Die Aufsichtsbehörde empfahl daher dass nur das oben genannte Grundmodell der Warndatei verwirklicht werden

Andererseits besteht das Problem, dass verzögerte Einlösungen möglicherweise darauf beruhen können, dass zunächst Einwendungen gegen das Grundgeschäft getätigt wurden (mangelhafte oder unvollständige Ware), die sofort durch das Unternehmen behoben wurden (z.B. durch Umtausch), sodass der Kunde den Widerspruch gegen die Lastschrift zurückzieht. Wenn das Handelsunternehmen es hier versäumte, diesen berechtigten Widerspruch unverzüglich an die Auskunftei zu melden, wäre der Kunde trotz "Bezahlvermerk" ungerechtfertigt belastet, wenn die Daten der Karte für 6 bis 12 Monate in der Sperr-/Warndatei bleiben.

Die Aufsichtsbehörde empfahl daher, dass nur das oben genannte "Grundmodell" der Warndatei verwirklicht werden sollte.

Datenklau bei der Bundesagentur für Arbeit?

Ein Fernsehjournalist äußerte gegenüber dem Regierungspräsidium Darmstadt den Verdacht, dass die Auskunftei, deren Haupttätigkeitsgebiet oben (Nr. 8.3) beschrieben wurde, sich auf unzulässige Weise Kenntnis von Daten verschafft habe, die nur von der Bundesagentur für Arbeit stammen könnten.

Dieser Verdacht gründete sich auf die Aussage einer Person, wonach deren Gläubiger von der Auskunftei nicht nur die Mitteilung erhalten habe, dass die betreffende Person arbeitslos gemeldet sei, sondern auch die Nummer erhalten habe, unter der die Registrierung bei der Bundesagentur für Arbeit erfolgt sei. Leider war der Journalist nicht bereit, die entsprechenden Unterlagen zu übergeben, obwohl dies die Aufklärung des Vorwurfs erleichtert hätte. Die Aufsichtsbehörde hatte die Auskunftei ca. 1,5 Jahre zuvor überprüft und dabei das oben (Nr. 8.2 und 8.3) beschriebene Tätigkeitsgebiet kontrolliert, wobei es keine Beanstandungen gegeben hatte. Aufgrund des vom Journalisten geäußerten Verdachts führte die Aufsichtsbehörde nun erneut eine sehr umfangreiche Überprüfung der gesamten Tätigkeit durch.

Die Überprüfung erfolgte unangemeldet und ohne dem Geschäftsführer den Verdacht und damit den Anlass der Überprüfung mitzuteilen.

Bei der Überprüfung bestätigten sich zunächst die bisherigen Erkenntnisse über die oben genante Geschäftsgegenstände. Ferner stellte sich heraus, dass das Unternehmen nun einige Sonderdienstleistungen anbot, nämlich die Erteilung von Auskünften im Rahmen von Erbenermittlungen, Arbeitgeberermittlungen, Vollstreckungsauskünfte über Privatpersonen, etc. Diese Sonderdienstleistungen machen insgesamt nur einen sehr geringen Teil der Geschäftstätigkeit aus. Die Auskunftei wird hier auch nur als Vermittler von Dienstleistungen anderer Unternehmen tätig.

Wenn ein Unternehmen oder Rechtsanwalt eine titulierte Forderung beitreiben möchte, beschafft die Auskunftei bei entsprechendem Nachweis des berechtigten Interesses die Information, ob der Schuldner angestellt oder Lohnempfänger ist (gegebenenfalls unter Angabe des Arbeitgebers) oder ob er Rentner oder arbeitslos ist. Diese Auskünfte bezieht die Auskunftei von einem Unternehmen, das in einem anderen Bundesland seinen Sitz hat. Die von dort bezogenen Auskünfte werden lediglich an das anfragende Unternehmen weitergeleitet, aber nicht in einem Datenpool gespeichert. Nach intensiver Suche stellte das Regierungspräsidium Darmstadt fest, dass in einigen Auskünften tatsächlich die Angabe "arbeitslos gemeldet unter BA Nummer...." enthalten war.

Der Geschäftsführer der Auskunftei teilte mit, dass sein Datenlieferant ihm erläutert habe, die Rechercheure würden dies durch direkte Befragung der Betroffenen erfahren. Das heißt, den Betroffenen würde vorgehalten, dass wegen ausstehender Zahlungen ermittelt würde. Wenn die Betroffenen dann sagen, sie seien arbeitslos, würden die Rechercheure fragen, ob die Betroffenen dies belegen könnten, ob sie beispielsweise die Stammnummer der Bundesagentur für Arbeit angeben könnten. Aufgrund dieser Erläuterungen, die der Auskunftei plausibel erschienen seien, habe man diese Auskünfte auch entsprechend an die anfragenden Unternehmen oder Rechtsanwälte weitergegeben.

Die für das Daten liefernde Unternehmen zuständige Aufsichtsbehörde stellte im Rahmen einer Überprüfung fest, dass auch dieses keine eigenen Ermittlungen durchführe, sondern den Auftrag nur an diverse Detekteien, mit denen es kooperiere, weiterleite. So führten die Ermittlungen zu Detekteien in anderen Bundesländern.

Die dortigen Aufsichtsbehörden teilten nach ihren Recherchen mit, dass im Ergebnis nicht zweifelsfrei habe geklärt werden können, ob die Stammnummer durch die Betroffenen selber oder durch Bedienstete der Arbeitsämter beauskunftet wurde.

Der in Hessen ansässigen Auskunftei war jedenfalls kein Vorwurf zu machen.

Sie hatte auch bereits sofort die Weitergabe von BA-Nummern an ihre Kunden gestoppt, nachdem die Aufsichtsbehörde sie im Rahmen der unangemeldeten Prüfung darauf hingewiesen hatte, dass die Angaben ihrer Datenlieferanten nicht zweifelsfrei seien und überprüft werden müssten.

9. Versicherungen

Einrichtung eines konzerninternen Warnsystems

Ein Versicherungsunternehmen hatte mit der Einrichtung eines konzerninternen Warnsystems begonnen und bat das Regierungspräsidium Darmstadt um eine Bewertung der datenschutzrechtlichen Zulässigkeit.

Dieses System hat zum Hintergrund, dass in den vergangenen Jahren eine immer stärkere Rationalisierung und Effizienzsteigerung in der Schadensbearbeitung erfolgt ist und weiter angestrebt wird. Eine Schadensregulierung wird oftmals lediglich aufgrund einer telefonischen Schadensmeldung durchgeführt, ohne dass die Antragsteller Nachweise einreichen müssen. Ein Großteil der Schadensbearbeitung wird mittlerweile durch Call-Center vorgenommen, wo der einzelne Mitarbeiter keine nähere Kenntnis zu der antragstellenden Person hat und im Gegensatz zu einem langjährigen Sachbearbeiter auch nicht über erfahrungsbedingte Informationen zu der jeweiligen Person verfügt.

Diese Entwicklung bringt es mit sich, dass bei der Schadensbearbeitung betrügerische Absichten nicht ausreichend erkannt werden können.

Mit dem neuen Verfahren sollen betrugsverdächtige Schadensmeldungen bereits im Vorfeld automatisiert erkannt werden können mit der Folge, dass die Entschädigungsleistung der Versicherung in diesen Fällen zunächst nicht zur Auszahlung kommt. Die Fälle, bei denen Anhaltspunkte für ein möglicherweise betrügerisches Vorgehen erkannt werden, können einer vertieften Überprüfung eines speziellen Betrugssachbearbeiters unterzogen werden, der gegebenenfalls Nachweise zur Schadenshöhe und zum Schadensereignis fordert oder sonstige Ermittlungen anstellt. Damit kann sowohl dem beschriebenen Erfordernis der Rationalisierung und Entbürokratisierung bei der Schadensabwicklung Rechnung getragen als auch ein Schutz vor Betrug erzielt werden.

Zu diesem Zweck wurde von der Anbieterfirma zusammen mit einem Rückversicherer und fünf Erstversicherern ein System namens "intelligente Schadensprüfung" entwickelt, bei dem verschiedene, von dem Antragsteller angegebene Begrifflichkeiten mit Entscheidungsregeln verknüpft werden. Beispielsweise würde das System eine Auffälligkeit feststellen, wenn eine Person mehrfach einen Unfall mitten in der Nacht mit einem hochwertigen Fahrzeug in einem Gewerbegebiet ohne Zeugen melden würde.

Wird nach Eingabe der Schadensmeldung von dem automatisierten Betrugserkennungssystem ein Schaden als auffällig bewertet, erfolgt zunächst nur eine Kennzeichnung auffälliger Schadensfälle durch das System. Diese Schadenskennzeichnung wird wieder gelöscht, sofern der Spezialsachbearbeiter bei näherer Prüfung keine Auffälligkeiten feststellt.

Im anfragenden Konzern wurde das System im Berichtsjahr im Bereich Komposit in Einsatz gebracht, welcher die Versicherungsbereiche KFZ, Hausrat, Haftpflicht und Sachhaftpflicht umfasst, wobei der Einsatz zunächst nur in beschränktem Umfang erfolgte. So wurden zunächst lediglich "auffällige Schadensfälle" gekennzeichnet.

Eine Kennzeichnung einzelner an dem Schadensvorgang beteiligter Personen unterblieb, da die Versicherung insbesondere die rechtliche Zulässigkeit der Kennzeichnung von Personen, die an dem Schadensfall beteiligt waren, aber nicht Versicherungsnehmer sind, vorab mit der Aufsichtsbehörde klären wollte.

Es ist nicht vorgesehen, die Kennzeichnung eines Schadensfalles und die geplante Kennzeichnung der dazugehörigen beteiligten Personen im weiteren Sinne auch innerhalb des Konzerns zu übermitteln. Auch eine Verwendung der vorgenommenen Kennzeichnungen bei Vertragsabschlüssen ist nicht vorgesehen, d.h. selbst wenn jemand in einen Schadensfall involviert war, der als auffällig gekennzeichnet war, führt dies nicht zur Vertragsablehnung, wenn diese Person später einen Versicherungsvertrag abschließen möchte.

Die Zulässigkeit der Kennzeichnung der betroffenen Schadensfälle begegnet unter diesen Umständen keinen datenschutzrechtlichen Bedenken. Ob die Zulässigkeit sich aus § 28 Abs. 1 Nr. 1 oder Nr. 2 BDSG ergibt, kann hier dahingestellt bleiben, da sie ein notwendiges Regulativ der arbeitsteiligen und unbürokratischen Schadensbearbeitung ist und ein legitimes Interesse der Versicherung an der Abwicklung der Bearbeitung im Rahmen des Vertragsverhältnisses besteht.

Von der geplanten Kennzeichnung von Personen können sowohl Kunden (z.B. Inhaber einer Hausratsversicherung) als auch Nichtkunden wie z.B. Halter, Fahrer, Antragsteller (Geschädigter), Zeugen sowie Sachverständige betroffen sein, bei denen der Verdacht besteht, dass sie in betrügerischer Absicht mit einem Unfallteilnehmer zusammengewirkt haben oder auf irgendeine Weise im Verdacht der Beteiligung an einem Versicherungsmissbrauch stehen.

Die Erhebung und Speicherung der Daten der Nichtkunden wird sich in der Regel nach § 28 Abs. 1 Nr. 2 BDSG richten, denn zur Erfüllung eigener Geschäftszwecke dürfen die Versicherungsunternehmen die Daten von Anspruchstellern und Zeugen oder Ähnlichen erheben und speichern, da es zur Wahrung ihrer berechtigten Interessen, nämlich der Vertragserfüllung, erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der jeweils Betroffenen an dem Ausschluss der Verarbeitung überwiegt.

Eine relevante Zweckänderung der Speicherung ist nicht ersichtlich, da nach wie vor lediglich eine Verwendung innerhalb des gleichen Unternehmens in dem gleichen Bereich und nicht im Rahmen der Versicherungsantragsprüfung erfolgt. Daher ist auch die Kennzeichnung von Personen, die in auffälliger Weise an einem Schadensfall beteiligt waren, noch von § 28 Abs. 1 Nr. 2 BDSG gedeckt.

An dieser Stelle stellt sich aber die Frage, ob eine Benachrichtigungspflicht aufgrund der Speicherung nach § 33 Abs. 1 BDSG entsteht, wonach der Betroffene zu benachrichtigen ist, wenn erstmals personenbezogene Daten über ihn für eigene Zwecke ohne seine Kenntnis gespeichert werden, oder ob das Transparenzgebot des § 4 Abs. 3 BDSG eine Unterrichtung des betroffenen Personenkreises gebietet.

Da Anspruchsteller, Zeugen, Sachverständige u.a. direkt mit der Versicherung in Kontakt treten, ist nicht davon auszugehen, dass die Speicherung ohne ihre Kenntnis erfolgt. Jede Person, die in einem Versicherungsfall Aussagen oder Angaben macht, wird auch davon ausgehen müssen, dass ihre Daten gespeichert oder automatisiert verarbeitet werden. Da auch eine Kennzeichnung von Nichtkunden im Grunde nur ein Ausgleich für das bei traditioneller "Sachbearbeitung" vorhandene Erfahrungswissen ist, erscheint eine spezielle Information nicht zwingend erforderlich.

Die Einrichtung des konzerninternen Betrugserkennungssystems wurde daher von der Aufsichtsbehörde unter den vorgenannten Voraussetzungen nach Abstimmung in einer vom Düsseldorfer Kreis gebildeten Arbeitsgruppe als zulässig erachtet.

Schweigepflichtentbindungserklärung bei Leistungsfall

In einem weiteren Beschwerdefall wandte sich eine Betroffene gegen die Formulierung einer Schweigepflichtentbindungserklärung, die Bestandteil eines Krankenversicherungsantragsformulars war, welches eine Versicherung aus dem Aufsichtsbezirk verwendete.