Versicherungen müssen bei einer Auskunft nach DSGVO über interne Vermerke Auskunft geben

Mann-Papier-Laptop-216331003-FO-Anatoliy-KarlyukMann-Papier-Laptop-216331003-FO-Anatoliy-KarlyukAnatoliy Karlyuk – fotolia.com

Das Oberlandesgericht Köln hatte sich mit einer datenschutzrechtlichen Frage im Rahmen der Geltendmachung von Ansprüchen aus einer Berufsunfähigkeitsversicherung zu befassen gehabt (Urteil v. 26.7.2019 – 20 U 75/18). Hierbei ging es nicht nur um den Auskunftsanspruch nach der Datenschutzgrundverordnung (DSGVO) an sich, sondern auch darum, wie weitgehend dieser Anspruch ist.

Der Sachverhalt vor dem OLG Köln

Bjoern-Thorben-M.-Joehnke-2019-Joehnke-und-ReichowBjoern-Thorben-M.-Joehnke-2019-Joehnke-und-ReichowJöhnke & Reichow Rechtsanwälte in Partnerschaft mbB Björn Thorben M. Jöhnke, Rechtsanwalt, Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB

Der Kläger hatte als Versicherungsnehmer bei der beklagten Versicherung mehrere Versicherungsverträge abgeschlossen. So dann kam es zum Streit der Parteien darüber, ab welchem Zeitpunkt bei dem Kläger eine bedingungsgemäße Berufsunfähigkeit vorlag. Auch stritten der Versicherungsnehmer und der Versicherer darüber, ob das Versicherungsunternehmen den Kläger hätte darauf hinweisen müssen, dass diesem möglicherweise schon vorzeitig Ansprüche aus dem Berufsunfähigkeitsversicherungsvertrag zustanden.

Im Verlaufe des Rechtsstreits nahm der Kläger die Beklagte so dann – neben den Ansprüchen aus der Berufsunfähigkeitsversicherung – datenschutzrechtlich in Anspruch und forderte Auskunft nach § 34 BDSG a. F., worin folgende geregelt war:

„Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung.“

Die Beklagte informierte den Kläger ausschließlich im Hinblick auf die von ihr verarbeiteten Personenstammdaten. Eine weitergehende Auskunft, insbesondere über intern gefertigte Vermerke, verweigerte die Versicherung mit der Argumentation, dass dieses nicht geschuldet sei und auch praktisch nicht durchführbar wäre.

Das LG Köln sah das genauso und wies den nach übereinstimmender Teilerledigungserklärung – in Bezug auf die versicherungsrechtlichen Ansprüche – noch verbleibenden Auskunftsantrag ab (LG Köln v. 09.04.2018 – 26 O 360/16). Mit der Berufung zum OLG Köln verfolgte der Kläger auch das datenschutzrechtliche Begehren weiter.

Die Entscheidung des OLG Köln

Das OLG Köln gab dem Versicherungsnehmer in Bezug auf den datenschutzrechtlichen Auskunftsanspruch Recht, wies jedoch die Berufung in Bezug auf die Leistungsansprüche aus der Berufsunfähigkeitsversicherung ab. Der Anspruch sei nach dem 25.5.2018 an der DSGVO zu messen, und zwar an Art. 15 Absatz 1 DSGVO:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen (…).“

Der Begriff der personenbezogenen Daten nach Art. 4 DSGVO sei weit gefasst und umfasse nach der Legaldefinition in Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierbare natürliche Person bezögen. Ein Auskunftsanspruch bestehe folglich nicht ausschließlich im Hinblick auf Personenstammdaten. Soweit in Gesprächsvermerken oder Telefonnotizen Aussagen des Klägers oder Aussagen über den Kläger festgehalten seien, handele es sich hierbei ohne weiteres um personenbezogene Daten.

Die beklagte Versicherung könne sich demgegenüber auch nicht mit Erfolg darauf berufen, dass ein entsprechend weit gefasster Datenbegriff ihre Geschäftsgeheimnisse verletzen würde; dies schon deswegen, weil Informationen, welche der Kläger selbst mitgeteilt habe, diesem gegenüber keinen Geheimnischarakter haben könnten. Der Einwand, es sei für Großunternehmen mit umfangreichem Datenbestand wirtschaftlich unmöglich, Dateien auf personenbezogene Daten zu durchsuchen und zu sichern, rechtfertige kein anderes Ergebnis. Es sei Sache der Beklagten, ihre elektronische Datenverarbeitung im Einklang mit der Rechtsordnung zu organisieren und insbesondere dafür Sorge zu tragen, dass dem Datenschutz und den sich hieraus ergebenden Rechten Dritter Rechnung getragen werde.

Hinweis für die Praxis

Die Entscheidung des OLG Köln ist nachvollziehbar. Das Gericht geht damit – zumindest in dem vorliegenden Fall – von einem weitergehenden Auskunftsanspruch nach der DSGVO aus, als nach früheren datenschutzrechtlichen Vorschriften. Von daher dürfte diese Entscheidung Versicherungsunternehmen nicht gefallen und damit die Rechte von Versicherten stärken.

Nicht entscheiden musste das Gericht jedoch dazu, ob neben der auf Kategorien von Daten beschränkten Auskunft nach Art. 15 Abs. 1 DSGVO ein ebenso weitgehendes Recht auf Herausgabe einer Kopie der Daten nach Art. 15 Abs. 3 DSGVO besteht. Dieses wäre für ein Versicherungsunternehmen sicherlich noch belastender. In diesem Fall müssten nämlich einzelne Notizen und Vermerke, E-Mails und sonstige Unterlagen herausgesucht und im Einzelfall im Hinblick auf die gesetzlichen Beschränkungen des Auskunftsrechts bewertet werden. Schließlich dürfen die Rechte und Freiheiten anderer Personen durch die Herausgabe nicht beeinträchtigt werden, Art. 15 Abs. 4 DSGVO. Ebenfalls können im Einzelfall Geheimhaltungsinteressen bestehen, § 29 Abs. 1 Satz 2 BDSG.

Worauf sollten Vermittler und Versicherte achten?

Für Vermittler und Versicherte macht es durchaus Sinn Auskunft über die gesamte Korrespondenz, zum Beispiel – wie hier – im Rahmen eines Berufsunfähigkeits-Leistungsfalls, von dem Versicherer einzuholen. Denn hierüber können sich bestenfalls weitergehende Informationen ergeben, die für den Versicherten bei der Geltendmachung seiner Ansprüche gegenüber der Versicherung wichtig sein könnten. Von daher sollte die Wirkung dieser Entscheidung nicht unterschätzt werden und in einem Leistungsfall zeitnah juristischer Rat aufgesucht werden, damit Ansprüche des Versicherten nicht vereitelt werden.

Autor: Björn Thorben M. Jöhnke, Fachanwalt für Versicherungsrecht, Fachanwalt für Gewerblichen Rechtsschutz

Vermittler-Kongress in Hamburg

Auf dem Vermittler-Kongress am 06.02.2020 in Hamburg wird die Kanzlei Jöhnke & Reichow zum Bereich „Vermittlerrecht“ referieren. Im Rahmen der kostenlosen Weiterbildungsveranstaltung vermittelt die Kanzlei spannende rechtliche Themen.

Daneben berichten weitere Experten aus der Versicherungs- und Finanzanlagebranche über aktuelle Marktentwicklungen. Zur Agenda und Anmeldung.

LESEN SIE AUCH

Portrait of  young handsome guy with laptop using headsetPortrait of young handsome guy with laptop using headset
Bildung

Kanzlei Jöhnke & Reichow lädt zum Vermittler-Kongress 2024

Die Weiterbildungsveranstaltung am 18. Januar 2024 wartet wieder mit spannenden Vorträgen auf - mitunter zu wichtigen Haftungsfällen und Rechtsprechungen für Vermittler des letzten Jahres, Aktuelles aus der Leistungsfallregulierung der BU und Stolperfallen in der Unfallversicherung.

Mann-Frau-High-Five-1600880292203-US-krakenimagesMann-Frau-High-Five-1600880292203-US-krakenimageskrakenimages – unsplash.com
Management

Rechtliche Aspekte bei der Unternehmensgründung

Die Unternehmensgründung ist ein komplexer Prozess, bei dem zahlreiche rechtliche Aspekte beachtet werden müssen. Eine sorgfältige Planung und Beachtung der rechtlichen Rahmenbedingungen können dabei helfen, zukünftige Komplikationen und rechtliche Auseinandersetzungen zu vermeiden.

Anzugtraeger--verzweifelt-E-Mails-193302564-AS-photoschmidtAnzugtraeger--verzweifelt-E-Mails-193302564-AS-photoschmidtphotoschmidt – stock.adobe.com
Tools

E-Mail-Marketing im Fokus des Datenschutzes

Große Kundengruppen anzusprechen kommt einem enormen Aufwand gleich. Vor allem im Marketing-Bereich und dem Versand von Mails und Newslettern erleichtern spezielle Plattformen die tägliche Arbeit. Ein amerikanischer Anbieter stellt ein in vielen Unternehmen genutztes Automatisierungs-Tool bereit, welches jedoch Bedenken in Bezug auf die Einhaltung der Datenschutzgrundverordnung (DSGVO) auslöst.
Fingerabdruck-Scanner-226138068-AS-smolaw11Fingerabdruck-Scanner-226138068-AS-smolaw11smolaw11 – stock.adobe.com
Management

Arbeitszeiterfassung per Fingerabdruck erlaubt?

Ein Arbeitnehmer kann nicht zu einer Zeiterfassung per Fingerabdruck-Scanner verpflichtet werden. Dies entschied das Landesarbeitsgericht Berlin-Brandenburg.
Mann-Bett-Laptop-204193602-AS-Rawpixel-comMann-Bett-Laptop-204193602-AS-Rawpixel-comRawpixel.com – stock.adobe.com
Management

Homeoffice und IT-Sicherheit: Wie Sie virenfrei durch die nächste Zeit kommen

Aktuell ist noch nicht abzusehen, wie weit sich das neuartige Coronavirus noch verbreiten und wie viel Schaden entstehen wird. Tatsache ist, dass auch Einflüsse auf die tägliche Arbeit im Unternehmen die Folge sind.
Richterhammer-Buch-Iustitia-280246181-AS-Studio-EastRichterhammer-Buch-Iustitia-280246181-AS-Studio-EastStudio_East – stock.adobe.com
Management

Verstoß gegen die DSGVO ist wettbewerbswidrig

Das OLG Naumburg hat in zwei Urteilen entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO wettbewerbswidrig ist und den Mitbewerbern insofern ein Unterlassungsanspruch zusteht, wenn die verletzte Norm in der konkreten Fallkonstellation als Marktverhaltensregelung einzuordnen ist (OLG Naumburg v. 07.11.2019, Az. 9 U 6/19 und 9 U 39/18).