Datenschutzbeschwerde eingestellt!

Die Hamburger Kanzlei Jöhnke & Reichow erwirkt vor dem Bayerischen Landesamt für Datenschutzaufsicht die Abweisung einer Datenschutzbeschwerde gegen die Mandantschaft und damit auch die Einstellung dieses aufsichtsbehördlichen Verfahrens.

(PDF)
Laptop, gavel and scales on table, closeup. Cyber crimeLaptop, gavel and scales on table, closeup. Cyber crimeNew Africa – stock.adobe.com

Ein Beitrag von Björn Thorben M. Jöhnke, Fachanwalt für Versicherungsrecht, Gewerblichen Schutz und Informationstechnologierecht, Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB

Die Beschwerdeführerin wirft der Beschwerdegegnerin (Mandantschaft) vor eine unverschlüsselte E-Mail an die Beschwerdeführerin gesendet zu haben. In dieser E-Mail sollen umfangreiche Gesundheitsdaten der Beschwerdeführerin in einer Tabelle enthalten gewesen sein. Dabei soll der Umfang der in der tabellarischen Aufstellung geforderten Daten nicht angemessen und erforderlich gewesen sein. Insbesondere sollen dabei die sensiblen Gesundheitsdaten in einem unverhältnismäßigen Ausmaß abgefragt worden sein.

Aus diesem Grunde sollte zu den Fragen der Behörde Stellung genommen werden, welche Rechtsgrundlagen diese Datenverarbeitung rechtfertigen und ob grundsätzlich eine verschlüsselte Form für den Emailversand genutzt wurde und welche. Darüber hinaus sollte Stellung zu der Frage genommen werden, ob es sich hierbei um ein Standard-Vorgehen der Beschwerdegegnerin handelte.

Vorliegend sind die folgenden Rechtsgrundlagen in Bezug auf die Datenverarbeitung einschlägig:

Erfüllung eines Vertrages

Zwischen den Parteien bestand – bis zur Kündigung durch die Beschwerdeführerin – ein nicht schriftliche vereinbarter Versicherungsmaklervertrag (Art. 6 Abs. 1 lit. b DSGVO). Dieser Vertrag sei an keine Formvorschriften gebunden. Ein Versicherungsmaklervertrag komme ebenso mündlich zustande. Es reiche die Beauftragung des Versicherungsmaklers einen entsprechenden Versicherungsvergleich zu erstellen, um daraufhin möglicherweise einen Versicherungsvertrag abschließen zu wollen. Ebenfalls die Anbahnung zu einem Versicherungsmaklervertrag sei von der vorgenannten Anspruchsgrundlage gedeckt.

Aus diesem Grunde sei die Beschwerdegegnerin vertraglich legitimiert gewesen personenbezogene Daten zu erheben. Da vorliegend von der Beschwerdeführerin die Vermittlung einer Berufsunfähigkeitsversicherung durch die Beschwerdegegnerin gewünscht war, sei die Beschwerdegegnerin auch vertraglich legitimiert gewesen, die Gesundheitsdaten zu erheben, um sodann eine anonymisierte Risikovoranfrage bei einer Versicherung machen zu können.

Ohne eine genaue Erhebung von Gesundheitsdaten könne eine Risikovoranfrage nicht durchgeführt werden. Demgemäß hätte die Beschwerdegegnerin auch ihre Pflichten aus dem Versicherungsmaklervertrag nicht erfüllen können. Aus diesem Grund sei die Beschwerdegegnerin zur Erfüllung des Vertrages verpflichtet gewesen, die personenbezogenen Daten entsprechend zu erheben.

Auch war es so, dass die Beschwerdeführerin diverse medizinische Behandlungen in Anspruch genommen hatte, so dass diese umfangreichen Daten geordnet und dem Versicherer aufbereitet werden mussten, damit dieser das entsprechend Risiko kalkulieren konnte. Bereits die Tatsache, dass die Versicherungsnehmerin einige Arzttermine wegen gesundheitlichen Beschwerden wahrgenommen hatte, machte eine Risikovoranfrage zwingend notwendig, um den Auftrag eines gewissenhaften Versicherungsmaklers erfüllen zu können.

Rechtliche Verpflichtung

Die Beschwerdegegnerin sei auch gesetzlich verpflichtet eine entsprechende Beratungsdienstleistung zu erbringen (Art. 6 Abs. 1 lit. c DSGVO). Dazu musste die Beschwerdegegnerin – zur Vermittlung der hier auch gewünschten Berufsunfähigkeitsversicherung – personenbezogene Daten bei der Beschwerdeführerin erheben, um eine entsprechende anonymisierte Risikovoranfrage bei den Versicherungen zu stellen.

Hierzu sei die Beschwerdegegnerin auch gesetzlich verpflichtet, denn sie habe den Kunden entsprechende Versicherungsangebote vorzulegen, damit diese eine Entscheidung auf Basis der entsprechenden Empfehlung des Versicherungsmaklers treffen kann, vgl. § 60 VVG.

Entsprechende Versicherungsangebote könnte die Beschwerdegegnerin jedoch nicht vorlegen, wenn sie nicht vorher bei der jeweiligen Versicherung die Versicherbarkeit aufgrund des jeweiligen Gesundheitszustandes angefragt hat. Aus diesem Grund sei die anonymisierte Risikovoranfrage zwingend notwendig, um die gesetzlichen Vorgaben für den Versicherungsmakler zu erfüllen.

Einwilligung

Darüber hinaus habe die Beschwerdeführerin durch ihre Handlungen in eine Verarbeitung eingewilligt (Art. 6 Abs. 1 lit. a, Art. 7 und Art. 9 Abs. 2 lit. a DSGVO). Die Beschwerdeführerin habe die vorliegenden Gesundheitsdaten der Beschwerdegegnerin selbst und eigeninitiativ mitgeteilt, damit diese die Daten tabellarisch zusammenfasst, um diese Zusammenfassung der Beschwerdeführerin nochmal zur Gegenkontrolle und Ergänzung per E-Mail zu übersenden. Auch hierin habe die Beschwerdeführerin durch ihr Handeln eingewilligt, denn sie habe mittels E-Mail darum gebeten, diese Daten entsprechend auch noch ergänzen zu wollen. Von daher sei vorliegend ebenfalls von einer Einwilligung der Beschwerdeführerin auszugehen.

Personenbezogenen Daten

Weiter wies die Kanzlei Jöhnke & Reichow in diesem datenschutzrechtlichen Verfahren darauf hin, dass es sich vorliegend auch um keine Weitergabe von personenbezogenen Daten einer besonderen Kategorie, zum Beispiel Gesundheitsdaten, im Sinne des Art. 9 Abs. 1 DSGVO handele. Hier fehle es an der eindeutigen Identifizierbarkeit einer natürlichen Person, denn die Daten aus der streitgegenständlichen Liste lassen keine eindeutige Identifizierung der Beschwerdeführerin zu. Art. 9 der DSGVO besagt:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Zwar handele sich vorliegend unzweifelhaft um Gesundheitsdaten, denn „Gesundheitsdaten“ seien personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO).

Doch auch diese Daten müssen eine natürliche Person eindeutig identifizieren können. Dieses sei vorliegend eben gerade nicht der Fall. Denn aus der Zusammenfassung der Beschwerdegegnerin der Daten der Beschwerdeführerin, konnten keine Rückschlüsse zur eindeutigen Identifizierung einer natürlichen Person gezogen werden. Zwar wurden beispielsweise Ärzte und Diagnosen erfasst sowie auch die Behandlungstermine. Hieraus lasse sich jedoch schließen, wer diese Termine wahrgenommen hat. Auch dürfen Ärzte aus berufsständischen Gründen („Schweigepflicht“) nicht etwa Dritten Auskünfte erteilen.

Somit bestand de facto kein Risiko für die Beschwerdeführerin, wäre die Datei in „fremde Hände“ gelangt. Aufgrund dieses nicht vorhandenen Risikoszenarios, dürfe es auch keine datenschutzrechtliche Pönalisierung der Beschwerdegegnerin geben.

Zusammenfassung

Nach alledem sei nach dem Dafürhalten der Kanzlei Jöhnke & Reichow das Handeln der Beschwerdegegnerin über die vorgenannten Rechtsgrundlagen der Datenschutz-Grundverordnung gedeckt. Die Beschwerde der Beschwerdeführerin sei daher zurückzuweisen. Es liege nach Auffassung der Kanzlei Jöhnke & Reichow kein Datenschutzverstoß vor, allenfalls keiner, welcher ein Risiko für die Rechte und Freiheiten natürlicher Personen nach sich ziehe oder ziehen könnte.

Letztlich seien alle Daten anonymisiert gewesen, so dass keine Rückschlüsse auf die natürliche Person möglich waren. Die genannten Ärzte selbst seien alle über das öffentliche Internet zu finden und ehedem selbst zur Verschwiegenheit verpflichtet.

Reine Diagnosen stellen nur dann personenbezogene Daten dar, wenn diese überhaupt personenbezogen sind, was vorliegend gerade nicht der Fall sei. Zur entsprechenden Datenerhebung war die Beschwerdegegnerin vertraglich sowie auch gesetzlich legitimiert. Insbesondere habe die Beschwerdegegnerin einer Datenverarbeitung zugestimmt und damit eingewilligt. Vor diesem Hintergrund sei der Beschwerdegegnerin kein Datenschutzverstoß anzulasten.

Rechtliche Würdigung der Landesdatenschutzbehörde

Das Bayerische Landesamt für Datenschutzaufsicht teilte die Rechtsaufassung der Kanzlei Jöhnke & Reichow vollumfänglich. Vor diesem Hintergrund sei kein Datenschutzverstoß der Mandantschaft festzustellen. Das Verhalten der Mandantschaft sei mithin datenschutzrechtlich nicht zu beanstanden. Die Datenschutzbeschwerde der Beschwerdeführerin wurde durch das Bayerische Landesamt für Datenschutzaufsicht abgewiesen und das Verfahren eingestellt.

(PDF)

LESEN SIE AUCH

send a mail with paper plane shadowsend a mail with paper plane shadowipatou – stock.adobe.comsend a mail with paper plane shadowipatou – stock.adobe.com
Urteile

Datenschutzbeschwerde: Jöhnke & Reichow erreicht Einstellung des Verfahrens

Jöhnke & Reichow erreichte die Einstellung eines aufsichtsbehördlichen Verfahrens der Landesdatenschutzbehörde Bayern. Gegenstand war ein Datenschutzvergehen durch eine unverschlüsselte E-Mail, die sensible Gesundheitsdaten enthielt.

Fair social justice concept with gavel and stethoscope front vieFair social justice concept with gavel and stethoscope front vieDavizro Photography – stock.adobe.comFair social justice concept with gavel and stethoscope front vieDavizro Photography – stock.adobe.com
Assekuranz

Rechtsmissbräuchlichkeit in Verbindung mit dem DSGVO-Auskunftsanspruch

Ist ein Auskunftsanspruch aus der Datenschutz-Grundverordnung rechtsmissbräuchlich, wenn damit nicht primär datenschutzrechtliche Zwecke, sondern andere Ziele wie die Informationen über Prämienanpassungen verfolgt werden? Darüber hatte das Oberlandesgericht Nürnberg zu befinden.

Richterhammer und Tastatur.Richterhammer und Tastatur.Gina Sanders – stock.adobe.comRichterhammer und Tastatur.Gina Sanders – stock.adobe.com
Urteile

Zur Rechtsmissbräuchlichkeit von Auskunftsansprüchen nach der DSGVO

Das OLG Dresden hat in seinem Urteil klargestellt, dass es keinen Weg gibt den DSGVO-Auskunftsanspruch für die Vorbereitung der Geltendmachung von geldwerten Ansprüchen zu nutzen. Er dient nämlich, so wie es der Titel der Verordnung bezeichnet, allein dem Datenschutz.

Young doctor making silence gesture on blue backgroundYoung doctor making silence gesture on blue backgroundYoung doctor making silence gesture on blue background
Urteile

Pauschale Entbindung von der Schweigepflicht in der BU

In seiner Entscheidung über die Zulässigkeit einer pauschalen Entbindung von der Schweigepflicht setzte sich das LG Berlin auch mit der Mitwirkungspflicht des Versicherungsnehmers bei der Leistungsprüfung und deren Grenzen auseinander.

Laptop-Haende-E-Mail-416930594-AS-Song-about-summerLaptop-Haende-E-Mail-416930594-AS-Song-about-summerSong_about_summer – stock.adobe.comLaptop-Haende-E-Mail-416930594-AS-Song-about-summerSong_about_summer – stock.adobe.com
Assekuranz

E-Mail-Archivierung als Must-do der IT-Strategie

Professionelle E-Mail-Archivierung unterstützt Unternehmen dabei, den (datenschutz-)rechtlichen Anforderungen nachzukommen, denn sie gewährleistet die revisionssichere Aufbewahrung. Im Cyber-Schadenfall zahlt sie zudem auf die Business Continuity ein.

Code-171054954-AS-immimageryCode-171054954-AS-immimageryimmimagery – stock.adobe.comCode-171054954-AS-immimageryimmimagery – stock.adobe.com

Digitales Fort Knox?

Datenschutz muss von der Gründung an konsequent verfolgt und beherzigt werden. Anfängliche Versäumnisse münden anderenfalls in aufwendigen Anpassungsprozessen und können schlimmstens die gesamte Unternehmenstätigkeit gefährden.

Mehr zum Thema

Forderungen des Pensions-Sicherungs-Vereins (PSV) in Insolvenzverfahren verjähren erst nach 30 Jahren, entschied das Bundesarbeitsgericht.moritz320 / pixabayForderungen des Pensions-Sicherungs-Vereins (PSV) in Insolvenzverfahren verjähren erst nach 30 Jahren, entschied das Bundesarbeitsgericht.moritz320 / pixabay
Urteile

Pensions-Sicherungs-Verein kann Forderungen 30 Jahre lang geltend machen

Forderungen des Pensions-Sicherungs-Vereins (PSV) in Insolvenzverfahren verjähren erst nach 30 Jahren. Das hat das Bundesarbeitsgericht entschieden. Eine Verjährung nach drei Jahren, wie von einem Insolvenzverwalter gefordert, lehnten die Richter ab.

Nach Ansicht des Gerichts war die Regelung für den durchschnittlichen Versicherungsnehmer intransparent.Foto: PixabayNach Ansicht des Gerichts war die Regelung für den durchschnittlichen Versicherungsnehmer intransparent.Foto: Pixabay
Urteile

BGH: Automatische Beendigung einer D&O-Versicherung bei Insolvenz unwirksam

Der Bundesgerichtshof hat mit Urteil vom 18. Dezember 2024 eine Klausel in den Allgemeinen Versicherungsbedingungen einer D&O-Versicherung für unwirksam erklärt, die den Versicherungsschutz automatisch mit Ablauf der Versicherungsperiode bei Insolvenzantragstellung beendet.

Verbraucher, die von Kürzungen ihrer Riester-Rente betroffen sind, sollten ihren Versicherungsvertrag genau prüfen.Foto: AdobestockVerbraucher, die von Kürzungen ihrer Riester-Rente betroffen sind, sollten ihren Versicherungsvertrag genau prüfen.Foto: Adobestock
Urteile

Allianz unterliegt vor Gericht: Riester-Rente darf nicht gekürzt werden

Ein bedeutendes Urteil des Oberlandesgerichts Stuttgart sorgt für Aufsehen in der Versicherungsbranche: Die Allianz Lebensversicherungs-AG darf eine umstrittene Klausel in ihren fondsgebundenen Riester-Rentenverträgen nicht mehr verwenden.

Der Bundesgerichtshof hat entschieden: Für die Beurteilung eines Reiserücktritts wegen Covid-19 sind nur die Umstände zum Zeitpunkt des Rücktritts entscheidend.succo / pixabayDer Bundesgerichtshof hat entschieden: Für die Beurteilung eines Reiserücktritts wegen Covid-19 sind nur die Umstände zum Zeitpunkt des Rücktritts entscheidend.succo / pixabay
Urteile

Reiserücktritt wegen Covid-19: BGH schafft Klarheit

Der Bundesgerichtshof hat entschieden: Für die Beurteilung eines Reiserücktritts wegen Covid-19 sind nur die Umstände zum Zeitpunkt des Rücktritts entscheidend. Was diese Entscheidung für Reisende, Veranstalter und Versicherer bedeutet.

Das Gericht stellte fest, dass die Post-COVID-Beschwerden des Krankenpflegers zweifelsfrei im Zusammenhang mit seiner COVID-19-Infektion stehen, die während seiner Tätigkeit im Gesundheitswesen erfolgte.Foto: AdobestockDas Gericht stellte fest, dass die Post-COVID-Beschwerden des Krankenpflegers zweifelsfrei im Zusammenhang mit seiner COVID-19-Infektion stehen, die während seiner Tätigkeit im Gesundheitswesen erfolgte.Foto: Adobestock
Urteile

Gericht stärkt Post-COVID-Erkrankte: Der Fall eines Krankenpflegers und seine Bedeutung

Ein Krankenpfleger aus Baden-Württemberg steht im Mittelpunkt eines Rechtsstreits, der weit über seinen persönlichen Fall hinaus Signalwirkung entfalten könnte. Der Mann leidet bis heute an schweren Langzeitfolgen. Dennoch verweigerte die Unfallkasse Baden-Württemberg ihm die Zahlung einer Verletztenrente.

Eine Fahrt zur Tankstelle ist kein Arbeitsweg und fällt daher nicht unter den Schutz der gesetzlichen Unfallversicherung.sanjayjena224 / pixabayEine Fahrt zur Tankstelle ist kein Arbeitsweg und fällt daher nicht unter den Schutz der gesetzlichen Unfallversicherung.sanjayjena224 / pixabay
Urteile

Fahrt zur Tankstelle zählt nicht als Arbeitsweg

Das Landessozialgericht Baden-Württemberg hat entschieden: Eine Fahrt zur Tankstelle ist kein Arbeitsweg und fällt daher nicht unter den Schutz der gesetzlichen Unfallversicherung. Der Fall verdeutlicht die Abgrenzung zwischen privater und beruflicher Sphäre.