechtsnachfolger der ****yyy AG, der **** xxx AG und der ****zzz AG die entsprechenden Änderungsmeldungen im DVR durchführen bzw. nicht mehr aktuelle Datenanwendungen streichen.

4. Für die Umsetzung von Punkt 1. dieser Empfehlung wird eine Frist von drei Monaten gesetzt. Für die Umsetzung der Punkte 2. und 3. dieser Empfehlung wird eine Frist von vier Wochen gesetzt.

Rechtsgrundlagen: §§ 1, 6, 17ff, 22, 30 und 50a ff des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF.

 

Gründe für diese Empfehlung

A. Verfahrensgang

Im Zuge des vorliegenden amtswegigen Prüfverfahrens, welches der Umsetzung des diesjährigen Prüfungsschwerpunktes der Datenschutzbehörde diente, wurden auch Fragen zur Speicherung von Protokolldaten gestellt. Dazu gab die XY*** in ihrer schriftlichen Stellungnahme vom 7. November 2017 an, dass der Großteil der IT-Systeme Protokolldaten für einen Zeitraum von drei bis vier Jahren aufbewahren würden. Für wenige IT-Systeme wären jedoch keine Löschungsregeln definiert, weshalb Protokolldaten in diesem Bereich unbefristet gespeichert würden.

Hinsichtlich der Videoüberwachung im gemeinsam genutzten Eingangsbereich mit der N***bank AG am Standort *******straße** in YZ führte die XY*** in ihrer schriftlichen Stellungnahme vom 7. November 2017 aus, dass die gegenständliche Videoüberwachung unter die Standardanwendung „SA 032 – A. Bank“ der Standard- und Muster-Verordnung 2004 fallen würde, weshalb keine Meldung an das Datenverarbeitungsregister nötig wäre.

Zu den gemeldeten Datenanwendungen im Datenverarbeitungsregister führte die XY*** in ihrer Stellungnahme vom 20. Juni 2017 aus, dass aufgrund einer Verschmelzung mehrerer übertragender Gesellschaften (****yyy AG, **** xxx AG und ****zzz AG) die XY*** als Gesamtrechtnachfolger anzusehen sei. Insbesondere führte die XY*** aus, dass mehrere Datenanwendungen nicht mehr aktuell seien und die entsprechenden Änderungen bzw. Löschung in die Wege geleitet würden. Zum Zeitpunkt der Erlassung dieser Empfehlung hat die XY*** weder entsprechende Änderungsmeldungen veranlasst oder Streichungen im Datenverarbeitungsregister vorgenommen.

B. In rechtlicher Hinsicht folgt daraus:

I. Zur unbefristeten Speicherung von Protokolldaten

1. Bei Protokolldaten handelt es sich nach der Rechtsprechung der Datenschutzbehörde regelmäßig um personenbezogene Daten (vgl. dazu bspw. die Empfehlung vom 31. Jänner 2017, GZ DSB-D213.471/0005-DSB/2016). Eine zeitlich nicht befristete Speicherung von personenbezogener Daten widerspricht dem Grundsatz des § 6 Abs. 1 Z 5 DSG 2000. Der EGMR hat in seiner Rechtsprechung ausgesprochen, dass die unbegrenzte bzw. zeitlich nicht näher eingeschränkte Speicherung personenbezogener Daten eine Verletzung von Art. 8 EMRK darstellt (vgl. dazu bspw. das Urteil vom 18. April 2013, M.K. gg. Frankreich, Nr. 19522/09, Rz 35 f mwN). Auch wenn sich die zitierte Rechtsprechung auf strafrechtlich relevante Daten bezieht, so sind die darin dargelegten Grundsätze nach Ansicht der Datenschutzbehörde allgemein auf die Verwendung personenbezogener Daten anzuwenden.

2. Ein datenschutzrechtlicher Auftraggeber hat somit eine Frist vorzusehen, die das Bedürfnis der Dokumentation der Handlungen ehemaliger Nutzer sowie die Vorgabe der zeitlich begrenzten Speicherung personenbezogener Daten berücksichtigt, und nach deren Ablauf personenbezogene Daten gelöscht werden.

3. Soweit die XY*** derzeit Protokolldaten unbefristet speichert, muss sie gemäß § 6 Abs. 1 Z 5 DSG 2000 geeignete Aufbewahrungsfristen sowie entsprechende Löschroutinen implementieren.

II. Zur Meldung der gegenständlichen Videoüberwachung

1. Videoüberwachungen unterliegen gemäß §§ 17ff iVm § 50c Abs. 1 DSG 2000 grundsätzlich der Meldepflicht an die Datenschutzbehörde.

2. Soweit die XY*** im gegenständlichen Verfahren mitteilte, dass am Standort *******straße ** in YZ aus ihrer Sicht keine Meldung erforderlich sei, da der videoüberwachte Bereich eine Filiale der N***bank AG betreffe und daher unter die Standardanwendung „SA 032 – A. Bank“ falle, muss ihr entgegengehalten werden, dass der gegenständliche Eingangsbereich zweifellos auch der XY*** zuzurechnen ist.

3. Für die Videoüberwachung am Standort *******straße ** in YZ ist seitens der XY*** gemäß der §§ 17ff iVm § 50c Abs. 1 DSG 2000 eine entsprechende Meldung durchzuführen.

III. Zur Richtigstellung des Datenverarbeitungsregisters

1. Der Auftraggeber einer Datenanwendung hat gemäß § 22 DSG 2000 Streichungen aus dem Register und sonstige Änderungen des Registers auf Grund einer Änderungsmeldung vorzunehmen, wobei derartige Änderungen für die Dauer von sieben Jahren ersichtlich zu machen sind.

2. Die XY*** ist aufgrund einer Verschmelzung mehrerer übertragender Gesellschaften (****yyy AG, **** xxx AG und ****zzz AG) als Gesamtrechtnachfolger anzusehen. Diese Gesamtrechtsnachfolge ist derzeit im DVR allerdings weder ersichtlich bzw. ableitbar, noch ist das Register derzeit aktuell oder richtiggestellt.

3. Die XY*** hat gemäß § 22 DSG 2000 die entsprechenden Änderungsmeldungen bzw. Streichungen im Datenverarbeitungsregister vorzunehmen.

IV. Zusammenfassung

Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Die gesetzten Fristen scheinen für die Umsetzung dieser Empfehlung angemessen.

European Case Law Identifier

ECLI:AT:DSB:2017:DSB.D213.531.0009.DSB.2017