Norm
DSG §1 Abs1Text
GZ: 2020-0.586.738 vom 23. November 2020 (Verfahrenszahl: DSB-D124.2390)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Lea A*** (Beschwerdeführerin), vertreten durch Rechtsanwalt Dr. Horst N***, vom 30. März 2020 (ha. eingelangt am 31. März 2020), ergänzt mit Eingabe vom 8. Mai 2020, gegen die Y***Versicherung AG (Beschwerdegegnerin) wegen Verletzung 1) im Recht auf Geheimhaltung und 2) im Recht auf Löschung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen.
Rechtsgrundlagen: Art. 4 Z 1, Z 7, Z 8 und Z 15, Art. 6 Abs. 1 lit. c und lit. f, Art. 9 Abs. 1, Art. 12 Abs. 3, Art. 17 Abs. 1 und Abs. 3, Art. 21, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1, Abs. 5 und Abs. 6 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; § 110 Abs. 1 des Versicherungsaufsichtsgesetzes 2016 – VAG 2016, BGBl. I Nr. 34/2015 idgF; § 11a Abs. 1 des Versicherungsvertragsgesetzes – VersVG, BGBl. Nr. 2/1959 idgF;
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Eingaben vom 30. März 2020 (ha. eingelangt am 31. März 2020) und vom 6. Mai 2020 (ha. eingelangt am 8. Mai 2020) behauptete die Beschwerdeführerin durch ihren rechtsfreundlichen Vertreter eine Verletzung im Recht auf Geheimhaltung und im Recht auf Löschung und brachte dazu zusammengefasst wie folgt vor:
Die Beschwerdeführerin habe am 20. Dezember 2019 einen Antrag auf Abschluss einer Lebensversicherung „L***kasko“ bei der Beschwerdegegnerin gestellt. Am 7. Februar 2020 habe die Beschwerdegegnerin diesen Antrag ohne Begründung abgelehnt. In diesem Zusammenhang habe die Beschwerdegegnerin den Namen und das Geburtsdatum der Beschwerdeführerin sowie den Umstand der Ablehnung des Antrags an den Verband der Versicherungsunternehmen Österreichs für eine Eintragung im Zentralen Informationssystem („ZIS“) übermittelt. Die Beschwerdeführerin leide an Diabetes Typ 1. Der Antrag sei offensichtlich aufgrund dieser Erkrankung abgelehnt worden. Dies stelle eine Diskriminierung der Beschwerdeführerin dar. Am 21. Februar 2020 habe die Beschwerdeführerin ihre erteilte Einwilligung zur Datenverarbeitung gem. Art. 17 Abs. 1 lit. b DSGVO widerrufen und eine Löschung ihrer Daten gem. Art. 17 leg. cit. im ZIS verlangt. Am 26. Februar 2020 habe die Beschwerdegegnerin den Widerruf der weiteren Verarbeitung und die Löschung der Daten ausdrücklich abgelehnt. Wie der Datenschutzerklärung der Beschwerdegegnerin entnommen werden könne, agiere der Verband der Versicherungsunternehmen Österreichs (VVO) als Auftragsverarbeiter, die teilnehmenden Versicherungsunternehmen – u.a. die Beschwerdegegnerin – als gemeinschaftlich Verantwortliche. Die Beschwerdeführerin habe – wie bereits erwähnt – ihre Einwilligung widerrufen. Die Beschwerdegegnerin führe als Begründung aus, dass die Datenverarbeitung der Wahrung der berechtigten Interessen der Versichertengemeinschaft und der teilnehmenden Versicherungen des VVO diene. Es stehe zwar außer Zweifel, dass die gegenständliche Datenverarbeitung der Wahrung der berechtigten Interessen der teilnehmenden Versicherungsunternehmen diene, Art. 6 Abs. 1 lit. f DSGVO fordere jedoch eine Interessensabwägung. Da die im ZIS gespeicherten Daten für alle Versicherungsanstalten frei zugänglich seien, habe das für die Beschwerdeführerin ganz konkrete Konsequenzen, und zwar die Ablehnung durch andere Versicherungsanstalten, manchmal auch ohne Vorprüfung. Der fehlende Versicherungsschutz – und damit das nicht versicherte Risiko des Todes – habe für die Beschwerdeführerin enorme Folgen: bspw. bei einer Firmengründung oder die fehlende Absicherung der Familie bzw. die fehlende Altersvorsorge. Diabetiker bekämen nämlich auch schwerer einen Kredit, da zur Absicherung oft eine Lebensversicherung verlangt werde. Im Rahmen der Interessensabwägung sei insbesondere auch Art. 21 (und Art. 14) EU-Grundrechtecharta zu berücksichtigen, wonach Diskriminierungen, insbesondere wegen einer Behinderung, verboten seien. Diabetes stelle unzweifelhaft eine Behinderung dar (vgl. § 2 Behinderteneinstellungsgesetz sowie die Rsp. des EuGH und des EGMR). Auch verbiete das Versicherungsvertragsgesetz die Ablehnung eines Versicherungsverhältnisses aufgrund einer Behinderung. Das schutzwürdige Interesse der Beschwerdeführerin übersteige daher das Interesse der Beschwerdegegnerin und sei die Datenverarbeitung somit im Ergebnis unzulässig. Den Eingaben war ein Konvolut an Dokumenten beigefügt.
2. Mit Erledigung vom 11. Mai 2020 forderte die Datenschutzbehörde die Beschwerdegegnerin zur Stellungnahme auf.
3. Mit Eingabe vom 17. Juni 2020 brachte die Beschwerdegegnerin wie folgt vor:
Richtig sei, dass die Beschwerdeführerin am 20. Dezember 2019 einen Antrag auf Abschluss eines Lebensversicherungsvertrags gestellt habe und dieser von der Beschwerdegegnerin am 7. Februar 2020 abgelehnt worden sei. Richtig sei ferner, dass die Beschwerdegegnerin mit Schreiben vom 7. Februar 2020 darauf verwiesen habe, dass sie den Namen, das Geburtsdatum sowie den Umstand der Ablehnung des Antrages an das ZIS übermittelt habe. Das Schreiben der Beschwerdeführerin vom 21. Februar 2020 sei als Löschungsbegehren gem. Art. 17 DSGVO interpretiert worden. Mit E-Mail vom 26. Februar 2020 habe die Beschwerdegegnerin unter Zugrundelegung ausführlicher Begründungen festgehalten, dass sie dem Löschungsbegehren nicht nachkommen könne. Eine Auseinandersetzung mit einem Widerruf der Einwilligung der Beschwerdeführerin sei nicht erfolgt, zumal die Beschwerdeführerin – entgegen der Ausführungen ihres Rechtsvertreters am 30. März 2020 und am 6. Mai 2020 – keinen Widerruf erhoben habe. Im Übrigen sei seitens der Beschwerdegegnerin keine Einwilligung eingeholt worden, womit ein Widerruf auch nicht möglich wäre. Am 30. März 2020 habe der Rechtsvertreter der Beschwerdeführerin Widerspruch gem. Art. 21 DSGVO erhoben. Mit replizierendem Schreiben vom 7. April habe die Beschwerdegegnerin festgehalten, dass dem Löschbegehren aus Effizienzgründen nachgekommen werde. Am 1. April 2020 sei somit die Löschung des Namens, des Geburtsdatums sowie des Umstandes, dass der Antrag der Beschwerdeführerin abgelehnt worden sei, veranlasst worden. Weshalb der Rechtsvertreter in seiner ergänzenden Eingabe vom 6. Mai 2020 die Verletzung des Rechts auf Löschung weiterhin moniere, sei daher nicht nachvollziehbar. Die Beschwerdegegnerin habe dem Antrag der Beschwerdeführerin im Sinne des § 24 Abs. 6 DSG nachträglich entsprochen.
Zur behaupteten Verletzung im Recht auf Geheimhaltung werde festgehalten, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Versichertengemeinschaft und der Versicherungsunternehmen erforderlich sei. Gemäß § 110 VAG 2016 seien Versicherungsunternehmen zur Einrichtung eines wirksamen Risikomanagement-Systems verpflichtet. Dies umfasse alle erforderlichen Strategien, Prozesse und Meldeverfahren, die erforderlich seien, um die eingegangenen und potenziellen Risiken jeweils auf einzelner und aggregierter Basis und die wechselseitigen Abhängigkeiten zwischen diesen Risiken zu erkennen, zu messen, zu managen und darüber zu berichten. Das ZIS, welches der koordinierten Information zwischen den teilnehmenden Versicherungsunternehmen diene, sei ein Teil davon. Es leiste einen wesentlichen Beitrag zum Schutz der Versichertengemeinschaft. Die Eintragung in das ZIS umfasse Name, Geburtsdatum, die Information, ob es sich um eine Neu-, Änderungs- oder Stornomeldung handle, das Meldedatum, die betroffene Versicherungssparte, den Meldefall in Form einer numerischen Codierung und einen allfällig gesetzten Bestreitungsvermerk. Eine Abfrage aus dem ZIS sei anlässlich der Prüfung eines Antrags auf Versicherungsabschluss und anlässlich der Prüfung eines Leistungsfalls möglich. Keinesfalls werden die genauen Gründe (bspw. Krankheit als Grund, Art der Krankheit) gemeldet bzw. bekanntgegeben. Dies sei daher auch im Falle der Beschwerdeführerin für andere Versicherungsunternehmen keinesfalls ersichtlich. Versicherungswerber würden sowohl im Antragsformular als auch erneut bei Vorliegen der Voraussetzungen der Einmeldung in das ZIS über die tatsächliche Aufnahme in das System informiert werden. Insgesamt seien die Rechtmäßigkeit – insbesondere aufgrund der transparenten Information, der Benachrichtigung im Einzelfall sowie der Meldung einer numerischen Codierung („Abgelehnt“) – und die höher einzustufenden Interessen der Versichertengemeinschaft von der Datenschutzbehörde anerkannt und bestätigt worden (vgl. auch das Verfahren vor der DSB, GZ: DSB-D213.566). Der Eingabe war ein Konvolut an Dokumenten beigefügt.
4. Mit ergänzender Eingabe vom 23. Juli 2020 hielt die Beschwerdegegnerin überdies fest, dass die Datenverarbeitung im Rahmen des ZIS auch Interessen Dritter (konkret: anderer Versicherungsnehmer) diene, da somit sichergestellt werde, dass die Einnahmen eines Versicherungsunternehmens, durch risikoangepasste Prämien in einem ausgeglichenen Verhältnis zu den Ausgaben stehen. Zum Vorwurf der Diskriminierung werde darauf hingewiesen, dass in Abstimmung mit der Datenschutzbehörde bewusst auf die Einmeldung der konkreten Krankheit verzichtet worden sei, um die Verhältnismäßigkeit zu wahren. Der konkrete Grund für die Ablehnung sei somit für andere Versicherungsunternehmen nicht ersichtlich. Es sei überdies sehr unwahrscheinlich, dass andere Versicherungsunternehmen einen Antrag nur aufgrund der Einmeldung im ZIS ohne Vorabprüfung ablehnen. Abschließend werde noch festgehalten, dass sämtliche Versicherungsunternehmen, welche die Sparte der Lebensversicherung betreiben, gesundheitsbezogene Daten abfragen (vgl. § 11a VersVG). Bei künftigen Anträgen sei die Beschwerdeführerin somit ohnedies zur Bekanntgabe ihrer Erkrankung verpflichtet (vgl. § 16 VersVG 2016). Im Übrigen obliege die Prüfung (sonstiger) Diskriminierungen den Zivilgerichten.
5. Mit Erledigung vom 7. August 2020 gewährte die Datenschutzbehörde der Beschwerdeführerin Parteiengehör.
6. Mit Eingabe vom 10. September 2020 (ha. eingelangt am 14. September 2020) brachte die Beschwerdeführerin durch ihren rechtsfreundlichen Vertreter wie folgt vor:
Das Recht der Beschwerdeführerin auf Löschung sei jedenfalls bis zur tatsächlichen Löschung durch die Beschwerdegegnerin verletzt worden. Da dies im Übrigen nur aus „Effizienzgründen“ geschehen sei, bestehe die Rechtsverletzung weiter fort. Die Beschwerdegegnerin gestehe, dass die Speicherung der Daten im ZIS zu einer näheren Prüfung eines künftigen Antrages bzw. der Hintergründe der Einmeldung führe. Dies könne jedoch nur durch die Rückfrage beim einmeldenden Versicherer erfolgen. Selbst wenn man den Ausführungen der Beschwerdegegnerin Glauben schenken möge, möge es zwar richtig sein, dass die Gesundheitsdaten der Beschwerdeführerin nicht im ZIS gespeichert worden seien. Eine Geheimhaltung finde jedoch trotzdem nicht statt, da andere Versicherungsunternehmen bei näherer Prüfung der Hintergründe sehr wohl an die Gesundheitsdaten der Beschwerdeführerin gelangen könnten. Die Diskriminierung finde dadurch statt, dass durch die stattfindende Rückfrage nicht nur die dem Versicherer bekannt gegebenen Daten, sondern auch die von diesem angestellten Überlegungen weitergegeben werden.
B. Beschwerdegegenstand
Ausgehend vom Beschwerdevorbringen ergibt sich als Beschwerdegegenstand einerseits die Frage, ob die Beschwerdeführerin trotz zwischenzeitlich erfolgter Löschung noch immer im Recht auf Löschung gemäß Art. 17 DSGVO verletzt ist.
Darüber hinaus ergibt sich als Beschwerdegegenstand die Frage, ob die Beschwerdegegnerin die Beschwerdeführerin durch die Verarbeitung von Name, Geburtsdatum sowie des Umstands der Ablehnung des Antrages auf Abschluss einer Lebensversicherung vom 20. Dezember 2019 im Rahmen des Zentralen Informationssystems („ZIS“) im Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt hat.
C. Sachverhaltsfeststellungen
1. Bei der Beschwerdegegnerin handelt es sich um ein zur Firmenbuchnummer *2635 x registriertes Versicherungsunternehmen mit Sitz in 1**0 Wien. Die Beschwerdeführerin stellte am 20. Dezember 2019 einen Antrag auf Abschluss einer Lebensversicherung bei der Beschwerdegegnerin. Dieser Antrag enthielt u.a. folgende Hinweise (auszugsweise, Formatierung nicht 1:1 wiedergegeben):
Zustimmungserklärungen zum Datenschutz
1. Zustimmung zur Ermittlung und Übermittlung von Daten
1.1 bei Vertragsabschluss
Alle Antragsteller und zu versichernden Personen stimmen zu, dass der Versicherer zur Beurteilung, ob und zu welchen Bedingungen dieser Versicherungsvertrag abgeschlossen oder geändert wird, personenbezogene Gesundheitsdaten durch unerlässliche Auskünfte von den untersuchenden oder behandelnden Ärzten, Krankenanstalten, sonstigen Einrichtungen der Krankenversorgung oder Gesundheitsvorsorge, sowie den bekanntgegebenen Sozialversicherungsträgern ermitteln darf.
Unerlässliche Auskünfte im Sinne des vorstehenden Absatzes sind die zur Vertragsbeurteilung erforderlichen Auskünfte und Unterlagen der genannten Ärzte und Einrichtungen. Davon umfasst sind die zu dieser Beurteilung erforderlichen medizinischen Unterlagen (Anamnese, Entlassungsberichte, sämtliche diagnostische Befunde, Infusionsblatt, klinische oder ärztliche Aufnahme- und Behandlungsdaten, wobei in Einzelfällen auch mit weniger Unterlagen das Auslangen gefunden werden kann).
3. Zustimmung der zu versichernden Personen
Die zu versichernden Personen stimmen zu, dass der Antragsteller (bzw. der von ihm bevollmächtigte Versicherungsvermittler) über eventuelle Ablehnungen, Risikozuschläge bzw. den Inhalt leistungseinschränkender Klauseln, die sich auf den Ausschluss bestehender Leiden (z.B. Ausschluss auf Grund einer Wirbelsäulenerkrankung, Allergie,…) beziehen, informiert werden darf.
Die Zustimmungserklärungen gemäß Punkt 1 bis Punkt 3 können jederzeit - auch einzeln - widerrufen werden.
Ein Widerruf vor Vertragsabschluss kann zur Folge haben, dass der Versicherer die Antragsprüfung
nicht vornehmen kann und sich die Einholung weiterer Unterlagen vorbehält oder den Antrag ablehnt.
Bei Widerspruch nach Vertragsabschluss oder bei Verweigerung der Zustimmung im Einzelfall sind die für die Leistungsfallprüfung benötigten Unterlagen von Antragstellern, Bezugsberechtigten oder den zu versichernden Personen in vollem Umfang beizubringen. Bis zum Erhalt aller benötigten Unterlagen können Leistungsansprüche nicht fällig werden.
Unterschrieben von
Telefonnummer: +4368*296**
TransaktionsID: *41Wag8x
Signaturzeitpunkt: 20-12-2019 *2:36:58
20.12.2019 IP-Adresse: 2*5.589.*9.31
Datum Mag.Lea A***
2. Wie der unter Punkt C.1. bzw. unten abgebildeten Zustimmungserklärung entnommen werden kann, willigte die Beschwerdeführerin im Rahmen der Antragsstellung am 20. Dezember 2019 („Datenverwendungsklausel“) in die Verarbeitung der dort genannten Datenkategorien zum Zwecke der Marktforschung durch Auftragsverarbeiter (Punkt „i“), Zufriedenheitsumfragen (Punkt „ii“) sowie zur Kontaktaufnahme und Zusendung von Marketinginformationen innerhalb der Y***Gruppe (Punkt „iii“) ein (Formatierung nicht 1:1 wiedergegeben):
Allgemeine Fragen
1. Datenverwendungsklausel: Alle Antragsteller und die zu versichernde(n) Ja Nein
Person(en) stimmen zu, dass ihre personenbezogenen Daten (Titel, Vor-
und Nachname, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer,
Informationen aus dem laufenden Vertragsverhältnis (wie Produkt,
Leistungsumfang, Schadensmeldungen, Segmentierungen), Mitgliedschaft im
Y***Bonus***, Nutzungsdaten des Kundenportals, Apps und weiterer
Kontaktkanäle) zu Zwecken der (i) Marktforschung (z.B. entsprechende Umfragen
über Auftragsverarbeiter), (ii) Zufriedenheitsumfragen zu unserem Service und
Beratung und (iii) Kontaktaufnahme sowie Zusendung von Marketinginformationen
und Vorschlägen in Zusammenhang mit Waren und Dienstleistungen aus dem
Versicherungs- und Finanzierungsangebot der Y*** Gruppe (per E-Mail, Telefon
oder im Kundenportal und Apps) von Unternehmen der Y*** Gruppe (Y***Versicherung***,
Y***Lebensversicherung***, Y***Pensionskasse***, Y***Vorsorgekasse***, Y***Partner***, Y***Assistance***,
Y***Bank** (jeweils Wien) verarbeitet werden. Keinesfalls werden diese Daten an andere
Unternehmen als die Genannten weitergegeben oder verkauft. Diese Zustimmung kann
jederzeit ohne Angabe Von Gründen widerrufen werden.
2. Ich habe die nachfolgende in diesem Antrag enthaltene Vereinbarung zur Form von
Erklärungen und anderen Informationen gelesen und stimme ihr zu. Ja Nein
3. Laut den ebenfalls im Antragsformular zu findenden Hinweisen (Überschrift „Verwendung personenbezogener Daten im Rahmen des ZIS“), beruft sich die Beschwerdegegnerin hinsichtlich der Verarbeitung der personenbezogenen Daten (konkret: Name, Geburtsdatum, Information über die Art der Meldung, Versicherungssparte, Meldefall in Form einer numerischen Codierung, allfälliger Bestreitungsvermerk) im Rahmen des Zentralen Informationssystems der Versicherungsunternehmen Österreichs (in Folge: „ZIS“) auf die Wahrung der Interessen der Versichertengemeinschaft und der teilnehmenden Versicherungen, wie folgender Abbildung zu entnehmen ist (Formatierung nicht 1:1 wiedergegeben):
Verwendung personenbezogener Daten im Rahmen des ZIS
Beim Verband der Versicherungsunternehmen Österreichs, Schwarzenbergplatz 7, 1030 Wien, wird
von der Versicherungswirtschaft im Bereich der Kranken-, Lebens- und
Berufsunfähigkeitsversicherung ein zentrales Informationssystem zum Zweck der koordinierten
wechselseitigen Information zwischen den teilnehmenden Versicherungsunternehmen zur Ermittlung
nicht versicherbarer Risiken und zur Gewährleistung eines beitrags- und leistungsumfangangepassten
Versicherungsschutzes betrieben. Dieses System wird von uns in der Sparte der Lebensversicherung
genutzt. Zur Wahrung der berechtigten Interessen der Versichertengemeinschaft und der
teilnehmenden Versicherungen dient das System dem Erkennen, Überwachen, und Managen der von
den teilnehmenden Versicherungen eingetragenen Versicherungsrisiken. Unter bestimmten
Voraussetzungen können ab Unterfertigung des Versicherungsantrags (auch bei nachträglicher
Antragsrückziehung) Daten der zu versichernden bzw versicherten Person in dieses
Informationssystem für längstens sieben Jahre eingetragen werden. Es handelt sich hierbei um Fälle
der dauerhaften oder vorübergehenden Ablehnung des Versicherungsantrags, der potentiellen
Annahme des Antrags unter erschwerten Bedingungen und der vorzeitigen Vertragsbeendigung
Aufgrund einer Verletzung der Anzeigepflicht. Diese Eintragung umfasst den Namen und das
Geburtsdatum, die Information, ob es sich um eine Neu-, Änderungs- oder Stornomeldung handelt, das
Meldedatum, die betroffene Versicherungssparte, den Meldefall in Form einer numerischen Codierung
und einen allfällig gesetzten Bestreitungsvermerk. Eine Abfrage aus dem Informationssystem ist
anlässlich der Prüfung eines Antrags auf Versicherungsabschluss und anlässlich der Prüfung eines
Leistungsfalls möglich. Ein zu einer versicherten oder zu versichernden Person bestehender Eintrag
kann, wie auch jeder sonstige Hinweis auf risikoerhöhende Besonderheiten, zur Folge haben, dass zur
abschließenden Prüfung des Antrags oder Leistungsfalls von der versicherten oder zu versichernden
Person zusätzliche Informationen eingeholt werden müssen. Es besteht die Möglichkeit, Auskunft über
die in dem Informationsverbund zur Person des Auskunftswerbers verarbeiteten Daten sowie im Fall
der Unrichtigkeit der verarbeiteten Daten deren Berichtigung oder Löschung zu verlangen oder der
Datenverarbeitung zu widersprechen. In diesen Fällen ersuchen wir um Kontaktaufnahme unter 0*73**1- *115.
4. Der Antrag auf Abschluss einer Lebensversicherung wurde durch die Beschwerdegegnerin mit Schreiben vom 7. Februar 2020 wie folgt abgelehnt, wobei auch ein ausdrücklicher Hinweis auf die Übermittlung der personenbezogenen Daten der Beschwerdeführerin an das ZIS enthalten war (Formatierung nicht 1:1 wiedergegeben):
Wien. am 07.02.2020
L***kasko-Versicherung Antrag Nummer: *84**36821
Sehr geehrte Frau Mag. A***,
wir danken Ihnen für das Vertrauen, das Sie uns entgegenbringen.
Ihren Antrag haben wir sorgfältig geprüft. Dabei hat sich leider ergeben. dass wir Ihnen den gewünschten Versicherungsschutz nicht bieten können und wir den Antrag daher ablehnen müssen,
In diesem Zusammenhang weisen wir Sie darauf hin, dass wir Ihren Namen, Ihr Geburtsdatum und den Umstand der Ablehnung dieses Antrags an das zentrale Informationssystem der Versicherungsunternehmen Österreichs übermittelt haben. Diese Einrichtung dient der wechselseitigen Information zwischen den teilnehmenden Versicherungsunternehmen zur Ermittlung nicht versicherbarer Risiken und zur Gewährleistung eines beitrags- und leistungsumfangangepassten Versicherungsschutzes in der Lebens- und Berufsunfähigkeitsversicherung.
Bei Fragen oder Anliegen hierzu wenden Sie sich bitte an unser Kunden-Service unter 0*73**1- *115 bzw. fragen***@y***.at.
Gerne stehen wir Ihnen für weitere Versicherungsfragen und -beratungen zur Verfügung.
Beweiswürdigung: Die getroffenen Feststellungen beruhen in erster Linie auf den verfahrenseinleitenden Eingaben der Beschwerdeführerin vom 31. März 2020 und vom 8. Mai 2020, im Zuge derer die erwähnten Dokumente in Kopie vorgelegt wurden. Dieses Vorbringen wurde durch die Beschwerdegegnerin in ihrer Stellungnahme vom 17. Juni 2020 vollinhaltlich bestätigt und erweist sich somit als unstrittig.
5. Nach Ablehnung des Antrags der Beschwerdeführerin erfolgte eine Übermittlung von Name, Geburtsdatum und des Umstands der Ablehnung des Antrags an den VVO sowie die Eintragung dieser Daten im ZIS. Der Umstand, dass die Beschwerdeführerin an Diabetes Typ 1 leidet, sowie die genauen Umstände, welche zur Ablehnung des Antrags führten, wurden dabei nicht vermerkt und sind für abfragende Unternehmen auch nicht ersichtlich. Auch erfolgte keine Weitergabe dieser Informationen durch die Beschwerdegegnerin an andere (Versicherungs-)unternehmen.
6. Beim ZIS handelt es sich um ein zentrales Informationssystem zum Zweck der wechselseitigen Information zwischen den teilnehmenden Versicherungsunternehmen, welches vom VVO betrieben wird. Die Eintragung umfasst dabei folgende Informationen: Name, Geburtsdatum, Art der Meldung, betroffene Versicherungssparte, Meldefall in Form einer numerischen Codierung und einen allfälligen Bestreitungsvermerk, wie auch aus der folgenden Darstellung im Rahmen der Meldung der Datenanwendung zum Datenverarbeitungsregister (DVR) vom 1. Juli 2016 ersichtlich ist:
Eine Abfrage des ZIS ist anlässlich der Prüfung eines Antrags auf Versicherungsabschluss bzw. anlässlich eines Leistungsfalls möglich.
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf dem glaubhaften Vorbringen der Beschwerdegegnerin vom 17. Juni 2020 und vom 23. Juli 2020, im Zuge dessen die oben abgebildete Meldung an das DVR vom 1. Juli 2016 (DAN-Nr. 00**359/00*) sowie die Registrierungsbestätigung der Datenschutzbehörde vom 13. Oktober 2016 in Kopie als Beilage ./C vorgelegt wurden. Dies wurde durch eine amtswegige Abfrage des DVR durch die Datenschutzbehörde am 18. November 2020 bestätigt. Auch die Beschwerdeführerin, welcher u.a. die Meldung an das DVR sowie die Registrierungsbestätigung der Datenschutzbehörde im Rahmen des Parteiengehörs übermittelt wurden, hat insbesondere den Umstand, dass es zu keiner Eintragung der Diabetes-Erkrankung der Beschwerdeführerin in das ZIS gekommen ist, in ihrer Stellungnahme vom 10. September 2020 (ha. eingelangt am 14. September 2020) nicht bestritten. Die Feststellung, dass es zu keiner tatsächlichen Weitergabe der gesundheitsbezogenen Daten der Beschwerdeführerin an andere (Versicherungs-)unternehmen gekommen ist, erweist sich insofern als glaubhaft, als dass sich das diesbezüglich Vorbringen der Beschwerdeführerin, andere Versicherungsunternehmen könnten bei näherer Prüfung möglicherweise an ihre gesundheitsbezogene Daten gelangen, als reine Mutmaßung darstellte und sich auch ansonsten für die Datenschutzbehörde keine diesbezüglichen Anhaltspunkte ergaben.
7. Mit Schreiben vom 21. Februar 2020 richtete die Beschwerdeführerin folgendes Schreiben an die Beschwerdegegnerin (Formatierung nicht 1:1 wiedergegeben):
Wien am 21.2.2020
Betrifft: L***kasko-Versicherung
Antrag nr: *84**36821
Sehr geehrte Damen und Herren, ich verlange eine sofortige Streichung meiner Daten aus dem zentralen Informationssystem.
Mit freundlichen Grüßen
Lea A***
8. Mit Schreiben vom 26. Februar 2020 beantwortete die Beschwerdegegnerin das Schreiben der Beschwerdeführerin wie folgt (Formatierung nicht 1:1 wiedergegeben):
> Sehr geehrte Frau A***,
> Ihr Schreiben vom 21.2.2020 wurde an meine Abteilung weitergeleitet,
> Wie sich bereits aus unserer Datenschutzerklärung ergibt, wird beim Verband der
Versicherungsunternehmen Österreichs (VVO), Schwarzenbergplatz 7, 1030 Wien, von der
Versicherungswirtschaft im Bereich der Kranken-, Unfall- und Lebensversicherung ein zentrales
Informationssystem (ZIS) zum Zweck der koordinierten wechselseitigen Information zwischen den
teilnehmenden Versicherungsunternehmen zu Ermittlung nicht versicherbarer Risiken und zur
Gewährleistung eines beitrags- und leistungsumfangangepassten Versicherungsschutzes betrieben.
Der VVO agiert als Auftragsverarbeiter, die teilnehmenden Versicherungsunternehmen als
gemeinschaftlich zur Verarbeitung Verantwortliche.
> Dieses System wird von uns - der Y*** Versicherung AG - in der Sparte der Lebensversicherung genutzt. Zur Wahrung der berechtigten Interessen (Art 6 Abs 1 lit f DSGVO) der Versichertengemeinschaft und der teilnehmenden Versicherungen dient das System dem Erkennen, Überwachen, und Managen der von den teilnehmenden Versicherungen eingegangenen Versicherungsrisiken. Unter bestimmten Voraussetzungen können ab Unterfertigung des Versicherungsantrags (auch bei nachträglicher Antragsrückziehung) Daten der zu versichernden bzw. versicherten Person in dieses Informationssystem für längstens sieben Jahre eingetragen werden. Es handelt sich hierbei um Fälle der dauerhaften oder vorübergehenden Ablehnung des Versicherungsantrags, der potentiellen Annahme unter erschwerten Bedingungen und der vorzeitigen Vertragsbedingung aufgrund einer Verletzung der Anzeigepflicht. Die Eintragung
umfasst den Namen und das Geburtsdatum, die Information ob es sich um eine Neu-, Änderungs- 
oder Stornomeldung handelt, das Meldedatum, die betroffene Versicherungssparte, den Meldefall in Form einer numerischen Codierung und einen allfällig gesetzten Bestreitungsvermerk. Eine Abfrage aus dem Informationssystem ist anlässlich der Prüfung eines Antrags auf Versicherungsabschluss und anlässlich der Prüfung eines Antrags auf Versicherungsabschluss und anlässlich der Prüfung eines Leistungsfalls möglich.
>
> Bitte beachten Sie, dass die Einmeldung in das als auch die Abfrage aus dem ZIS mit der österreichischen Datenschutzbehörde abgestimmt wurde und von dieser als rechtmäßig eingestuft wurde.
>
> Der Ordnung halber dürfen wir anmerken, dass nicht die Art der Krankheit an das ZIS gemeldet wird, sondern lediglich der Umstand, dass Ihr Antrag bei uns abgelehnt wurde. Die Gründe, weshalb der Antrag abgelehnt wurde, sind im ZIS daher nicht ersichtlich. In Ihrem Fall haben wir daher lediglich eingemeldet, dass Ihr Antrag abgelehnt wurde.
26.02.2020
>
> Wir bedauern. dass wir Ihrem Löschersuchen vom 21.2.2020 daher nicht nachkommen können. Nach Ablauf von sieben Jahren wird der Eintrag jedenfalls automatisch gelöscht. Eine Löschung bzw. Berichtigung der Einmeldung ist ansonsten nur in jenen Fällen möglich, wenn die verarbeiteten Daten unrichtig sind.
>
> Für Rückfragen stehen wir Ihnen gerne zur Verfügung.
>
> Freundliche Grüße
9. Am 30. März 2020 erhob die Beschwerdeführerin durch ihren rechtsfreundlichen Vertreter die gegenständliche Beschwerde und richtete am selben Tag folgendes Schreiben an die Beschwerdegegnerin (Formatierung nicht 1:1 wiedergegeben).
Sehr geehrte Damen und Herren!
Zunächst erlaube ich mir anzuzeigen, dass ich mit der rechtsfreundlichen Vertretung von Frau Mag. Lea A*** betraut wurde.
Meine Mandantin hat am 20.12.2019 bei Ihnen einen Antrag auf Abschluss einer
L***kasko-Versicherung gestellt.
Am 07.02.2020 haben Sie den Antrag ohne Begründung abgelehnt.
In diesem Zusammenhang haben Sie jedoch den Namen und das Geburtsdatum
meiner Mandantin sowie den Umstand der Ablehnung des Antrags an das Zentrale
Informationssystem übermittelt.
Meine Mandantin leidet an Diabetes Typ 1. Nur aufgrund des Diabetes wurde offensichtlich der Antrag der Lebensversicherung abgelehnt. Damit wurde meine Mandantin jedoch dem Gleichheitsgrundsatz zuwider als Diabetikerin diskriminiert und benachteiligt.
Am 21.02.2020 hat meine Mandantin die erteilte Einwilligung zur Verarbeitung ihrer
Daten widerrufen und eine Löschung der Daten im zentralen Informationssystem
verlangt.
Mit Schreiben vom 26.02.2010 haben Sie jedoch den Widerruf der weiteren
Verarbeitung und die Löschung der meine Mandantin betreffenden
personenbezogenen Daten abgelehnt.
Gemäß DSGVO widerspricht meine Mandantin ausdrücklich der weiteren
Verarbeitung ihrer persönlichen Daten. Die Weiterverarbeitung der Daten ist nicht
gestattet.
Gemäß Art 17 DSGVO sind Sie als Verantwortliche verpflichtet unzulässig verarbeitete Daten zu löschen, wenn ein Betroffener dies beantragt. Da im vorliegenden Fall das schutzwürdige Interesse meiner Mandantin das Interesse Ihres Hauses an der Verarbeitung der Daten übersteigt, ist die Datenverarbeitung ist unzulässig.
Ich habe Sie daher aufzufordern
bis längstens 14.04.2020
den Widerspruch zu bestätigen und eine ausreichende Unterlassungserklärung abzugeben, dass die Daten nicht mehr verarbeitet werden und im Zentralen Informationssystem des Verbandes der Versicherungsunternehmen Österreichs gelöscht werden sowie die Kosten meines Einschreitens in Höhe von bislang pauschal EUR 180,00 (darin enthalten EUR 30,00 an 20% USt) zu meinen Handan auf mein Konto IBAN AT*7 2011 1*86 14*5 8**3 bei der *** Bank GmbH zur Überweisung zu bringen.
Ihrer zweckentsprechenden Veranlassung entgegensehend verbleibe ich
Mit freundlichen Grüßen
10. Mit Schreiben vom 7. April 2020 teilte die Beschwerdegegnerin der Beschwerdeführerin mit, dass sie „aus Effizienzerwägungen“ die Löschung der Einmeldung der personenbezogenen Daten der Beschwerdeführerin (konkret: Name, Geburtsdatum sowie der Umstand, dass ihr Antrag abgelehnt wurde) aus dem ZIS mit 1. April 2020 verfügt hat.
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf den Eingaben der Beschwerdeführerin vom 31. März 2020 und vom 6. Mai 2020, im Zuge derer der oben abgebildete Schriftverkehr in Kopie vorgelegt wurde. Dies wurde durch die Beschwerdegegnerin im Rahmen ihrer Stellungnahme bestätigt.
11. Die Beschwerdegegnerin hat die Daten der Beschwerdeführerin während des gegenständlichen Beschwerdeverfahrens mit 1. April 2020 aus dem ZIS gelöscht, wie auch folgender Screenshot vom 15. Juni 2020 zeigt (Formatierung nicht 1:1 wiedergegeben).
[Anmerkung Bearbeiter: An dieser Stelle ist im Original ein Screenshot einer ZIS-Abfrage beim Versicherungsverband Österreich über die Beschwerdeführerin wiedergegeben. Sie enthält den Vornamen, den Nachnamen und das Geburtsdatum der Beschwerdeführerin sowie die Prozesskennung „L“. Das Suchergebnis lautet: keine Ergebnisse.]
Beweiswürdigung: Die getroffenen Feststellungen beruhen den zitierten und insoweit unstrittigen Dokumenten.
12. Die Datenschutzhinweise auf der Website der Beschwerdegegnerin stellen sich auszugsweise wie folgt dar:
Sonderfall Zentrales Informationssystem (ZIS)
Beim Verband der Versicherungsunternehmen Österreichs (VVO), Schwarzenbergplatz 7,
1030 Wien, wird von der Versicherungswirtschaft im Bereich der Kranken-, Unfall- und Lebensversicherung ein zentrales Informationssystem zum Zweck der koordinierten wechselseitigen Information zwischen den teilnehmenden Versicherungsunternehmen zur Ermittlung nicht versicherbarer Risiken und zur Gewährleistung eines beitrags- und leistungsumfangangepassten Versicherungsschutzes betrieben. Der VVO agiert als Auftragsverarbeiter, die teilnehmenden Versicherungsunternehmen als gemeinschaftlich zur Verarbeitung Verantwortliche.
Dieses System wird von uns in der Sparte der Lebensversicherung genutzt. Zur Wahrung der berechtigten Interessen (Art 6 Abs 1 lit f DSGVO) der Versichertengemeinschaft und der teilnehmenden Versicherungen dient das System dem Erkennen, Überwachen und Managen der von den teilnehmenden Versicherungen eingegangenen Versicherungsrisiken. Unter bestimmten Voraussetzungen können ab Unterfertigung des Versicherungsantrags (auch bei nachträglicher Antragsrückziehung) Daten der zu versichernden bzw. versicherten Person in dieses Informationssystem für längstens sieben Jahre eingetragen werden. Es handelt sich hierbei um Fälle der dauerhaften oder vorübergehenden Ablehnung 
des Versicherungsantrags, der potentiellen Annahme des Antrags unter erschwerten Bedingungen und der vorzeitigen Vertragsbeendigung aufgrund einer Verletzung der Anzeigepflicht. Eine Eintragung umfasst den Namen und das Geburtsdatum, die Information ob es sich um eine Neu-, Änderungs- oder Stornomeldung handelt, das Meldedatum, die betroffene Versicherungssparte, den Meldefall in Form einer numerischen Codierung und einen allfällig gesetzten Bestreitungsvermerk. Eine Abfrage aus dem Informationssystem ist anlässlich der Prüfung eines Antrags auf Versicherungsabschluss und anlässlich der Prüfung eines Leistungsfalls möglich.
Ein zu einer versicherten oder zu versichernden Person bestehender Eintrag kann, wie auch jeder sonstige Hinweis auf risikoerhöhende Besonderheiten, zur Folge haben, dass zur abschließenden Prüfung des Antrags oder Leistungsfalls 
von der versicherten oder zu versichernden Person zusätzliche Informationen eingeholt werden müssen.
Es besteht die Möglichkeit, Auskunft über die in dem Informationsverbund zur Person des Auskunftswerbers verarbeiteten Daten sowie im Fall der Unrichtigkeit der verarbeiteten Daten deren Berichtigung oder Löschung zu verlangen oder der Datenverarbeitung zu widersprechen. In diesen Fällen ersuchen wir um Kontaktaufnahme unter 0*73**1- *115 oder datenschutz@y***at.
Die zur Person des Versicherten oder zu Versichernden im System gespeicherten Daten sind zur
Erfüllung des 
Versicherungsvertrags erforderlich. Werden diese nicht bereitgestellt, so kann das
Versicherungsverhältnis nicht begründet werden.
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf einer amtswegigen Abfrage der Website der Beschwerdegegnerin unter https://www.y***.at („Datenschutzinformation Y*** Versicherungs AG“) am 17. November 2020.
D. In rechtlicher Hinsicht folgt daraus:
D.1. Allgemeines und anwendbare Rechtsvorschriften
Laut Art. 4 Z 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gesundheitsdaten bezeichnen dabei gemäß Art. 4 Z 15 leg. cit. jene Daten, aus denen Informationen über den Gesundheitszustand hervorgehen.
Verantwortlicher einer Datenverarbeitung ist jene Person oder Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Z 7 DSGVO). Auftragsverarbeiter ist hingegen jene Person oder Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Z 8 leg. cit.).
Die Verarbeitung von personenbezogenen Daten ist nur dann rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist:
Dies ist etwa dann der Fall, wenn die Verarbeitung gemäß lit. c leg. cit zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist. Daneben ist eine Verarbeitung personenbezogener Daten dann gerechtfertigt, wenn sie gemäß lit. f leg. cit. zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Die Verarbeitung von Gesundheitsdaten ist grundsätzlich untersagt, sofern nicht ein in Art. 9 Abs. 2 DSGVO genannter Ausnahmetatbestand (bspw. die ausdrückliche Einwilligung der betroffenen Person) vorliegt.
Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogene Daten zu verlangen, sofern einer der der in lit. a bis lit. f leg. cit. genannten Gründe zutrifft. Dies etwa, wenn die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die betroffene Person ihre Einwilligung widerruft. Dies gilt auch, wenn die betroffene Person Widerspruch gemäß Art. 21 leg cit. einlegt.
Der Verantwortliche stellt der betroffenen Person gemäß Art. 12 Abs. 3 DSGVO Informationen über die auf Antrag gemäß Art. 17 leg. cit. ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, zur Verfügung.
Gemäß § 24 Abs. 6 DSG kann ein Beschwerdegegner bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht.
Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung laut Abs. 2 leg. cit nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Gemäß § 110 Abs. 1 VAG 2016 haben Versicherungs- und Rückversicherungsunternehmen ein wirksames Risikomanagement-System einzurichten, das alle erforderlichen Strategien, Prozesse und Meldeverfahren umfasst, die erforderlich sind, um die eingegangenen und potenziellen Risiken jeweils auf einzelner und aggregierter Basis und die wechselseitigen Abhängigkeiten zwischen diesen Risiken zu erkennen, zu messen, zu überwachen, zu managen und darüber zu berichten.
Gemäß § 11a Abs. 1 VersVG darf ein Versicherer im Zusammenhang mit Versicherungsverhältnissen, bei welchen der Gesundheitszustand des Versicherten oder eines Geschädigten erheblich ist, personenbezogene Gesundheitsdaten verarbeiten, soweit dies bspw. zur Beurteilung, ob und zu welchen Bedingungen ein Versicherungsvertrag abgeschlossen wird, unerlässlich ist.
D.2. In der Sache
D.2.a. Zur behaupteten Verletzung im Recht auf Löschung
Wie den Feststellungen zu entnehmen ist, erfolgte die tatsächliche Löschung der personenbezogenen Daten der Beschwerdeführerin aus dem ZIS mit 1. April 2020, sohin nach Beschwerdeerhebung durch die Beschwerdeführerin am 30. März 2020. Diese moniert nun, die behauptete Verletzung im Recht Löschung bestehe weiter fort, insbesondere, da die Beschwerdegegnerin weiterhin auf ihrer Rechtsansicht „beharre“ und die Löschung nur aus Effizienzgründen vorgenommen habe. Ungeachtet dessen, habe die behauptete Rechtsverletzung jedenfalls bis zum Zeitpunkt der tatsächlichen Löschung bestanden.
Aus Art. 77 DSGVO (iVm § 24 DSG) ist das Recht ableitbar, Beschwerde an eine Aufsichtsbehörde zu erheben. Es besteht zwar ein subjektives Recht auf Löschung (innerhalb des rechtlichen Rahmens), ein subjektives Recht auf Feststellung, dass die Löschung zu spät gewährt worden ist, kann dieser Bestimmung jedoch nicht entnommen werden (vgl. dazu zur insoweit vergleichbaren Rechtslage nach dem DSG 2000 das Erkenntnis des Verwaltungsgerichtshofes vom 27. September 2007, Zl. 2006/06/0330, mwN, sowie den Bescheid der Datenschutzbehörde vom 26. November 2018, GZ: DSB-D123.223/0007-DSB/2018). Ein Beschwerdegegner kann gemäß § 24 Abs. 6 DSG bis zum Abschluss des Verfahrens vor der Datenschutzbehörde die behauptete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdeführers entspricht. Das Verfahren wird eingestellt, wenn der Beschwerdeführer klaglos gestellt ist. Diese Regelung (die schon in § 31 Abs. 8 DSG 2000 enthalten war) verneint ebenfalls einen Anspruch auf Feststellung, dass durch eine zu späte Erfüllung eines Anspruchs Rechte verletzt wurden.
Die Datenschutzbehörde geht somit in ihrer Rechtsprechung davon aus, dass bei Rechtsverletzungen im Zusammenhang mit dem Recht auf Löschung, diese bis zum Ende des Verfahrens erster Instanz weiterhin bestehen muss (vgl. bspw den Bescheid der Datenschutzbehörde vom 5. Februar 2019, GZ: DSB-D123.495/0007-DSB/2018). Wird die behauptete Rechtsverletzung zwar nachträglich beseitigt, die ursprüngliche Beschwerde jedoch - wie gegenständlich - aufrechterhalten, so ist die Beschwerde mangels Beschwer abzuweisen.
Vor diesem Hintergrund erweist sich auch das Vorbringen der Beschwerdeführerin, die Rechtsverletzung bestehe überdies aufgrund des Umstandes, dass die tatsächliche Löschung nur aus Effizienzgründen vorgenommen worden sei, als unbegründet, weil es lediglich darauf ankommt, dass die Löschung durchgeführt und die Beschwerdeführerin damit klaglos gestellt wurde; auf die Motivation der Beschwerdegegnerin, weshalb die – unbestrittene – Löschung vorgenommen wurde, kommt es hingegen nicht an.
Es war daher- soweit es eine behauptete Verletzung im Recht auf Löschung betrifft – spruchgemäß zu entscheiden.
D.2.b. Zur behaupteten Verletzung im Recht auf Geheimhaltung
Eingangs wird festgehalten, dass es sich bei der Beschwerdegegnerin – wie von dieser auch selbst vorgebracht – um die für die gegenständliche Datenverarbeitung Verantwortliche handelt, da sie über die Einmeldung der Daten der Beschwerdeführerin in das ZIS und somit über die Zwecke und Mittel im Sinne von Art. 4 Z 7 DSGVO entscheidet. Der Verband der Versicherungsunternehmen Österreichs fungiert in diesem Zusammenhang hingegen als Auftragsverarbeiter im Sinne von Art. 4 Z 8 leg. cit. Dies ergibt sich auf aus der oben zitierten Registrierungsmeldung an das DVR, in welcher die Beschwerdegegnerin als Verantwortliche (bzw. nach damaliger Diktion „Auftraggeberin“) aufscheint. Im Übrigen wurde die Verantwortlicheneigenschaft von keiner Verfahrenspartei bestritten bzw. in Frage gestellt.
Keine Weitergabe gesundheitsbezogener Daten an Dritte
Bei den im ZIS eingetragenen Daten der Beschwerdeführerin handelt es sich unbestrittenermaßen um personenbezogene Daten, an denen grundsätzlich auch ein schutzwürdiges Geheimhaltungsinteresse im Sinne des § 1 Abs. 1 DSG besteht. Auch ist der Umstand, dass die Beschwerdeführerin an einer Diabeteserkrankung leidet, unzweifelhaft als Gesundheitsdatum gemäß Art. 9 Abs. 1 DSGVO zu qualifizieren. Diese Informationen wurden durch die Beschwerdegegnerin im Rahmen der Prüfung des Antrags auch im Sinne des § 11a Abs. 1 VersVG verarbeitet.
Den Feststellungen ist allerdings auch zu entnehmen, dass diese Informationen (sprich die Erkrankung) bei der Einmeldung in das ZIS gerade nicht bekannt gegeben wurden, sondern lediglich der Umstand, dass der Antrag auf Abschluss eines Versicherungsvertrages abgelehnt wurde, in Form einer numerischen Codierung vermerkt wird. Auch aus dieser Codierung lassen sich keine Informationen über den Gesundheitszustand ableiten, da eine Ablehnung des Antrags auch aus anderen Gründen denkbar wäre.
Zudem erfolgte keine Offenlegung der gesundheitsbezogenen Daten gegenüber Dritten: Die Beschwerdeführerin bringt vor, dass andere Versicherungsunternehmen bei einer näheren Prüfung der Hintergründe der Einmeldung in das ZIS an die Gesundheitsdaten der Beschwerdeführerin gelangen könnten. Dass die Daten jedoch tatsächlich weitergegeben wurden, wurde von der Beschwerdeführerin weder behauptet, noch konnte dies durch die Datenschutzbehörde festgestellt werden. Eine Verletzung des Grundrechts auf Geheimhaltung kann jedoch stets nur aus einer ex-post Betrachtung festgestellt werden. Das bedeutet, dass einer Beschwerde betreffend Verletzungen, die sich noch nicht manifestiert haben oder die sich bloß möglicherweise zutragen könnten, mangels Beschwer der Erfolg versagt ist (vgl. den Bescheid der DSB vom 13. September 2018, GZ: DSB-D123.070/0005-DSB/2018).
In einem ersten Schritt ist daher festzuhalten, dass gegenständlich keine Weitergabe von Gesundheitsdaten an Dritte erfolgte, womit im Ergebnis auf die besonderen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO nicht weiter einzugehen war.
Rechtmäßigkeit der Datenverarbeitung im Rahmen des ZIS
Eingangs ist festzuhalten, dass im gegenständlichen Fall eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG zu überprüfen ist und sich Beschränkungen dieses Anspruchs aus Abs. 2 leg. cit., allerdings nicht aus Art. 6 Abs. 1 DSGVO ergeben. Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ: DSB-D123.076/0003-DSB/2018).
Die Verarbeitung der personenbezogenen Daten der Beschwerdeführerin erfolgte weder in deren lebenswichtigen Interesse, noch beruft sich die Beschwerdegegnerin in diesem Zusammenhang auf eine Zustimmung (in der Terminologie der DSGVO: Einwilligung). Wie den Feststellungen zu entnehmen ist, bezieht sich die datenschutzrechtliche Einwilligung im Wesentlichen auf Marketingmaßnahmen- und Kundenzufriedenheitsumfragen. Es war daher auch nicht weiter auf das Vorbringen, die Beschwerdeführerin habe ihre erteilte Einwilligung am 21. Februar 2020 widerrufen, einzugehen.
Die Beschwerdegegnerin bringt vor, sie sei gemäß § 110 Abs. 1 VAG 2016 zur Einrichtung eines Risikomanagements verpflichtet. Ungeachtet dessen, dass es sich bei dieser Bestimmung um keine qualifizierte bzw. ausreichend determinierte Rechtsgrundlage für die gegenständliche Datenverarbeitung im Sinne von § 1 Abs. 2 erster Satz DSG und Art. 6 Abs. 1 lit. e DSGVO handelt, beruft sich die Beschwerdegegnerin ohnedies sowohl in ihren Datenschutzhinweisen, als auch im gegenständlichen Beschwerdeverfahren, auf die Wahrung überwiegender berechtigter Interessen anderer (§ 1 Abs. 2 DSG und Art. 6 Abs. 1 lit. f DSGVO), weshalb in Folge eine Interessensabwägung vorzunehmen ist:
Zum einen muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, zum anderen dürfen Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen (vgl. zu Art. 7 lit. f der Richtlinie 95/46/EG das Urteil des EuGH vom 24. November 2011, C-468/10 und C-469/10 [ASNEF und FECEMD] Rz. 38).
Die Beschwerdegegnerin führt dazu aus, das ZIS und die damit zusammenhängende Offenlegung der personenbezogenen Daten der Beschwerdeführerin gegenüber anderen Versicherungsunternehmen dienen der wechselseitigen Information der Versicherungsunternehmen sowie der Gewährleistung eines beitrags- und leistungsumfangan
