Menu Expand

Datenschutz oder Tatenschutz in der Versicherungswirtschaft

Cite BOOK

Style

Schleifenbaum, C. (2009). Datenschutz oder Tatenschutz in der Versicherungswirtschaft. Die datenschutzrechtliche Zulässigkeit von Datenübermittlungen zwischen privaten Versicherungsgebern zur Bekämpfung des Versicherungsbetrugs. Duncker & Humblot. https://doi.org/10.3790/978-3-428-53098-4
Schleifenbaum, Christian. Datenschutz oder Tatenschutz in der Versicherungswirtschaft: Die datenschutzrechtliche Zulässigkeit von Datenübermittlungen zwischen privaten Versicherungsgebern zur Bekämpfung des Versicherungsbetrugs. Duncker & Humblot, 2009. Book. https://doi.org/10.3790/978-3-428-53098-4
Schleifenbaum, C (2009): Datenschutz oder Tatenschutz in der Versicherungswirtschaft: Die datenschutzrechtliche Zulässigkeit von Datenübermittlungen zwischen privaten Versicherungsgebern zur Bekämpfung des Versicherungsbetrugs, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-53098-4

Format

Datenschutz oder Tatenschutz in der Versicherungswirtschaft

Die datenschutzrechtliche Zulässigkeit von Datenübermittlungen zwischen privaten Versicherungsgebern zur Bekämpfung des Versicherungsbetrugs

Schleifenbaum, Christian

Beiträge zum Informationsrecht, Vol. 24

(2009)

Additional Information

Book Details

Pricing

Abstract

Das unrechtmäßige Einziehen von Versicherungsleistungen führt bei den Versicherungsgebern zu erheblichen Ausgabenpositionen. Dem begegnen die Versicherer teilweise durch Austausch von Risikodaten, Verdachtshinweisen und Vertragsbesonderheiten. Ein solcher Datenaustausch wird vom Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) als Hinweis- und Informationssystem (HIS) koordiniert.

Christian Schleifenbaum analysiert die datenschutzrechtliche Zulässigkeit dieses Datenaustauschs. Dabei geht er zunächst auf die Reichweite des Versicherungsgeheimnisses ein und identifiziert es als Ausprägung eines aus § 241 Abs. 2 BGB hergeleiteten Rechts auf informationelle Selbstbestimmung. Aus den Vorschriften des Bundesdatenschutzgesetzes entwickelt er drei Fallgruppen, in denen ein Informationsaustausch ohne die Einwilligung des betroffenen Versicherungsnehmers zulässig ist. Für einen darüber hinausgehenden Informationsaustausch erarbeitet er aus § 4a BDSG, §§ 305 ff. BGB und § 213 VVG 2008 die Anforderungen, die eine Einwilligung erfüllen muss.

Table of Contents

Section Title Page Action Price
Danksagung 5
Inhaltsverzeichnis 7
A. Einführung 13
I. Die Problemstellung 13
II. Das zentrale Hinweis- und Informationssystem (HIS) 16
III. Gang der Arbeit 19
B. Zulässigkeit des Datenumgangs qua legem 21
I. Maßstab 21
1. Die allgemeinen Datenschutzgesetze 21
2. Die bereichsspezifische Regelung im VVG 25
3. Versicherungsgeheimnis 27
a) Begründung eines spezifischen Versicherungsgeheimnisses in der Literatur 27
b) Bedürfnis einer Verschwiegenheitspflicht 29
c) Rücksichtnahmepflicht gemäß § 241 Abs. 2 BGB auf das informationelle Selbstbestimmungsrecht 31
d) Verschwiegenheit als Folge der Rücksichtnahmepflicht 32
e) Verhältnis zum BDSG 35
II. Das Strukturcode-Abfrageverfahren 36
1. Untersuchungsgegenstand 36
2. Anwendbarkeit des BDSG 37
a) Räumlicher Anwendungsbereich 38
b) Begriff der personenbezogenen Daten 38
aa) Grundsätzliches 39
bb) Geschützter Personenkreis 41
cc) Gesundheitsdaten als besondere Art personenbezogener Daten 43
dd) Zwischenergebnis ohne Berücksichtigung der Kodierung 44
ee) Anonymisierung und Pseudonymisierung 45
(1) Kategorisierung von anonymisierten und pseudonymisierten Daten 46
(2) Die Uneinigkeiten zur rechtlichen Einbeziehung in das BDSG 48
(3) Stellungnahme und Schlussfolgerungen für faktisch anonymisierte Daten 49
(4) Stellungnahme und Schlussfolgerungen für pseudonymisierte Daten 50
ff) Aufhebung der Personenbeziehbarkeit durch Kodierung 52
gg) Die Kodierung von HIS 54
hh) Aufhebung der Eigenschaft als Gesundheitsdaten durch das Strukturcodeverfahren 56
ii) Zwischenergebnis 57
c) Öffentliche und nicht-öffentliche Stellen 57
d) Datenumgang unter Einsatz von Datenverarbeitungsanlagen zu anderen als persönlichen Zwecken 58
e) Subsidiarität 58
3. Zulässigkeit der Datenverwendung durch den meldenden Versicherer 59
a) HIS als Datenverwendung für eigene Zwecke 59
b) Zulässigkeit der Verwendung von Gesundheitsdaten 60
c) Zulässigkeit der Verwendung von einfachen personenbezogenen Daten, insbes. der Übermittlung der Strukturcodes 62
aa) Rechtfertigung nach § 28 Abs. 1 S. 1 Nr. 1 BDSG 63
bb) Rechtfertigung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG 63
(1) Interessen des meldenden Versicherers 64
(a) Berechtigung des Interesses: Bedürfnis nach einem Informationsaustausch 65
(aa) Begriff des berechtigten Interesses 65
(bb) Kenntnis eines erhöhten Risikoprofils 66
(cc) Kenntnis weiterer Umstände 69
(dd) Einwendungen 69
(b) Erforderlichkeit der konkreten Datenverwendung 70
(aa) Unzulässigkeit der Berücksichtigung aufgrund eines gesetzlichen Verbots 71
(bb) Eignung zur Risikobeurteilung und Betrugsbekämpfung 74
(2) Schutzwürdige Interessen des Betroffenen 74
(a) Begriffsbestimmung 75
(b) Bestandsaufnahme 77
(3) Bewertung und Abwägung der Interessen 78
(a) Beurteilungsmaßstab 78
(b) Wertungsgründe im Einzelnen 79
(aa) Keine Belastung neuer bzw. anderer Vertragsbeziehungen 79
(bb) Beeinflussbarkeit des Risikoprofils 79
(cc) Verdachtsdaten und Werturteile 80
(dd) Vertragsverletzungen und -kündigungen 82
(ee) Gefahr der Fehlinterpretation 84
(ff) Zweckentfremdungsrisiko 85
(gg) Eigeninteresse des Betroffenen an der Übermittlung zur Senkung des Beitragsniveaus 85
(hh) Bedeutung für den Versicherungsgeber 86
(c) Schlussfolgerungen 87
(aa) Allgemeines 87
(bb) Kraftfahrtversicherung 88
(cc) Unfallversicherung 89
(dd) Rechtsschutzversicherung 90
(ee) Lebensversicherung 92
(ff) Transportversicherung 92
(gg) Sachversicherung 93
cc) Andere Rechtfertigungsgründe 93
4. Zulässigkeit von Datenempfang und Speicherung der Strukturcodes durch den anfragenden Versicherer 94
a) Rechtfertigung nach § 28 Abs. 1 S. 1 Nr. 1 BDSG 94
b) Rechtfertigung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG 95
aa) Interessen des abrufenden Versicherers 95
bb) Interessen des Betroffenen 97
cc) Bewertung und Abwägung 97
c) Grundsatz der Direkterhebung, § 4 Abs. 2 BDSG 98
aa) Erforderlichkeit der Erhebung bei Dritten aufgrund des Geschäftszwecks (§ 4 Abs. 2 S. 2 Nr. 2 lit. a Alt. 2 BDSG) 99
bb) Überwiegende schutzwürdige Interessen des Betroffenen 100
5. Zulässigkeit der Suche in den Strukturcodes 101
III. Die Weitergabe von unverschlüsselten Informationen zwischen den Versicherern 102
1. Schriftliche Mitteilung von einfachen personenbezogenen Daten 102
a) Anwendbarkeit des BDSG 102
b) Zulässigkeit der Übermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG 104
c) Zulässigkeit der Erhebung nach § 28 Abs. 1 S. 1 Nr. 1 BDSG 105
d) Grundsatz der Direkterhebung, § 4 Abs. 2 BDSG 107
aa) Alternativmodell 107
bb) Erforderlichkeit der Erhebung bei Dritten aufgrund des Geschäftszwecks (§ 4 Abs. 2 S. 2 Nr. 2 lit. a Alt. 2 BDSG) 108
cc) Unverhältnismäßiger Aufwand durch die Erhebung beim Betroffenen (§ 4 Abs. 2 S. 2 Nr. 2 lit. b BDSG) 110
2. Mündliche Mitteilung von einfachen personenbezogenen Daten 110
a) Anwendbarkeit des BDSG 110
b) Abweichungen vom Ergebnis zur schriftlichen Mitteilung 111
3. Gesundheitsdaten 113
4. Fehlanzeige/Nichtmeldung 113
C. Zulässigkeit des Datenumgangs aufgrund einer Einwilligung 116
I. Rechtsnatur der Einwilligung nach § 4a BDSG 117
II. Allgemeine Anforderungen an Einwilligungen gemäß § 4a BDSG 119
1. Formale Anforderungen 119
a) Einsichtsfähigkeit und Einwilligungsbefugnis 119
b) Höchstpersönliche Abgabe 120
c) Zeitpunkt der Zustimmung 122
d) Form der Erklärung 122
2. Inhaltliche Anforderungen 124
a) Grundsatz der freien Entscheidung 124
aa) Freiwilligkeit trotz Beeinflussung durch den Verarbeiter 124
bb) Maßnahmen, die eine freie Entscheidung ermöglichen 127
cc) Freiwilligkeit im Versicherungsverhältnis 128
b) Grundsatz der informierten Einwilligung 131
aa) Zweck des Datenumgangs 132
bb) Konsequenzen einer Verweigerung der Einwilligung 132
c) Bestimmtheit der Einwilligung 134
aa) Empfänger einer Datenübermittlung 136
bb) Betroffene Daten 137
cc) Reduzierung der Anforderungen, um die Bekämpfung von Versicherungsbetrug als Ziel der Datenverarbeitung nicht zu gefährden 138
d) Disponibilität von Informiertheit und Bestimmtheit 140
e) Absolute Grenzen 141
III. Grenzen der formularmäßigen Einwilligung nach §§ 305 ff. BGB 142
1. Anwendbarkeit der AGB-Kontrolle 142
2. Einwilligungen als überraschende Klauseln nach § 305c Abs. 1 BGB 144
3. Klauselkontrolle gemäß § 307 BGB 145
a) Kontrollfähigkeit einer Einwilligung, § 307 Abs. 3 BGB 145
b) Widerspruch zu wesentlichen Grundgedanken der gesetzlichen Regelung (§ 307 Abs. 2 Nr. 1 BGB) 146
aa) Abweichungen von den inhaltlichen Voraussetzungen des § 4a BDSG 147
bb) Berücksichtigung der Betroffeneninteressen als Grundgedanke gesetzlicher Erlaubnistatbestände 148
cc) Folgerungen 148
c) Unangemessene Benachteiligung i.S.d. § 307 Abs. 1 S. 1 BGB 149
aa) Verarbeitung von Gesundheitsdaten 150
bb) Erweiterte Übermittlung der Schadenshistorie und von einfachen Risikoerhöhungen 153
cc) Erweiterte Übermittlung von Verdachtsdaten 154
dd) Notwendigkeit der Befristung oder Einzelfallerteilung 155
ee) Abweichung vom Grundsatz der Direkterhebung 156
d) Intransparenz i.S.d. § 307 Abs. 1 S. 2 BGB durch deklaratorische Einwilligungen 157
IV. Die Erhebung von Gesundheitsdaten durch Versicherer (§ 213 VVG 2008) 159
1. Allgemeines 159
a) Anwendungsbereich 160
b) § 213 VVG 2008 und das BDSG 162
2. Das Regelungskonzept zwischen Alternativität und Kumulativität von gesetzlichen Anforderungen und Einwilligung 163
3. Voraussetzungen einer zulässigen Erhebung 165
a) Statthafte Dritte 165
b) Statthafter Erhebungsgrund 166
c) Einwilligung 168
aa) Einmaleinwilligung und Einzelfalleinwilligung 168
bb) Zusätzliche formale Anforderungen 170
cc) Zusätzliche inhaltliche Anforderungen 170
(1) Freiwilligkeit als Wahl zwischen drei Alternativen 170
(2) Freiwilligkeit bei der Einzelfalleinwilligung 171
(3) Zusätzliche Hinweispflichten bei der Einmaleinwilligung (Abs. 4) 172
(4) Bestimmtheit 173
d) Gebrauchsanzeige bei der Einmaleinwilligung (Abs. 2 S. 2) 173
D. Einordnung eines zukünftigen, überarbeiteten Hinweissystems als Auskunftei i.S.d. § 29 BDSG 175
E. Fazit 178
I. Theoretische Ergebnisse 178
II. Praktische Ergebnisse für HIS 180
Literaturverzeichnis 184
Sachwortverzeichnis 200