In seinem Tätigkeitsbericht für die Jahre 2017/18 stellt der Bundesdatenschutzbeauftragte einer großen Zahl von Berufsgenossenschaften, gesetzlichen Krankenkassen und (Reha)Kliniken aus seinem Zuständigkeitsbereich, bezogen auf die Löschung nicht mehr benötigter personenbezogener Daten, ein vernichtendes Zeugnis aus. Aber lesen Sie selbst:
„Trotz klarer gesetzlicher Regelungen verfügen Sozialleistungsträger noch immer über keine Löschkonzepte – oder haben diese nicht umgesetzt. Eines der datenschutzrechtlich wichtigsten Rechte ist das Recht auf Löschung und das ebenfalls in Art. 17 DSGVO neu geschaffene ‚Recht auf Vergessenwerden‘.
Nach der Rechtsprechung des Europäischen Gerichtshofs handelt es sich hierbei um eine spezielle Ausprägung der Grundrechte auf Achtung des Privat‑ und Familienlebens und auf Schutz personenbezogener Daten. So sind personenbezogene Daten vom Verantwortlichen insbesondere dann zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf andere Weise verarbeitet worden, nicht mehr erforderlich sind. Ich habe eine Vielzahl von Beratungs‑ und Kontrollbesuchen bei Sozialleistungsträgern (Berufsgenossenschaften, gesetzliche Krankenkassen und (Reha)Kliniken in meinem Zuständigkeitsbereich) durchgeführt, wo ich feststellen musste, dass viele dieser Sozialleistungsträger weiterhin über keinerlei Löschkonzepte verfügen oder diese über ein Entwurfsstadium nicht hinausgehen. Bei Stichproben konnte ich beispielsweise Datensätze einzelner Personen in IT‑Systemen aufrufen, deren Geburtstage bis in das 19. Jahrhundert zurückreichen und/oder Personen betreffen, die bereits vor mehr als 70 Jahren verstorben sind. Dass diese Daten für die Aufgabenerledigung nicht mehr erforderlich sein können, ist selbsterklärend. Personenbezogene Daten nicht löschen zu können, stellte bereits vor dem 25. Mai 2018 einen Rechtsverstoß dar. Mit einem Rundschreiben hatte ich dem Spitzenverband der Gesetzlichen Krankenversicherung bereits im Jahr 2014 mitgeteilt, dass ich fehlende Löschmöglichkeiten bzw. das Fehlen von Löschkonzepten bei den gesetzlichen Krankenkassen nicht mehr akzeptiere. Damals konnte ich derartige Datenschutzverstöße (aufgrund des alten Datenschutzrechts) nur beanstanden. Art. 58 Absatz 2 DSGVO gibt mir nunmehr erweiterte Befugnisse gegenüber den Verantwortlichen, noch energischer darauf einzuwirken, dass Löschkonzepte nicht nur zeitnah erstellt oder finalisiert, sondern IT-seitig auch umgesetzt werden. Diese Rechte werde ich zukünftig in Anspruch nehmen.“
Das ist nicht das erste Mal, dass mir der neue Bundesdatenschutzbeauftrage positiv auffällt. Weiter so, Herr Kelber!