R
e
– 110 –
lungsaufträgen die Datensätze auch an ein in den USA
ansässiges SWIFT-Rechenzentrum übermittelt würden.
Die jetzige Situation bedarf auch einer Klärung der Aufsichtsstrukturen bei SWIFT, die gegenwärtig den Zentralbanken obliegt. Dazu gehört insbesondere, dass die Umsetzung von datenschutzrechtlichen Regelungen unter
diese Aufsichtspflicht fällt, unbeschadet der Befugnisse
der nationalen Datenschutzaufsichtsbehörden. Auch ist
sicherzustellen, dass die zuständigen Behörden bei Bedarf vorschriftsmäßig und rechtzeitig unterrichtet werden.
Alle Finanzinstitute in der EU, einschließlich der Zentralbanken, die die Dienstleistungen des SWIFTNet FIN
Dienstes nutzen, haben gemäß Artikel 10 und 11 der
Richtlinie 95/46/EG sicherzustellen, dass sie ihre Kunden
angemessen über deren Datenverarbeitung und ihre diesbezüglichen Rechte unterrichten. In diesem Rahmen müssen die Kunden auch darüber informiert werden, dass die
US-Behörden Zugriff auf ihre Daten nehmen können. Die
Datenschutzaufsichtsbehörden werden diese Informationspflicht für alle Finanzinstitute europaweit durchsetzen. Darüber hinaus sollten die Finanzinstitute und Zentralbanken technische Alternativen zu den derzeitigen
Verfahren entwickeln, um einen mit den Grundsätzen der
Richtlinie im Einklang stehenden Zahlungstransfer zu gewährleisten (vgl. Beschluss des Düsseldorfer Kreises
vom 9. November 2006, Anlage 16 sowie Stellungnahme Nr. 128 der Artikel 29-Gruppe vom 22. November 2006, Anlage 9).
9.5
Warn- und Hinweissystem der Versicherungswirtschaft – Uniwagnis
Warn- und Hinweissysteme müssen datenschutzgerecht
ausgestaltet sein. Das System Uniwagnis der Versicherungswirtschaft erfüllt diese Voraussetzungen nicht.
Bei der Prüfung eines Versicherungsantrages oder im
Schadensfall kann es zur Risikobeurteilung, zur weiteren
Sachverhaltsaufklärung oder zur Verhinderung von Versicherungsmissbrauch notwendig sein, bei anderen Versicherungen Auskünfte einzuholen oder Daten an andere
Versicherer weiter zu geben. Die Versicherungswirtschaft
hat aus diesem Grund für die verschiedenen Versicherungssparten ein Warn- und Hinweissystem (Uniwagnis)
entwickelt, mit dem Informationen über Versicherungsnehmer ausgetauscht werden können. Hierzu wird im
Versicherungsantrag eine Einwilligungserklärung des
Versicherungsnehmers eingeholt. Das Warn- und Hinweissystem wird vom Gesamtverband der Versicherungswirtschaft (GDV) im Auftrag der angeschlossenen Versicherungsunternehmen betrieben (vgl. Kasten zu Nr. 9.5).
Die Datenschutzaufsichtsbehörden hatten Uniwagnis und
die bei Vertragsabschluss verwendete allgemeine Einwilligungserklärung beim Start des Systems im Jahr 1996
zunächst als datenschutzrechtlich unbedenklich eingestuft. Inzwischen muss jedoch davon ausgegangen werden, dass die bisherige Einwilligungsklausel nicht mehr
der geltenden Rechtslage entspricht, weil seit der
BDSG-Novellierung im Jahr 2001 eine hinreichend bestimmte Erklärung notwendig ist, die die Wirksamkeits-
voraussetzungen des § 4a Abs. 1 und 3 BDSG erfüllt.
Aus der Klausel ist nicht erkennbar, welchen Umfang und
welche Auswirkungen die Einmeldung und Weitergabe
von personenbezogenen Daten im Rahmen des Warn- und
Hinweissystems hat und zu welchem Zeitpunkt aufgrund
welcher Kriterien eine Einmeldung erfolgt. Auch eine
bessere Information über die Zweckbestimmung des Systems ist dringend geboten. Insoweit sei auch an dieser
Stelle auf die Entscheidung des BVerfG vom 23. Oktober
2006 (s. u. Nr. 9.6) hingewiesen.
Ungeachtet der Frage der Wirksamkeit der Einwilligung
bestehen bei den Datenschutzaufsichtbehörden grundsätzliche datenschutzrechtliche Bedenken in Bezug auf
Uniwagnis. Diese beziehen sich u. a. auf die mangelnde
Transparenz und Kontrollierbarkeit des Datenaustausches
zwischen den beteiligten Versicherungen im Trefferfall.
So ist nicht festgelegt, wie das berechtigte Interesse an einer Auskunft geprüft sowie der Informationsaustausch
zwischen den beteiligten Versicherungsunternehmen im
Trefferfall protokolliert bzw. dokumentiert wird. Die als
relevant angesehenen Daten werden zwar in den Sachakten festgehalten, jedoch existieren keine einheitlichen
Vorgaben. Der GDV hat angekündigt, Abhilfe durch die
Erstellung eines so genannten Compliance-Leitfadens zu
schaffen.
Problematisch ist aus Datenschutzsicht vor allem die
Weitergabe der codierten Daten an sämtliche Versicherungsunternehmen, weil es sich dabei um eine Weitergabe
personenbeziehbarer Daten auf Vorrat handelt. Weitere
Problemfelder sind die von der Versicherungswirtschaft
festgelegten Einmeldekriterien und die fehlende Möglichkeit für die Betroffenen, ihren Anspruch auf Löschung
oder Berichtigung geltend zu machen, weil sie über die
Einmeldungen nicht benachrichtigt werden. Ferner die
Einmeldung Dritter (z. B. Unfallgeschädigte, Zeugen,
Sachverständige) in das System ohne deren Benachrichtigung. Dies ist als besonders kritisch anzusehen, weil
diese Dritten keine Einwilligung in die Übermittlung ihrer personenbezogenen Daten in das System Uniwagnis
abgegeben haben und die Übermittlung nicht auf §§ 28,
29 BDSG gestützt werden kann, weil eine Beeinträchtigung schutzwürdiger Belange der Betroffenen anzunehmen ist, wenn ihre Daten ohne vorherige Information eingemeldet werden.
Über die rechtliche Bewertung von Uniwagnis bestehen
zwischen der Versicherungswirtschaft und den Datenschutzaufsichtbehörden unterschiedliche Auffassungen.
Daher hat der Düsseldorfer Kreis der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich mit
dem GDV eine umfassende Bestandsaufnahme über die
Datenverarbeitung bei Uniwagnis in Angriff genommen,
um eine breite Grundlage für die weitere rechtliche Bewertung im Rahmen der Aufsichtstätigkeit der Datenschutzkontrollbehörden zu schaffen. Bei Redaktionsschluss lag noch kein Ergebnis vor.
Ich werde mich weiterhin dafür einsetzen, das Hinweisund Warnsystem datenschutzgerecht zu gestalten.
R
e
BfDI 21. Tätigkeitsbericht 2005-2006