Datenschutz im Versicherungswesen (2)
Teil zwei unserer Reihe zu Datenschutz im Versicherungswesen. Heute geht es um die Frage ob eine Einwilligung der versicherten Personen gebraucht wird, wenn zwei Versicherungsunternehmen ein Produkt zusammen anbieten.
Die Beteiligten:
Eine Versicherung (V1) vertreibt als Versicherungsvermittler ein Versicherungspaket für eine andere Versicherung (V2). Ohne den Austausch personenbezogener Daten der Versicherungsnehmer kann weder V1 noch V2 das Versicherungspaket anbieten.
Die Fragestellung:
V1 und V2 tauschen zum Zweck des Vertriebs und der Durchführung des Versicherungspakets Daten von Versicherungsnehmern aus. Ist dafür eine Einwilligung der Versicherungsnehmer nach Art. 6 Abs. 1 lit a) in Verbindung mit Art. 7 DSGVO nötig?
Datenschutzrechtliche Einordnung:
Es handelt sich um eine Übermittlung personenbezogener Daten zwischen V1 und V2, die von der Datenschutz-Grundverordnung (DSGVO) erlaubt sein muss.
Die Übermittlung von Daten ist auch nach der DSGVO zulässig, sofern die DSGVO sie erlaubt. Sofern das nicht der Fall ist, ist eine Übermittlung von personenbezogenen Daten nur mit der Einwilligung der betroffenen Person zulässig. In Art. 6 Abs. 1 DSGVO heißt es im ersten Halbsatz:
„Die Verarbeitung <personenbezogener Daten> ist nur zulässig, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist“.
Die dann aufgeführten Bedingungen für eine erlaubte Übermittlung von personenbezogenen Daten sind u.a.
- Die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit a DSGVO);
- Die Verarbeitung ist erforderlich für eine Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO);
- Die Verarbeitung ist erforderlich für die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit c DSGVO);
- Die Verarbeitung liegt im berechtigten Interesse des Verantwortlichen und es liegen keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person vor (Art. 6 Abs. 1 lit f DSGVO).
Art. 6 Abs. 1 lit b) DSGVO
Als Erlaubnis für den Datenaustausch zwischen V2 und V1 kommt vorrangig Art. 6 Abs. 1 lit b) DSGVO in Betracht. Danach muss die Datenverarbeitung erforderlich sein für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist.
Die Versicherungsnehmer, die ein Versicherungspaket abschließen, sind Vertragspartei und sie sind betroffene Personen im Sinne der Vorschrift. Der Versicherungsvertrag kann nur mittels der Zusammenarbeit und mittels des Datenaustausches zwischen V1 und V2 erfüllt werden.
Daher liegt für den Datenaustausch eine gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.
Art. 6 Abs. 1 lit f) DSGVO
Die Vorschrift des Art. 6 Abs. 1 lit f) DSGVO käme ebenfalls als gesetzliche Erlaubnis für den Datenaustausch zwischen V1 und V2 in Frage. Im Sinne dieser Vorschrift ist als „berechtigtes Interesse“ eines Verantwortlichen jedes wirtschaftlich legitime Interesse akzeptiert. Ein berechtigtes Interesse der Weitergabe der Daten liegt daher seitens V1 als auch seitens V2 vor. Entgegenstehende schutzwürdige Interessen der Versicherungsnehmer sind hier nicht zu erkennen. Sie profitieren von einem Angebot, das zwei Unternehmen gemeinsam erbringen, und von den damit verbundenen Serviceleistungen. Daher liegt für den Datenaustausch auch diese gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.
Verhaltensregeln Versicherungswirtschaft
Dieses Ergebnis wird durch Art. 16 der „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.208) gestützt. Dort heißt es in Art. 16 Absatz 2:
„Ein Datenaustausch mit anderen Versicherern … erfolgt darüber hinaus, soweit dies zur Antrags- und Leistungsprüfung und -erbringung, einschließlich der Regulierung von Schäden bei gemeinsamer, mehrfacher oder kombinierter Absicherung von Risiken, des gesetzlichen Übergangs einer Forderung gegen eine andere Person oder zur Regulierung von Schäden zwischen mehreren Versicherern über bestehende Teilungs- und Regressverzichtsabkommen erforderlich ist und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person dem entgegensteht“.
Hier wird ganz offensichtlich ebenfalls davon ausgegangen, dass ein Datenaustausch zwischen Versicherern in den bezeichneten Fällen ohne Einwilligung der Versicherungsnehmer zulässig ist.
Einwilligung
Trotz des Vorliegens einer gesetzlichen Erlaubnis für den Datenaustausch könnten V1 und/oder V2 zusätzlich oder alternativ eine Einwilligung der betroffenen Person einholen. Art. 6 Abs. 1 DSGVO nennt ausdrücklich die Erfüllung „mindestens“ einer der genannten Erlaubnistatbestände, und die Einwilligung ist an erster Stelle genannt.
Nach Art. 7 Abs. 4 DSGVO muss eine Einwilligung in eine Datenverarbeitung freiwillig erfolgen.
V2 sah für die Einwilligungserklärung einen Text vor, der wie folgt lautete:
Mit meiner/unserer Unterschrift willige/n ich/wir ein, dass gemäß der links abgedruckte Einwilligungserklärung die Versicherer der V2-Versicherungsgruppe und die Unternehmen der V1-Versicherungsgruppe meine allgemeinen Antrags-, Vertrags- und Leistungsdaten jeweils in gemeinsamen Datensammlungen führen. WICHTIGER HINWEIS: Diese Einwilligung ist freiwillig und ich/wir kann/können sie jederzeit mit Wirkung für die Zukunft widerrufen. Es wird jedoch darauf hingewiesen, dass dann die Erfüllung der Vertragspflichten seitens der Versicherer im Leistung- bzw. Schadenfall in der Regel nicht möglich sein wird.
Hier wird trotz der Behauptung des Gegenteils die Einwilligung von der Erfüllung des Vertrages abhängig gemacht, die damit nicht mehr freiwillig ist: keine Einwilligung, keine Vertragserfüllung seitens des Versicherers. Die betroffene Person hat keine Wahl. Diese Einwilligung ist mangels Freiwilligkeit unzulässig und unwirksam. Sie ist auch entbehrlich, da es wie oben beschrieben, gesetzliche Erlaubnistatbestände für den Austausch zwischen Versicherung und Versicherungsvermittler gibt, und auf die sollte zurückgegriffen werden.