Datenschutzbeschwerde: Jöhnke & Reichow erreicht Einstellung des Verfahrens

Die Hamburger Kanzlei Jöhnke & Reichow erwirkt vor dem Bayerischen Landesamt für Datenschutzaufsicht die Abweisung einer Datenschutzbeschwerde gegen die Mandantschaft und damit auch die Einstellung dieses aufsichtsbehördlichen Verfahrens.

(PDF)
send a mail with paper plane shadowsend a mail with paper plane shadowipatou – stock.adobe.com

Die Beschwerdeführerin wirft der Beschwerdegegnerin (Mandantschaft) vor eine unverschlüsselte E-Mail an die Beschwerdeführerin gesendet zu haben. In dieser E-Mail sollen umfangreiche Gesundheitsdaten der Beschwerdeführerin in einer Tabelle enthalten gewesen sein. Dabei soll der Umfang der in der tabellarischen Aufstellung geforderten Daten nicht angemessen und erforderlich gewesen sein. Insbesondere sollen dabei die sensiblen Gesundheitsdaten in einem unverhältnismäßigen Ausmaß abgefragt worden sein.

Aus diesem Grunde sollte zu den Fragen der Behörde Stellung genommen werden, welche Rechtsgrundlagen diese Datenverarbeitung rechtfertigen und ob grundsätzlich eine verschlüsselte Form für den Emailversandt genutzt wurde und welche. Darüber hinaus sollte Stellung zu der Frage genommen werden, ob es sich hierbei um ein Standard-Vorgehen der Beschwerdegegnerin handelte.

Zur Rechtslage dieses datenschutzrechtlochen Verfahrens vor der Landesdatenschutzbehörde führt die Kanzlei Jöhnke & Reichow wie nachfolgend aus:

Rechtsgrundlagen und Zweck der Datenverarbeitung

Vorliegend seien die folgenden Rechtsgrundlagen in Bezug auf die Datenverarbeitung einschlägig:

Erfüllung eines Vertrages (Art. 6. a lit. b DSGVO)

Zwischen den Parteien bestand – bis zur Kündigung durch die Beschwerdeführerin – ein nicht schriftliche vereinbarter Versicherungsmaklervertrag. Dieser Vertrag sei an keine Formvorschriften gebunden. Ein Versicherungsmaklervertrag komme ebenso mündlich zustande. Es reiche die Beauftragung des Versicherungsmaklers einen entsprechenden Versicherungsvergleich zu erstellen, um daraufhin möglicherweise einen Versicherungsvertrag abschließen zu wollen. Ebenfalls die Anbahnung zu einem Versicherungsmaklervertrag sei von der vorgenannten Anspruchsgrundlage gedeckt.

Aus diesem Grunde sei die Beschwerdegegnerin vertraglich legitimiert gewesen personenbezogene Daten zu erheben. Da vorliegend von der Beschwerdeführerin die Vermittlung einer Berufsunfähigkeitsversicherung durch die Beschwerdegegnerin gewünscht war, sei die Beschwerdegegnerin auch vertraglich legitimiert gewesen, die Gesundheitsdaten zu erheben, um sodann eine anonymisierte Risikovoranfrage bei einer Versicherung machen zu können. Ohne eine genaue Erhebung von Gesundheitsdaten könne eine Risikovoranfrage nicht durchgeführt werden. Demgemäß hätte die Beschwerdegegnerin auch ihre Pflichten aus dem Versicherungsmaklervertrag nicht erfüllen können. Aus diesem Grund sei die Beschwerdegegnerin zur Erfüllung des Vertrages verpflichtet gewesen, die personenbezogenen Daten entsprechend zu erheben, so die Kanzlei Jöhnke & Reichow. Auch war es so, dass die Beschwerdeführerin diverse medizinische Behandlungen in Anspruch genommen hatte, so dass diese umfangreichen Daten geordnet und dem Versicherer aufbereitet werden mussten, damit dieser das entsprechend Risiko kalkulieren konnte. Bereits die Tatsache, dass die Versicherungsnehmerin einige Arzttermine wegen gesundheitlichen Beschwerden wahrgenommen hatte, machte eine Risikovoranfrage zwingend notwendig, um den Auftrag eines gewissenhaften Versicherungsmaklers erfüllen zu können.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Die Beschwerdegegnerin sei auch gesetzlich verpflichtet eine entsprechende Beratungsdienstleistung zu erbringen. Dazu musste die Beschwerdegegnerin – zur Vermittlung der hier auch gewünschten Berufsunfähigkeitsversicherung – personenbezogene Daten bei der Beschwerdeführerin erheben, um eine entsprechende anonymisierte Risikovoranfrage bei den Versicherungen zu stellen. Hierzu sei die Beschwerdegegnerin auch gesetzlich verpflichtet, denn sie habe den Kunden entsprechende Versicherungsangebote vorzulegen, damit diese eine Entscheidung auf Basis der entsprechenden Empfehlung des Versicherungsmaklers treffen kann, vgl. § 60 VVG. Entsprechende Versicherungsangebote könnte die Beschwerdegegnerin jedoch nicht vorlegen, wenn sie nicht vorher bei der jeweiligen Versicherung die Versicherbarkeit aufgrund des jeweiligen Gesundheitszustandes angefragt hat. Aus diesem Grund sei die anonymisierte Risikovoranfrage zwingend notwendig, um die gesetzlichen Vorgaben für den Versicherungsmakler zu erfüllen.

Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7 und Art. 9 Abs. 2 lit. a DSGVO)

Darüber hinaus habe die Beschwerdeführerin durch ihre Handlungen in eine Verarbeitung eingewilligt. Die Beschwerdeführerin habe die vorliegenden Gesundheitsdaten der Beschwerdegegnerin selbst und eigeninitiativ mitgeteilt, damit diese die Daten tabellarisch zusammenfasst, um diese Zusammenfassung der Beschwerdeführerin nochmal zur Gegenkontrolle und Ergänzung per E-Mail zu übersenden. Auch hierin habe die Beschwerdeführerin durch ihr Handeln eingewilligt, denn sie habe mittels E-Mail darum gebeten, diese Daten entsprechend auch noch ergänzen zu wollen. Von daher sei vorliegend ebenfalls von einer Einwilligung der Beschwerdeführerin auszugehen.

Personenbezogenen Daten im Sinne von Art. 9 DSGVO

Weiter wies die Kanzlei Jöhnke & Reichow in diesem datenschutzrechtlichen Verfahren darauf hin, dass es sich vorliegend auch um keine Weitergabe von personenbezogenen Daten einer besonderen Kategorie, zum Beispiel Gesundheitsdaten, im Sinne des Art. 9 Abs. 1 DSGVO handele. Hier fehle es an der eindeutigen Identifizierbarkeit einer natürlichen Person, denn die Daten aus der streitgegenständlichen Liste lassen keine eindeutige Identifizierung der Beschwerdeführerin zu.

Art. 9 DSGVO:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Zwar handele sich vorliegend unzweifelhaft um Gesundheitsdaten, denn „Gesundheitsdaten“ seien personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO). Doch auch diese Daten müssen eine natürliche Person eindeutig identifizieren können. Dieses sei vorliegend eben gerade nicht der Fall, meint die Kanzlei Jöhnke & Reichow. Denn aus der Zusammenfassung der Beschwerdegegnerin der Daten der Beschwerdeführerin, konnten keine Rückschlüsse zur eindeutigen Identifizierung einer natürlichen Person gezogen werden. Zwar wurden beispielsweise Ärzte und Diagnosen erfasst sowie auch die Behandlungstermine. Hieraus lasse sich jedoch schließen, wer diese Termine wahrgenommen hat. Auch dürfen Ärzte aus berufsständischen Gründen („Schweigepflicht“) nicht etwa Dritten Auskünfte erteilen. Somit bestand de facto kein Risiko für die Beschwerdeführerin, wäre die Datei in „fremde Hände“ gelangt. Aufgrund dieses nicht vorhandenen Risikoszenarios, dürfe es auch keine datenschutzrechtliche Pönalisierung der Beschwerdegegnerin geben.

Zusammenfassung

Nach alledem sei nach dem Dafürhalten der Kanzlei Jöhnke & Reichow das Handeln der Beschwerdegegnerin über die vorgenannten Rechtsgrundlagen der Datenschutz-Grundverordnung gedeckt. Die Beschwerde der Beschwerdeführerin sei daher zurückzuweisen. Es liege nach Auffassung der Kanzlei Jöhnke & Reichow kein Datenschutzverstoß vor, allenfalls keiner, welcher ein Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehe oder ziehen könnte.

Letztlich seien alle Daten anonymisiert gewesen, so dass keine Rückschlüsse auf die natürliche Person möglich waren. Die genannten Ärzte selbst seien alle über das öffentliche Internet zu finden und ehedem selbst zur Verschwiegenheit verpflichtet. Reine Diagnosen stellen nur dann ein personenbezogenes Datum dar, wenn diese überhaupt personenbezogen sind, was vorliegend gerade nicht der Fall sei. Zur entsprechenden Datenerhebung war die Beschwerdegegnerin vertraglich sowie auch gesetzlich legitimiert. Insbesondere habe die Beschwerdegegnerin einer Datenverarbeitung zugestimmt und damit eingewilligt.

Vor diesem Hintergrund sei der Beschwerdegegnerin kein Datenschutzverstoß anzulasten, abschließend die Kanzlei Jöhnke & Reichow.

Nach alledem sei nach dem Dafürhalten der Kanzlei Jöhnke & Reichow das Handeln der Beschwerdegegnerin über die vorgenannten Rechtsgrundlagen der Datenschutz-Grundverordnung gedeckt. Die Beschwerde der Beschwerdeführerin sei daher zurückzuweisen. Es liege nach Auffassung der Kanzlei Jöhnke & Reichow kein Datenschutzverstoß vor, allenfalls keiner, welcher ein Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehe oder ziehen könnte.

Letztlich seien alle Daten anonymisiert gewesen, so dass keine Rückschlüsse auf die natürliche Person möglich waren. Die genannten Ärzte selbst seien alle über das öffentliche Internet zu finden und ehedem selbst zur Verschwiegenheit verpflichtet. Reine Diagnosen stellen nur dann ein personenbezogenes Datum dar, wenn diese überhaupt personenbezogen sind, was vorliegend gerade nicht der Fall sei. Zur entsprechenden Datenerhebung war die Beschwerdegegnerin vertraglich sowie auch gesetzlich legitimiert. Insbesondere habe die Beschwerdegegnerin einer Datenverarbeitung zugestimmt und damit eingewilligt. Vor diesem Hintergrund sei der Beschwerdegegnerin kein Datenschutzverstoß anzulasten, abschließend die Kanzlei Jöhnke & Reichow.

Rechtliche Würdigung der Landesdatenschutzbehörde

Das Bayerische Landesamt für Datenschutzaufsicht teilte die Rechtsaufassung der Kanzlei Jöhnke & Reichow vollumfänglich. Vor diesem Hintergrund sei kein Datenschutzverstoß der Mandantschaft festzustellen. Das Verhalten der Mandantschaft sei mithin datenschutzrechtlich nicht zu beanstanden. Die Datenschutzbeschwerde der Beschwerdeführerin wurde durch das Bayerische Landesamt für Datenschutzaufsicht abgewiesen und das Verfahren eingestellt.

(PDF)

LESEN SIE AUCH

Laptop, gavel and scales on table, closeup. Cyber crimeLaptop, gavel and scales on table, closeup. Cyber crimeNew Africa – stock.adobe.comLaptop, gavel and scales on table, closeup. Cyber crimeNew Africa – stock.adobe.com
Urteile

Datenschutzbeschwerde eingestellt!

Reine Diagnosen stellen nicht automatisch personenbezogene Daten dar. Dies betrifft auch Gesundheitsdaten im Zuge einer BU-Risikovoranfrage, denn auch diese Daten müssen eine natürliche Person eindeutig identifizieren können, um als „personenbezogen“ zu gelten.

Modern Office: Portrait of Young Stylish Businessman Wearing GlaModern Office: Portrait of Young Stylish Businessman Wearing GlaGorodenkoff – stock.adobe.comModern Office: Portrait of Young Stylish Businessman Wearing GlaGorodenkoff – stock.adobe.com
Digitalisierung

Datenschutz: Abmahnungen für die Verwendung von Google Fonts

Aktuell häufen sich die Abmahnungen an Webseitenbetreiber im Zusammenhang mit der Nutzung von Google Fonts. Ob eine Abmahnung samt Gebührenforderung rechtmäßig sein könnte, erläutert die Kanzlei Jöhnke und Reichow Rechtsanwälte.

Laptop_Daten_243384885_AS_natali_misLaptop_Daten_243384885_AS_natali_misnatali_mis – stock.adobe.comLaptop_Daten_243384885_AS_natali_misnatali_mis – stock.adobe.com
Urteile

Urteil: Unglaublich weitreichender Auskunftsanspruch

Der Bundesgerichtshof hat am 15.06.2021 eine bemerkenswerte und weitreichende Entscheidung gesprochen. Mit dem Urteil VI ZR 576/19  weist er einem Kunden unglaublich umfassende Auskunftsansprüche zu - und das zu allen über ihn gespeicherte personenbezogenen Daten.
Concept human brain with blue glowing connection made from roots of tree on black background.Concept human brain with blue glowing connection made from roots of tree on black background.pomah – stock.adobe.comConcept human brain with blue glowing connection made from roots of tree on black background.pomah – stock.adobe.com
Urteile

BU-Versicherung: keine spontane Anzeige der Parkinsonerkrankung, wenn nicht danach gefragt!

Auch bei einer Parkinsonerkrankung besteht keine spontane Anzeigepflicht: Wurde im BU-Versicherungsantrag nicht nach neurologischen Krankheiten gefragt, muss Parkinson nicht angegeben werden.

Richterhammer-Laptop-55209297-DP-AVFCRichterhammer-Laptop-55209297-DP-AVFCRichterhammer-Laptop-55209297-DP-AVFC
Infothek KMU

Cyber-Security: Neues Gesetz ab Herbst treibt IT-Mindestvorgaben

Bei Unternehmen mit über 10 Mio. Euro Umsatz wird mittlerweile rund jeder zweite Cyberversicherungs-Antrag wegen unzureichender IT-Sicherheit abgelehnt. Ab Oktober 2024 wird der Abschluss noch schwieriger, weil die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) in Kraft tritt.

Young doctor making silence gesture on blue backgroundYoung doctor making silence gesture on blue backgroundYoung doctor making silence gesture on blue background
Urteile

Pauschale Entbindung von der Schweigepflicht in der BU

In seiner Entscheidung über die Zulässigkeit einer pauschalen Entbindung von der Schweigepflicht setzte sich das LG Berlin auch mit der Mitwirkungspflicht des Versicherungsnehmers bei der Leistungsprüfung und deren Grenzen auseinander.

Mehr zum Thema

mb-bn / pixabaymb-bn / pixabay
Urteile

Wohneigentum: Welche Ansprüche bei steckengebliebenem Bau bestehen

Der Bundesgerichtshof hat entschieden: Wohnungseigentümer haben grundsätzlich einen Anspruch auf die plangerechte Ersterrichtung des Gemeinschaftseigentums – unter engen Bedingungen. Eine zentrale Rolle spielt dabei die Zumutbarkeit für die übrigen Eigentümer.

Der Bundesgerichtshof hat die Berechnung des Selbstbehalts beim Elternunterhalt neu bewertet. Damit wird die Anwendung der Einkommensgrenze von 100.000 Euro aus dem Angehörigen-Entlastungsgesetz genauer eingeordnet.succo / pixabayDer Bundesgerichtshof hat die Berechnung des Selbstbehalts beim Elternunterhalt neu bewertet. Damit wird die Anwendung der Einkommensgrenze von 100.000 Euro aus dem Angehörigen-Entlastungsgesetz genauer eingeordnet.succo / pixabay
Urteile

BGH-Urteil: Neue Klarstellungen beim Elternunterhalt

Der Bundesgerichtshof hat die Berechnung des Selbstbehalts beim Elternunterhalt neu bewertet. Damit wird die Anwendung der Einkommensgrenze von 100.000 Euro aus dem Angehörigen-Entlastungsgesetz genauer eingeordnet.

Ein Wildunfall ohne ausreichende Beweise kann teuer werden, wie ein aktuelles Urteil des Amtsgerichts München zeigt.BernhardFalkinger / pixabayEin Wildunfall ohne ausreichende Beweise kann teuer werden, wie ein aktuelles Urteil des Amtsgerichts München zeigt.BernhardFalkinger / pixabay
Urteile

Zweifel an Wildunfall: Gericht verweigert Versicherungsleistung

Ein Wildunfall ohne ausreichende Beweise kann teuer werden, wie ein aktuelles Urteil des Amtsgerichts München zeigt. Schadenexpertin Margareta Bösl (uniVersa) gibt wertvolle Tipps, wie sich Versicherungsnehmer nach einem Wildunfall richtig verhalten.

Haus-Richterhammer-180431486-DP-AndreyPopovHaus-Richterhammer-180431486-DP-AndreyPopovHaus-Richterhammer-180431486-DP-AndreyPopov
Urteile

Finanzgericht Köln weist Klage zur neuen Grundsteuerbewertung ab

Das Finanzgericht Köln verhandelte erstmalig in einem Verfahren, das die Bewertung einer Immobilie für die neue Grundsteuer in NRW betrifft. Die Klage richtete sich gegen einen Bescheid über die Feststellung des Grundsteuerwerts nach dem Bundesmodell. Entschieden wurde, die neue Grundsteuerbewertung ist nicht zu beanstanden, die Revision zum Bundesfinanzhof wurde aber zugelassen.

24_09_Schlüsseldiebstahl_Einbruch.jpg24_09_Schlüsseldiebstahl_Einbruch.jpgLBS24_09_Schlüsseldiebstahl_Einbruch.jpgLBS
Urteile

Schlüssel war weg: Versicherter blieb auf Einbruchsschaden sitzen

Ein Versicherungsnehmer hatte Wohnungs- und Tresorschlüssel von außen sichtbar im Auto in einer Aktentasche liegen lassen - mit Dokumenten, die seine Anschrift erkennen ließen. Nach einem Einbruch forderte er von seiner Hausratversicherung Schadenersatz und berief sich auf die "erweiterte Schlüsselklausel".

industrial machinery is working on sunsetindustrial machinery is working on sunsetindustrial machinery is working on sunset
Urteile

Betreten verboten: Auch Sorgen der Nachbarn berechtigen nicht zur Grenzüberschreitung

Der Schutz des Eigentums wird im deutschen Recht großgeschrieben. Dazu gehört es auch, dass man das Grundstück des Nachbarn nur unter ganz bestimmten, sehr seltenen Umständen ungefragt betreten darf. Die Sorge, dass Bauarbeiten die Wurzeln der eigenen Pflanzen schädigen könnten, reicht dazu nach nicht aus.