Datenschutz im Versicherungswesen (1)
Wir wollen hier in loser Reihenfolge Fragen zum Thema Datenschutz im Versicherungswesen thematisieren, mit denen wir uns in unserer Beratungspraxis befassen. Im ersten Beitrag geht es heute um die Frage des Widerspruchs bei einem Wechsel des Versicherungsmaklers.
Die Beteiligten:
Ein Unternehmen (U), das eine Zusatzkrankenversicherung für seine Mitarbeiter abgeschlossen hat.
Eine Versicherungsgesellschaft (V), bei der die Verträge laufen.
Ein Versicherungsmakler (M), der die Verträge betreut.
Ein zweiter Versicherungsmakler (M2), der den Vertrag von M übernimmt.
Das Problem:
U kündigt den Maklervertrag mit M und übergibt ihn an M2. M2 tritt an V heran und bittet um Übermittlung der Daten der versicherten Personen. V verweigert die Herausgabe und verlangt von M2 eine schriftliche Bestätigung, dass U seine versicherten Mitarbeiter über den Maklerwechsel informiert und keiner dem Wechsel widersprochen hat. Ansonsten könne man aus datenschutzrechtlichen Gründen den Vertrag nicht auf M2 übertragen. M2 ist der Meinung, dass V ihm die Daten auch ohne diese Bestätigung übertragen könne. Das werde an allen anderen Stellen auch so gemacht.
Datenschutzrechtliche Einordnung:
Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.2018) konkretisieren die gesetzlichen Datenschutzvorschriften im Hinblick auf eine einheitliche und von den Aufsichtsbehörden akzeptierte, branchenspezifische Auslegung. Zusätzliche Einwilligungen sollen durch die Anwendung der Verhaltensregeln möglichst vermieden werden. Sie kann auch für die DSGVO als Auslegungshilfe herangezogen werden.
In den Verhaltensregeln heißt es in Art. 20 Abs. 2 „Datenübermittlung an selbständige Vermittler“:
… im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten … möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherers und ihr Widerspruchsrecht. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt.
Nach Art. 20 Abs. 4 Satz 2 gilt diese Vorgabe auch für einen Wechsel des Versicherungsmaklers.
Damit ist eine Übertragung der Daten der versicherten Personen von M auf M2 datenschutzrechtlich unter der Voraussetzung zulässig, dass die versicherten Personen im Vorhinein über den Wechsel informiert werden und ein Widerspruchsrecht erhalten. Zuständig für die Information und den Hinweis auf das Widerspruchsrecht ist das Unternehmen, das die Übertragung veranlasst, hier also U. Diese Pflicht korrespondiert mit der Rolle des Unternehmens als Verantwortlicher im datenschutzrechtlichen Sinn.
M2 stellt sich vor diesem Hintergrund auf den Standpunkt, dass V die Daten der versicherten Person auch ohne Nachweis der Information und eines möglichen Widerspruchs an ihn übermitteln könne. Wenn der Versicherungsnehmer seinen Verpflichtungen gegenüber den versicherten Personen, seinen Mitarbeitern, nicht nachgekommen sei, liege das in der Verantwortung von U und nicht von V.
Datenschutzrechtliche Verantwortlichkeit
Dies mag erst mal zutreffend sein, jedoch ist zu berücksichtigen, dass V verantwortlich ist für die Zulässigkeit der Übermittlung der Daten an M2. M2 verbindet mit V kein Vertragsverhältnis, das eine Datenübermittlung zum Zwecke der Vertragserfüllung rechtfertigen könnte. Hinzukommt, dass V die Anweisung, die Daten zu übertragen, ausschließlich M2 erhalten hat – nicht von seinem Vertragspartner U, und auch nicht von seinem früheren Vertragspartner, M. Gleichzeitig ist V aber datenschutzrechtlich verantwortlich und, da es sich um Krankenversicherungsdaten handelt, im Falle der Unzulässigkeit der Übermittlung möglicherweise auch im Bereich der Strafbarkeit nach § 203 StGB.
Insofern leuchtet die Forderung des V ein, eine Bestätigung darüber zu erhalten, dass eine Information der versicherten Personen über den Maklerwechsel vorliegt und niemand widersprochen hat – im Falle eines Widerspruchs dürften die entsprechenden Daten ja dann auch nicht an M2 übermittelt werden.
Das Praxisproblem:
Die Verträge des M2 enthalten eine Klausel, dass im Falle des Maklerwechsels das auftraggebende Unternehmen – hier also U – die Zulässigkeit der Datenübermittlung an den neuen Makler zusichert. Die Aufnahme dieser Klausel geschah, um genau solche Probleme zu vermeiden und die Verträge auf datenschutzkonforme Füße zu stellen. Diese Klausel wurde jedoch von U gestrichen. Es gab einen Maklervertrag, jedoch ohne die Zusicherung der datenschutzrechtlichen Zulässigkeit der Datenübertragung an M2. Insofern sah der M2 geringe Aussichten, nun die entsprechende Bestätigung von U zu erhalten und sah sich auch nicht in der Verantwortung dafür. V wiederum betrachtete es als „klassische Serviceaufgabe eines Maklers“, sich genau mit solchen Fragen zu beschäftigen und diese zu lösen. Pikant am Rande war, dass die Übermittlung der Daten an M2 durch V bereits erfolgt war, als V dann einfiel, diesen Punkt zu problematisieren. Das Ganze war also ein wenig der Streit um des Kaisers Bart.
Die Empfehlung der Datenschutzbeauftragten:
Die Empfehlung richtet sich vorwiegend an V: die Angst vor möglichen negativen Folgen einer Datenübermittlung ist ein schlechter Ratgeber. Ebenso ist es unvorteilhaft, den Kopf in den Sand zu stecken und zu versuchen, die als lästig empfundenen Folgen auf andere Beteiligte abwälzen zu wollen. Eine systematische Analyse der Prozesse hingegen schafft das Wissen, unter welchen Voraussetzungen Sie Daten übermitteln dürfen. Schaffen Sie die formalen Voraussetzungen für die Übermittlung von Daten für alle wichtigen Bereiche. Wäre das geschehen, hätte von Beginn an eine Bestätigung vorgelegen, dass kein Versicherter widersprochen hat (oder man hätte gewusst, wer widersprochen hat und die zu übermittelnden Daten wären entsprechend aufbereitet worden). Mit entsprechender Vorbereitung müssen solche Fragen nicht erst dann geklärt werden, wenn Verträge schon geschlossen sind, die Beteiligten mit den Füßen scharren und schnell handeln wollen. Die Zeit, die Sie in Fällen wie dem oben geschilderten mit schwierigen Diskussionen verbringen, ist für eine grundlegende Regelung der datenschutzrechtlichen Anforderungen besser investiert.