Datenschutzbeschwerde eingestellt!

© New Africa – stock.adobe.com

Die Hamburger Kanzlei Jöhnke & Reichow erwirkt vor dem Bayerischen Landesamt für Datenschutzaufsicht die Abweisung einer Datenschutzbeschwerde gegen die Mandantschaft und damit auch die Einstellung dieses aufsichtsbehördlichen Verfahrens.

Ein Beitrag von Björn Thorben M. Jöhnke, Fachanwalt für Versicherungsrecht, Gewerblichen Schutz und Informationstechnologierecht, Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB

Björn Thorben M. Jöhnke, Rechtsanwalt, Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB

Die Beschwerdeführerin wirft der Beschwerdegegnerin (Mandantschaft) vor eine unverschlüsselte E-Mail an die Beschwerdeführerin gesendet zu haben. In dieser E-Mail sollen umfangreiche Gesundheitsdaten der Beschwerdeführerin in einer Tabelle enthalten gewesen sein. Dabei soll der Umfang der in der tabellarischen Aufstellung geforderten Daten nicht angemessen und erforderlich gewesen sein. Insbesondere sollen dabei die sensiblen Gesundheitsdaten in einem unverhältnismäßigen Ausmaß abgefragt worden sein.

Aus diesem Grunde sollte zu den Fragen der Behörde Stellung genommen werden, welche Rechtsgrundlagen diese Datenverarbeitung rechtfertigen und ob grundsätzlich eine verschlüsselte Form für den Emailversand genutzt wurde und welche. Darüber hinaus sollte Stellung zu der Frage genommen werden, ob es sich hierbei um ein Standard-Vorgehen der Beschwerdegegnerin handelte.

Vorliegend sind die folgenden Rechtsgrundlagen in Bezug auf die Datenverarbeitung einschlägig:

Erfüllung eines Vertrages

Zwischen den Parteien bestand – bis zur Kündigung durch die Beschwerdeführerin – ein nicht schriftliche vereinbarter Versicherungsmaklervertrag (Art. 6 Abs. 1 lit. b DSGVO). Dieser Vertrag sei an keine Formvorschriften gebunden. Ein Versicherungsmaklervertrag komme ebenso mündlich zustande. Es reiche die Beauftragung des Versicherungsmaklers einen entsprechenden Versicherungsvergleich zu erstellen, um daraufhin möglicherweise einen Versicherungsvertrag abschließen zu wollen. Ebenfalls die Anbahnung zu einem Versicherungsmaklervertrag sei von der vorgenannten Anspruchsgrundlage gedeckt.

Aus diesem Grunde sei die Beschwerdegegnerin vertraglich legitimiert gewesen personenbezogene Daten zu erheben. Da vorliegend von der Beschwerdeführerin die Vermittlung einer Berufsunfähigkeitsversicherung durch die Beschwerdegegnerin gewünscht war, sei die Beschwerdegegnerin auch vertraglich legitimiert gewesen, die Gesundheitsdaten zu erheben, um sodann eine anonymisierte Risikovoranfrage bei einer Versicherung machen zu können.

Ohne eine genaue Erhebung von Gesundheitsdaten könne eine Risikovoranfrage nicht durchgeführt werden. Demgemäß hätte die Beschwerdegegnerin auch ihre Pflichten aus dem Versicherungsmaklervertrag nicht erfüllen können. Aus diesem Grund sei die Beschwerdegegnerin zur Erfüllung des Vertrages verpflichtet gewesen, die personenbezogenen Daten entsprechend zu erheben.

Auch war es so, dass die Beschwerdeführerin diverse medizinische Behandlungen in Anspruch genommen hatte, so dass diese umfangreichen Daten geordnet und dem Versicherer aufbereitet werden mussten, damit dieser das entsprechend Risiko kalkulieren konnte. Bereits die Tatsache, dass die Versicherungsnehmerin einige Arzttermine wegen gesundheitlichen Beschwerden wahrgenommen hatte, machte eine Risikovoranfrage zwingend notwendig, um den Auftrag eines gewissenhaften Versicherungsmaklers erfüllen zu können.

Rechtliche Verpflichtung

Die Beschwerdegegnerin sei auch gesetzlich verpflichtet eine entsprechende Beratungsdienstleistung zu erbringen (Art. 6 Abs. 1 lit. c DSGVO). Dazu musste die Beschwerdegegnerin – zur Vermittlung der hier auch gewünschten Berufsunfähigkeitsversicherung – personenbezogene Daten bei der Beschwerdeführerin erheben, um eine entsprechende anonymisierte Risikovoranfrage bei den Versicherungen zu stellen.

Hierzu sei die Beschwerdegegnerin auch gesetzlich verpflichtet, denn sie habe den Kunden entsprechende Versicherungsangebote vorzulegen, damit diese eine Entscheidung auf Basis der entsprechenden Empfehlung des Versicherungsmaklers treffen kann, vgl. § 60 VVG.

Entsprechende Versicherungsangebote könnte die Beschwerdegegnerin jedoch nicht vorlegen, wenn sie nicht vorher bei der jeweiligen Versicherung die Versicherbarkeit aufgrund des jeweiligen Gesundheitszustandes angefragt hat. Aus diesem Grund sei die anonymisierte Risikovoranfrage zwingend notwendig, um die gesetzlichen Vorgaben für den Versicherungsmakler zu erfüllen.

Einwilligung

Darüber hinaus habe die Beschwerdeführerin durch ihre Handlungen in eine Verarbeitung eingewilligt (Art. 6 Abs. 1 lit. a, Art. 7 und Art. 9 Abs. 2 lit. a DSGVO). Die Beschwerdeführerin habe die vorliegenden Gesundheitsdaten der Beschwerdegegnerin selbst und eigeninitiativ mitgeteilt, damit diese die Daten tabellarisch zusammenfasst, um diese Zusammenfassung der Beschwerdeführerin nochmal zur Gegenkontrolle und Ergänzung per E-Mail zu übersenden. Auch hierin habe die Beschwerdeführerin durch ihr Handeln eingewilligt, denn sie habe mittels E-Mail darum gebeten, diese Daten entsprechend auch noch ergänzen zu wollen. Von daher sei vorliegend ebenfalls von einer Einwilligung der Beschwerdeführerin auszugehen.

Personenbezogenen Daten

Weiter wies die Kanzlei Jöhnke & Reichow in diesem datenschutzrechtlichen Verfahren darauf hin, dass es sich vorliegend auch um keine Weitergabe von personenbezogenen Daten einer besonderen Kategorie, zum Beispiel Gesundheitsdaten, im Sinne des Art. 9 Abs. 1 DSGVO handele. Hier fehle es an der eindeutigen Identifizierbarkeit einer natürlichen Person, denn die Daten aus der streitgegenständlichen Liste lassen keine eindeutige Identifizierung der Beschwerdeführerin zu. Art. 9 der DSGVO besagt:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Zwar handele sich vorliegend unzweifelhaft um Gesundheitsdaten, denn „Gesundheitsdaten“ seien personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO).

Doch auch diese Daten müssen eine natürliche Person eindeutig identifizieren können. Dieses sei vorliegend eben gerade nicht der Fall. Denn aus der Zusammenfassung der Beschwerdegegnerin der Daten der Beschwerdeführerin, konnten keine Rückschlüsse zur eindeutigen Identifizierung einer natürlichen Person gezogen werden. Zwar wurden beispielsweise Ärzte und Diagnosen erfasst sowie auch die Behandlungstermine. Hieraus lasse sich jedoch schließen, wer diese Termine wahrgenommen hat. Auch dürfen Ärzte aus berufsständischen Gründen („Schweigepflicht“) nicht etwa Dritten Auskünfte erteilen.

Somit bestand de facto kein Risiko für die Beschwerdeführerin, wäre die Datei in „fremde Hände“ gelangt. Aufgrund dieses nicht vorhandenen Risikoszenarios, dürfe es auch keine datenschutzrechtliche Pönalisierung der Beschwerdegegnerin geben.

Zusammenfassung

Nach alledem sei nach dem Dafürhalten der Kanzlei Jöhnke & Reichow das Handeln der Beschwerdegegnerin über die vorgenannten Rechtsgrundlagen der Datenschutz-Grundverordnung gedeckt. Die Beschwerde der Beschwerdeführerin sei daher zurückzuweisen. Es liege nach Auffassung der Kanzlei Jöhnke & Reichow kein Datenschutzverstoß vor, allenfalls keiner, welcher ein Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehe oder ziehen könnte.

Letztlich seien alle Daten anonymisiert gewesen, so dass keine Rückschlüsse auf die natürliche Person möglich waren. Die genannten Ärzte selbst seien alle über das öffentliche Internet zu finden und ehedem selbst zur Verschwiegenheit verpflichtet.

Reine Diagnosen stellen nur dann personenbezogene Daten dar, wenn diese überhaupt personenbezogen sind, was vorliegend gerade nicht der Fall sei. Zur entsprechenden Datenerhebung war die Beschwerdegegnerin vertraglich sowie auch gesetzlich legitimiert. Insbesondere habe die Beschwerdegegnerin einer Datenverarbeitung zugestimmt und damit eingewilligt. Vor diesem Hintergrund sei der Beschwerdegegnerin kein Datenschutzverstoß anzulasten.

Rechtliche Würdigung der Landesdatenschutzbehörde

Das Bayerische Landesamt für Datenschutzaufsicht teilte die Rechtsaufassung der Kanzlei Jöhnke & Reichow vollumfänglich. Vor diesem Hintergrund sei kein Datenschutzverstoß der Mandantschaft festzustellen. Das Verhalten der Mandantschaft sei mithin datenschutzrechtlich nicht zu beanstanden. Die Datenschutzbeschwerde der Beschwerdeführerin wurde durch das Bayerische Landesamt für Datenschutzaufsicht abgewiesen und das Verfahren eingestellt.

Bild (2): © Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB