Drucksache 17/5200
– 116 –
bei Vorliegen der Voraussetzungen des § 28a Absatz 2
auch erlaubt, personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung
bestimmter Bankgeschäfte an die Auskunfteien zu melden. Bislang wurde die Übermittlung dieser so genannten
Positivdaten von den Kreditinstituten an die Auskunfteien
auf eine Einwilligung der Betroffenen nach § 4 BDSG
gestützt. Wer ein Girokonto eröffnen oder einen Bankkredit haben wollte, wurde stets aufgefordert, seine Einwilligung zur Übermittlung der Daten an Auskunfteien zu erteilen (SCHUFA-Klausel).
An der Freiwilligkeit der bisherigen SCHUFA-Einwilligung haben die Datenschutzaufsichtsbehörden allerdings
schon seit längerer Zeit erhebliche Zweifel geäußert. Wollen die Bankkunden nicht auf den Kredit oder den Abschluss eines Girovertrags verzichten, bleibt ihnen nämlich
meist gar nichts anderes übrig, als die SCHUFA-Klausel
zu unterschreiben. Die Freiwilligkeit der Entscheidung ist
nach § 4a BDSG allerdings Wirksamkeitsvoraussetzung
einer Einwilligung. Der Gesetzgeber hat aus diesem
Grund mit § 28a Absatz 2 BDSG einen speziellen Erlaubnistatbestand für die Übermittlung vertragsbezogener
Bankdaten des Kunden an Auskunfteien eingeführt, der
nach dem gesetzgeberischen Willen an die Stelle der Einwilligungserklärung treten sollte.
Trotz dieser klaren Vorgaben wird von der SCHUFAKlausel in der Bankenpraxis gleichwohl noch immer Gebrauch gemacht. Die Banken weisen unter anderem
darauf hin, § 1 Absatz 1 Satz 2 Nr. 9 Kreditwesengesetz
(KWG), auf welchen § 28a Absatz 2 Bezug nimmt, umfasse mittlerweile aufgrund einer Änderung seines Wortlautes nicht mehr das Girogeschäft, so dass es zumindest
für Girokontoverträge weiterhin einer Einwilligungserklärung des Kunden bedürfe. Der Gesetzgeber sollte hier
für Klarheit sorgen und § 28a Absatz 2 BDSG die von
ihm intendierte Geltungskraft verschaffen.
10.7
Datenschutz in der Versicherungswirtschaft
Die Verbesserung des Datenschutzes bei Versicherungsunternehmen kommt nur langsam voran. Eine neugefasste
Einwilligungs- und Schweigepflichtentbindungserklärung
soll aber endlich im Frühjahr 2011 vorliegen. Auch wird
dann hoffentlich die überfällige datenschutzgerechte Umgestaltung des Hinweis- und Informationssystems (HIS)
abgeschlossen sein. Für die Verarbeitung von Gesundheitsdaten muss eine zusätzliche gesetzliche Regelung geschaffen werden.
Deutscher Bundestag – 17. Wahlperiode
band der Deutschen Versicherungswirtschaft (GDV) kamen nicht richtig voran. Wegen der Dringlichkeit des Themas hat die AG Versicherungswirtschaft des Düsseldorfer
Kreises deshalb einen eigenen Entwurf für eine neue Einwilligungsklausel erarbeitet und im März 2010 in die Verhandlungen mit dem GDV eingebracht. Nach dem Stand
der Verhandlungen kann aber wohl im Frühjahr 2011 mit
einem Konsens über den endgültigen Wortlaut der Einwilligungsklausel gerechnet werden.
Im Anschluss daran sollen auch wieder die Gespräche
über eine vom GDV überarbeitete Version eines Code of
Conduct (vgl. 22. TB Nr. 3.4.7) aufgenommen werden,
die zunächst ausgesetzt worden sind.
Hinweis- und Informationssystem (HIS)
Die datenschutzrechtlichen Bedenken gegen das Hinweisund Informationssystem (HIS) der Versicherungswirtschaft,
das der Risikoprüfung und Aufdeckung bzw. Verhinderung von Versicherungsbetrug dient, habe ich ebenfalls
schon mehrfach thematisiert (vgl. zuletzt 22. TB Nr. 4.4.7).
Der GDV hat zwar eine Neukonzeption vorgestellt, die
eine Weiterführung von HIS als Auskunftei auf Grundlage
von § 29 BDSG vorsieht, sah sich jedoch nicht in der Lage,
die von den Datenschutzaufsichtsbehörden gesetzte Frist
zur datenschutzgerechten Umgestaltung des HIS-Systems
bis Ende 2008 einzuhalten. Zur Begründung führte der
GDV an, dass er ein externes Unternehmen mit der Führung des neuen HIS beauftragen werde. Zu diesem Zwecke habe er eine Ausschreibung vorgenommen. Ende 2009
wurde der Zuschlag an ein in Baden-Württemberg ansässiges Unternehmen vergeben. Bei Redaktionsschluss waren die Vorbereitungen für die technische Umsetzung des
neuen HIS noch nicht abgeschlossen. Nach Angaben des
GDV soll der Wirkbetrieb im April 2011 beginnen.
Die HIS-Neukonzeption wurden zwischen den Datenschutzaufsichtsbehörden und dem GDV eingehend erörtert. Die Datenschutzaufsichtsbehörden können das neue
HIS nur akzeptieren, wenn bestimmte Bedingungen erfüllt sind (vgl. Kasten zu Nr. 10.7).
Nachdem der GDV bereits einen „Compliance-Leitfaden“ erstellt hat, der noch mit den Datenschutzaufsichtsbehörden in der AG Versicherungswirtschaft abgestimmt
werden soll, hoffe ich, dass die Verhandlungen zu einem
erfolgreichen Abschluss gelangen und der leider noch immer bestehende datenschutzrechtswidrige Zustand auf der
Grundlage des alten HIS im Frühjahr 2011 endlich beendet wird.
Einwilligungs- und Schweigepflichtentbindungserklärung
Umgang mit Gesundheitsdaten
Über die Notwendigkeit, die von der Versicherungswirtschaft verwendete Einwilligungs- und Schweigepflichtentbindungserklärung zu überarbeiten, habe ich bereits
mehrfach berichtet (vgl. zuletzt 22. TB Nr. 3.4.7). Meine
damalige Annahme, die Überarbeitung würde bald abgeschlossen, hat sich leider nicht bestätigt. Die Beratungen
der Datenschutzaufsichtsbehörden mit dem Gesamtver-
Bei bestimmten Versicherungsverträgen werden Gesundheitsdaten erhoben und verwendet, ohne dass dies durch
eine gesetzliche Vorschrift ausdrücklich legitimiert würde.
Für die Weitergabe von Daten, die der ärztlichen Schweigepflicht unterliegen, wird eine zusätzliche Legitimation
eingeholt, beispielsweise bei der Einschaltung von externen medizinischen Gutachtern oder bei der Übermittlung
BfDI 23. Tätigkeitsbericht 2009-2010