Grundlegend kann man die künftigen Pflichten in 4 Bereiche gliedern:
- Dokumentationspflichten (Aufstellung Verarbeitungstätigkeiten und genutzte IT-Systeme) –Teil 1-
- Informationspflichten (Datenschutzhinweise) – Teil 2-
- Aufbewahrungsfrist und Löschprozess (Fristen definieren und Löschkonzept vorhalten) –Teil 3-
- Betroffenenrechte (welche Rechte hat der Verbraucher?) –Teil 4-
-Teil 3-
Wie lange dürfen Sie Kundendaten speichern?
In den Medien liest man im Zusammenhang mit der DSGVO häufig von dem „Recht auf Vergessenwerden“ (Art. 17 DSGVO). Datenschutzrechtlich gilt der Grundsatz, dass personenbezogene Daten nur solange gespeichert bzw. weiterhin verarbeitet werden dürfen, wie der Zweck der Datenverarbeitung dies rechtfertigt.
Es gibt unterschiedliche Gründe, die die Rechtmäßigkeit der Datenverarbeitung und die damit verbundenen weitere Speicherung bzw. Aufbewahrung der Daten rechtfertigen können. Hierbei kann es sich beispielsweise um gesetzliche Aufbewahrungsfristen handeln oder auch um Ihr berechtigtes Interesse als Verantwortlicher an einer längerfristigen Aufbewahrung der Kundendaten.
Die Besonderheit hierbei besteht darin, dass die Daten Ihrer Kunden einerseits gespeichert werden, um den Vermittlungsprozess elektronisch zu begleiten und Finanzierungen bzw. Versicherungsprodukte zu vermitteln. Andererseits sollen die Daten für die weiterhin notwendigen Zwecke der Vertriebsorganisation, z.B. für eine weitere Begleitung oder Beratung des Kunden im Rahmen seiner Finanzierung bzw. Versicherung, ebenfalls für eine bestimmte Zeit aufbewahrt werden.
Es ist daher wichtig, für alle Verarbeitungen festzulegen, wie lange die Daten aufbewahrt werden dürfen und wie die Löschung oder Anonymisierung der Daten sichergestellt werden kann.
Anhand einer Grafik zeigen wir Ihnen die Aufbewahrungsfristen, wie wir sie bei Qualitypool anwenden, zu unterschiedlichen Beratungsszenarien bzw. Vorgangsarten.
Möglichkeit einer Fristverlängerung:
Es gibt aber trotzdem die Möglichkeit, eine Verlängerung der Aufbewahrungsfrist zu erreichen. Beratungsaktivitäten (Vorgangsart: Vorgang mit Beratung) weisen auf eine anhaltende Beratung hin und sprechen daher gegen eine Löschung des Datensatzes, da dieser im Rahmen des Beratungszweckes noch weiterhin benötigt wird.
Beginnt bei einem Lead die Beratungsaktivität, wird dieser ebenfalls zu einem „Vorgang mit Beratung“. Sie als Vermittler können also durch Dateneingaben im jeweiligen System und Beratungsaktivitäten die Aufbewahrungsfrist des jeweiligen Vorgangs verlängern.
Ausnahme: Die Aufbewahrungsfrist eines Vorgangs mit unterschriebenem Antrag kann nicht verlängert werden. Die Zweckbindung endet hier eindeutig nach Ende der Laufzeit zuzüglich einer Aufbewahrungsfrist von zehn Jahren zum Jahresende.
Löschprozess:
Generell ist nach Ablauf der jeweiligen Aufbewahrungsfrist eine Löschung oder Anonymisierung der personenbezogenen Daten vorzunehmen. Ob dies im Rahmen eines automatisierten Löschkonzeptes (wie z.B. bei EUROPACE) oder manuell von Ihnen für Ihren Verantwortungsbereich erfolgt, bleibt formal gesehen Ihnen überlassen. Wichtig ist in diesem Zusammenhang jedoch, dass Sie einen standardisierten Löschprozess dokumentieren, der auch entsprechend konsequent zur Anwendung kommt.
Tipp: Bitte vermeiden Sie generell die Nutzung von Diensten zur Datenspeicherung außerhalb der Europäischen Union bzw. für rein private Zwecke (z.B. Dropbox).Ein besonderes Augenmerk sollte auch auf das Thema „E-Mail“ gelegt werden. Hier sind Sie in der Pflicht, E-Mails mit personenbezogenen Daten bzw. Anhängen manuell zu löschen – mögliche Fristen siehe Grafik. Im Zweifelsfall holen Sie sich hierzu (datenschutz-)rechtlichen Rat ein.
Vergessen Sie nicht, die Daten gehören immer Ihren Kunden!
In unserem letzten Newsletter der DSGVO-Info-Reihe geht es um das Thema „Betroffenenrechte“.
Ihr Qualitypool-Team
Weitere Artikel zum Thema DSGVO:
DSGVO – der Countdown läuft! Noch 3 Wochen bis zum Start!
DSGVO – der Countdown läuft! Noch 2 Wochen bis zum Start!