Versicherungsrecht

Da es im Bundesdatenschutzgesetz kein Konzernbzw. Verbundprivileg gibt, ist der Datenfluss zwischen der Bank und dem Servicecenter mangels einer Einwilligung der Betroffenen nur dann rechtmäßig, wenn eine Rechtsvorschrift diesen erlaubt120. Auch wenn die Bank ein berechtigtes Interesse an der Verbesserung der Kostenstruktur hat, ist die Datenübermittlung an die Servicegesellschaft rechtswidrig, da die Bankkundinnen und -kunden ein überwiegendes Interesse an dem Ausschluss der Verarbeitung haben121. Eine Bankkundin oder ein Bankkunde muss darauf vertrauen können, dass die Bank interne Vorgänge selbst bearbeitet und diese nicht durch Dritte erledigen lässt, zu dem sie oder er keine vertragliche Beziehung hat. Bei datenschutzrechtlichen Verstößen der Servicegesellschaft könnte sich die Bank als Vertragspartnerin unter Verweis auf die neue verantwortliche Stelle exkulpieren. Da die Servicegesellschaft noch weitere Banken als Kundinnen gewinnen wollte, bestände außerdem die Gefahr, dass der Dienstleister etwa eine Bank darüber informiert, dass eine andere Bank die Bonität der Kundin oder des Kunden aufgrund anderer Erkenntnisse anders bewertet.

Die Information lediglich auf einem Kontoauszug führte dazu, dass Kundinnen und Kunden, die sich nur unregelmäßig Kontoauszüge beschaffen, erst im Nachhinein über die geplante Umstrukturierung informiert wurden. Die Information selbst war auch nicht ausreichend, um sie über die geplanten Datenübermittlungen an die Gesellschaft in Kenntnis zu setzen. Da die allgemeinen Geschäftsbedingungen der Bank nicht geändert wurden, wurde den Kundinnen und Kunden auch kein Widerspruchsrecht eingeräumt.

Aufgrund unserer Intervention hat die Bank das Verfahren gestoppt. Die Bank selbst bleibt Herrin aller Kundendaten, das Servicecenter darf nur als Auftragsdatenverarbeiter unter den strengen Vorgaben des §11 BDSG für die Bank Daten verarbeiten.

Vor der Teilung eines Unternehmens oder einer Verlagerung von Funktionen auf Servicegesellschaften ist zu berücksichtigen, dass bisher mögliche Datenflüsse aufgrund des fehlenden Konzern- bzw. Verbundprivilegs rechtswidrig werden können.

Hinweis- und Informationssystem der Versicherungswirtschaft (HIS) AUS DER PRAXIS

Das HIS der Versicherungswirtschaft wird in den Sparten Leben, Unfall, Kraftfahrt, Rechtsschutz, Sachversicherungen, Transport und Haftpflicht geführt. Jeder Teil soll die Versicherungsbranche nicht nur vor Versicherungsbetrügern bei Vertragsabschluss und Schadensregulierung warnen, sondern auch vor Versicherungsnehmern, bei denen ein erhöhtes Risiko besteht, dass ein Versicherungsfall eintritt. Lange Zeit wurde die Warndatei der Versicherungswirtschaft als „Blackbox" geführt122.

Betroffene erhielten keine Informationen über den Inhalt des Warnsystems.

Die langjährigen Verhandlungen der Aufsichtsbehörden mit der Versicherungswirtschaft haben zu ersten Erfolgen geführt. Seit April werden Versicherungskundinnen und -kunden, die in das HIS eingemeldet werden, von ihrer Versicherung benachrichtigt. Außerdem besteht die Möglichkeit, beim Gesamtverband der Deutschen Versicherungswirtschaft, dem in Berlin ansässigen Betreiber der HIS-Datei, Auskunft über die zur Person gespeicherten Daten zu fordern. Durch die nun gewährte Transparenz besteht auch die Möglichkeit, Löschungs- oder Berichtigungsansprüche durchzusetzen. Verbesserungen konnten auch für die Rechtschutzkundinnen und -kunden erreicht werden. Diese werden zukünftig erst ab vier Streitfällen binnen zwölf Monaten (bisher zwei) eingemeldet.

In den nächsten zwei Jahren wird die Versicherungswirtschaft das HIS nach den Vorgaben der Aufsichtsbehörden auf eine datenschutzrechtlich sichere Grundlage stellen. Hier die wichtigsten Eckpunkte:

Das HIS wird als Auskunftei geführt.

Die Einmeldung in die Auskunftei erfolgt nur bei Vorliegen einer Rechtsvorschrift (Interessen der Versicherungswirtschaft sind höher zu bewerten als schutzwürdige Interessen der Betroffenen).

Nur bei berechtigtem Interesse darf eine Versicherung Daten über einen Versicherungsnehmer abfragen.

Versicherungswirtschaft und Auskunftei werden größtmögliche Transparenz gewähren. Allerdings müssen keine Einmeldekriterien bekannt gegeben werden, die für den unredlichen Versicherungsnehmer von Interesse sein könnten.

Die Einmeldekriterien unterliegen einer ständigen Evaluierung.

Bei versicherungsrechtlichen Zweifelsfragen sollte die Versicherungsombudsstelle eingeschaltet werden können.

Die am HIS beteiligten Beschäftigten in den Versicherungen arbeiten nach strengen ComplianceRegelungen.

FAZIT

Das HIS der Versicherungswirtschaft ist seit April keine „Blackbox" mehr. Es ist auf dem Weg zu einer rechtmäßig arbeitenden Auskunftei.

Verpflichtung zum Abgleich mit Terrorlisten AUS DER PRAXIS

Die Antiterrorismus-Verordnungen (EG) Nr. 2580/2001 und (EG) Nr. 881/2002 gelten unmittelbar in jedem EU-Mitgliedstaat. Beide Verordnungen haben hauptsächlich das Ziel, dass den in Listen genannten terrorverdächtigen Personen und Organisationen keine Gelder, finanziellen Vermögenswerte, wirtschaftlichen Ressourcen zur Verfügung gestellt, sondern eingefroren werden. Die Listen werden vom Rat der EU und vom UNSanktionsausschuss erstellt und öffentlich gemacht.

Mehrere Großunternehmen haben uns gefragt, ob sie aufgrund der Verordnungen verpflichtet seien, vor jeder Geldüberweisung oder Gewährung von Sachvorteilen gegenüber Arbeitnehmern, Kunden und Lieferanten einen Datenabgleich mit den in den Terrorlisten genannten Personen und Organisationen durchzuführen.

Maßnahmen die Unternehmen ergreifen müssen oder dürfen, um ihre Sorgfaltspflichten zu erfüllen.

Insbesondere sind die Verordnungen zu unbestimmt, um eine Verarbeitung und Nutzung personenbezogener Daten zu erlauben. Die Verordnungen selbst kommen somit nicht als Rechtsvorschrift im Sinne des §4 Abs. 1 BDSG in Betracht. Die Datenschutzbeauftragten des Bundes und der Länder haben schon 2006 darauf hingewiesen, dass die Terrorlisten rechtsstaatlichen Standards nicht genügen123.

In den Verordnungen ist nicht geregelt, welche organisatorischen Unternehmen haben allerdings ein berechtigtes Interesse daran, personenbezogene Daten ihrer Kunden, Lieferanten und Beschäftigten in dem Umfang zu verarbeiten und zu nutzen, wie dies zur Umsetzung der o. g. Verordnungen erforderlich ist, und um insbesondere sicherzustellen, dass eine Überweisung nicht nach §34 Außenwirtschaftsgesetz (AWG) strafbar ist.