Drucksache 16/12600
– 44 –
Datenverarbeitungen bereits nach den gesetzlichen Vorschriften zulässig sind und welche einer Einwilligung bedürfen. Ziel sollte es sein, die Einwilligungsklausel auf
die Sachverhalte zu beschränken, bei denen keine gesetzlichen Erlaubnistatbestände vorhanden sind (z. B. im Fall
der Nutzung und Übermittlung für Werbezwecke).
Die Entscheidung des Bundesverfassungsgerichts vom
23. Oktober 2006 zur Unzulässigkeit formularmäßiger
Einwilligungserklärungen in Versicherungsverträgen
(1 BvR 2027/02, vgl. 21. TB Nr. 9.6) sowie das Inkrafttreten von § 213 Versicherungsvertragsgesetz (VVG), in
der die Erhebung von Gesundheitsdaten durch Versicherungsunternehmen geregelt wird, brachten endlich Bewegung in die Diskussion und unterstützten die Datenschutzaufsichtsbehörden bei ihren Forderungen. Die im
Berichtszeitraum geführten Verhandlungen mit dem GDV
gestalteten sich dennoch schwierig und gingen nur mühsam voran. Grund hierfür waren auch die parallel dazu
laufenden Gespräche über die Verhaltensregeln der Versicherungswirtschaft (s. u.) sowie die in unmittelbarem
Zusammenhang mit dem Umfang und Inhalt der Einwilligungsklausel stehende Frage der Umgestaltung des Hinweis- und Informationssystems (HIS). Bei Redaktionsschluss zeichnete sich jedoch ein erfolgreicher Abschluss
der Verhandlungen ab, so dass in Versicherungsverträgen
demnächst die neue datenschutzgerechte Einwilligungsund Schweigepflichtentbindungserklärung nebst Merkblatt verwendet werden kann.
Über datenschutzrechtliche Bedenken gegen das Hinweis- und Informationssystem (HIS) der Versicherungswirtschaft, das der Risikoprüfung und Aufdeckung bzw.
Prävention von Versicherungsbetrug dient, habe ich im
letzten TB (Nr. 9.5) berichtet. Eine Bestandsaufnahme
des Düsseldorfer Kreises hat diese Bedenken bestätigt
und die Datenschutzaufsichtsbehörden darin bestärkt,
eine datenschutzkonforme Umgestaltung des Systems zu
fordern. Nachdem der GDV Anfang 2007 erfreulicherweise seine Bereitschaft zu einer Neukonzeption erklärt
hatte, haben ihm die Datenschutzaufsichtsbehörden mitgeteilt, dass sie die weitere Nutzung des bisherigen HIS
für einen Übergangszeitraum bis Ende 2008 tolerieren
würden. Um zumindest vorläufig mehr Transparenz über
das bisherige Verfahren zu schaffen, haben der GDV und
die AG Versicherungswirtschaft eine gemeinsame Verfahrensbeschreibung erstellt und im Internet unter
www.gdv.de oder www.datenschutzzentrum.de veröffentlicht.
Im November 2007 stellte der GDV seine Pläne zur
Neustrukturierung des Hinweis- und Informationssystems
vor, die als Grundkonzept eine Weiterführung als Auskunftei nach § 29 BDSG vorsehen. Seitens der AG Versicherungswirtschaft wurde signalisiert, dass dieses
Grundkonzept akzeptabel sei, jedoch noch zahlreiche Detailfragen geklärt werden müssten. Im September 2008
wies der GDV erstmals darauf hin, dass eine Inbetriebnahme des neuen HIS Anfang 2009 unrealistisch sei. Im
November 2008, also knapp zwei Jahre nach dem Hinweis der Datenschutzaufsichtsbehörden auf die Rechts-
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
widrigkeit des bisherigen HIS, wurde schließlich mitgeteilt, die Umsetzung des neuen Konzepts könne nicht vor
April 2011 abgeschlossen werden.
Es ist sehr zu bedauern, dass sich der GDV nun außer
Stande sieht, die von den Datenschutzaufsichtsbehörden
festgelegte Frist für die Aufnahme des dem Grunde nach
begrüßenswerten neuen HIS einzuhalten. Mit einer weiteren Nutzung des bisherigen Systems wird ein datenschutzwidriger Zustand fortgeführt. Die Bereitschaft des
GDV zu datenschutzrechtlichen Verbesserungen in Bezug
auf die Benachrichtigung der Betroffenen bei Einmeldung in das System und auf eine Auskunftserteilung nach
§ 34 BDSG ändert nichts an der grundsätzlichen Rechtswidrigkeit des derzeitigen Systems. Die AG Versicherungswirtschaft hat den GDV im Dezember 2008 nochmals ausdrücklich auf den anhaltenden rechtswidrigen
Zustand hingewiesen, der sowohl die einzelnen Versicherungsunternehmen als auch die zuständigen Aufsichtsbehörden im Falle der Weiternutzung des bisherigen HIS
vor große Probleme stellt. Wie die Aufsichtsbehörden im
einzelnen auf eine weitere Nutzung reagieren, war bei
Redaktionsschluss noch nicht absehbar. Einzelne Aufsichtsbehörden haben Versicherungsunternehmen aber
bereits darauf hingewiesen, dass sie einen fortgesetzten
rechtswidrigen Datenaustausch über HIS mit Sanktionen
belegen würden.
Positiv bewerte ich die Absicht des GDV, einen so genannten Code of Conduct für alle angeschlossenen Versicherungsunternehmen zu erstellen. Hierbei handelt es
sich um Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen im Sinne von
§ 38a BDSG. Eine solche Verhaltensrichtlinie schafft weitestgehend einheitliche Standards für die Verarbeitung
personenbezogener Daten beim Abschluss und bei der
Abwicklung von Versicherungsverträgen und fördert die
Einhaltung der zu beachtenden Datenschutzbestimmungen. Sie wirkt zwar in erster Linie nach innen und richtet
sich an die Versicherungsunternehmen selbst. Sie ist aber
auch geeignet, dem Versicherungsnehmer einen Eindruck
zu vermitteln, wie und auf welcher gesetzlichen Grundlage mit seinen persönlichen Daten verfahren wird. Die
Verhaltensregeln können zwar eine umfassende Unterrichtung des Betroffenen nach § 4 Absatz 3 BDSG über
die Zweckbestimmung der Erhebung, Verarbeitung oder
Nutzung und die Kategorien von Empfängern nicht ersetzen, bieten jedoch eine gute Möglichkeit, zusätzlich zur
neuen Einwilligungsklausel und zum Merkblatt die erforderliche Transparenz der Datenverarbeitung zu erhöhen.
Der GDV hat der AG Versicherungswirtschaft Ende 2007
den Entwurf für den Code of Conduct zur Abstimmung
vorgestellt. Wegen des engen Zusammenhangs wurden
gemeinsame Gespräche hierüber zeitgleich mit den Beratungen über den Inhalt der neuen Einwilligungs- und
Schweigepflichtentbindungserklärung geführt. Eine Endfassung der Verhaltensregeln lag bei Redaktionsschluss
noch nicht vor.