BERLIN (ee) - In ganz erheblichem Maße ist die Versicherungswirtschaft vom Datenschutzgesetz tangiert - zumal in einigen spezifischen Bereichen die Belange der Assekuranz vom Gesetzgeber überhaupt nicht bedacht worden sind. Probleme ergeben sich grundsätzlich bei der Zulässigkeit der Datenverarbeitung bei Versicherungs-Unternehmen, bei der Benachrichtigungspflicht und bei der Stellung des Versicherungsaußendienstes. Aus dem umfangreichen Referat von Klaus Breker von der Colonia-Versicherungs AG, zum Workshop-Schwerpunkt "Branchenabhängige Datenschutzprobleme" auf dem IKD in Berlin gehalten, haben wir besonders wichtige Punkte herausgegriffen: Die Grundsatzfragen der Zulässigkeit und die - wegen der vom Gesetz verlangten "Konzern-Organisation" der Versicherer - das Problem des Datenflusses durch die Spartentrennung.

Die Versicherungswirtschaft ist vom Bundesdatenschutzgesetz grob gesehen in zweifacher Hinsicht betroffen: Zunächst gibt es einen quantitativen Aspekt, wenn man sich vergegenwärtigt, daß auf jeden Bundesbürger heute rund fünf Versicherungsverträge entfallen oder daß im Durchschnitt jeder Bundesbürger eine Lebensversicherung besitzt. Beim Stichwort "Lebensversicherung" wird jedem der einmal einen Lebensversicherungsantrag ausgefüllt hat, auch der qualitative Aspekt verdeutlicht, weil hier besonders sensible Daten (Gesundheitsdaten) aufgenommen und verarbeitet werden müssen. Diese unterlagen jedoch auch bisher schon besonderen und heute weiter gültigen Gesetzesnormen (so dem ° 203 StGB).

Das Datenschutzgesetz versteht unter Datenverarbeitung das Speichern, Verändern, Löschen und Übermitteln von personenbezogenen Daten in beziehungsweise aus Dateien, unabhängig von den dabei angewendeten Verfahren (° 1 [2] Satz 1 und ° 2 [2]). Diese im Rahmen der Geschäftstätigkeit eines Versicherungsunternehmens notwendigen Datenverarbeitungs-Prozesse sind grundsätzlich verboten und müssen auf ihre Zulässigkeit hin überprüft werden.

Zulässigkeit der Datenverarbeitung

Die genannten Datenverarbeitungsphasen sind zulässig, wenn der Betroffene eingewilligt hat (° 3 [1] Ziff. 2) oder wenn sie im Rahmen eines vertrags- oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen ablaufen (°° 23, 24 und 25).

Es besteht kein Zweifel daran, daß zwischen dem Versicherer und dem Antragsteller (Versicherungsnehmer) ein Vertragsverhältnis zustandekommt (besteht).

Problematisch ist jedoch die Frage der Zulässigkeit der Speicherung von Daten dritter Personen, wie des Versicherten, wenn er, wie bei Gruppenversicherungen, nicht mit dem Versicherungsnehmer identisch ist oder des Bezugsberechtigten einer Lebensversicherung, behandelnder Ärzte, Rechtsanwälte, Notare, Sachverständige oder des Arbeitgebers eines Versicherungsnehmers. Diese "Dritten" unterhalten in diesem Zusammenhang keine Vertragsbeziehungen mit dem Versicherungsunternehmen, so daß die Speicherzulässigkeit nur mit den Kriterien des "vertragsähnlichen Vertrauensverhältnisses" oder der "berechtigten Interessen" begründet werden kann.

Diese beiden Begriffe sind jedoch vom Gesetzgeber nicht näher definiert und deshalb mit Rechtsunsicherheit behaftet. Ähnliches gilt, wenn die Daten eines Versicherten und/oder eines Bezugsberechtigten auch vom Mit- oder Rückversicherer gespeichert werden müssen, um einen ausreichenden Versicherungsschutz gewähren zu können: Eine Maßnahme, die im eigenen Interesse des Versicherten sprich Betroffenen, erfolgt.

In der überwiegenden Zahl der Fälle tritt ein Antragsteller nicht unmittelbar an das Versicherungsunternehmen heran, sondern schaltet einen - häufig selbständigen - Vermittler ein. Dieser Tatbestand der Übermittlung wird durch das Zulässigkeitsmerkmal "Vertragsverhältnis oder vertragsähnliches Vertrauensverhältnis" abgedeckt.

Die Zulässigkeit der Übermittlung ist jedoch auch dann zu bejahen, wenn das Versicherungsunternehmen dem Vermittler Adreßdaten möglicher Interessenten, potentieller Kunden zum Zwecke der Aquisition überstellt. Diese Auslegung kann jedoch nur damit begründet werden, daß Kundenwerbung und Geschäftsanbahnung "berechtigte Interessen" eines Versicherungsunternehmens darstellen und dadurch die schutzwürdigen Belange des Betroffenen nicht beeinträchtigt werden.

Gleichfalls auf der Basis "berechtigter Interessen" ist zu argumentieren, wenn Verträge rückversichert oder durch andere Gesellschaften mitversichert werden müssen. Die Datenübermittlung an Rück- und Mitversicherer kann jedoch zusätzlich auch mit der Zweckbestimmung eines Vertragsverhältnisses im Sinne einer bestmöglicher Risikostreuung oder -absicherung im Interesse des Versichertengemeinschaft und damit des Betroffenen begründet werden.

Auf die Frage der Zulässigkeit der Übermittlung personenbezogener Daten an die Mitteilungsstelle für Sonderwagnisse bei Lebensversicherung oder an die zentrale Registrierstelle beim HUK-Verband kann nach dem Bundesdatenschutzgesetz keine sichere Antwort gegeben werden. Klar ist, daß sie nicht mit der Zweckbestimmung eines "Vertrages oder vertragsähnlichen Vertrauensverhältnisses" begründet werden kann, da es hier um die Vorbeugung gegen potentielle Betrugshandlungen gegenüber einem anderen Versicherer geht. Deshalb müssen auch in diesen und ähnlich gelagerten Fällen die "berechtigten Interessen" Dritter bemüht werden. Dabei fällt es nicht so leicht, eine Beeinträchtigung der schutzwürdigen Belange des Betroffenen auszuschließen, zumal in der Praxis die Daten aller Versicherungsnehmer weitergegeben werden.

Datenschutz im Konzern

Bei der Festlegung des Normadressaten geht das Gesetz ausschließlich von juristischen Begriffen aus. Wirtschaftlich-organisatorische Unternehmensverbindungen der Praxis wie der Konzern haben keine Berücksichtigung gefunden.

Von dieser formal-juristischen Betrachtungsweise ist die Versicherungswirtschaft besonders hart betroffen, weil es ihr nach dem Prinzip der Spartentrennung per Gesetz untersagt ist, etwa Lebens-, Kranken- und Sachversicherung in einer Rechtsform zu betreiben. Eine Sachversicherungs-Gesellschaft hat demnach keine Möglichkeit, zusätzlich Lebens- oder Krankenversicherungszweige aufzunehmen. Deshalb organisieren sich Versicherungsgesellschaften überwiegend als Konzern: Bestimmte, dem Konzernunternehmen gemeinsame Aufgaben werden zusammengelegt. Dazu gehören Vertrieb, Rechnungswesen, Personalverwaltung, allgemein Verwaltung, Finanzen, Betriebsorganisation und nicht zuletzt die Datenverarbeitung. Das reibungslose Funktionieren einer solchen Zentralisierung und Zusammenarbeit setzt einen möglichst uneingeschränkten Datenfluß zwischen den beteiligten Unternehmen voraus.

Es besteht kein Zweifel, daß dieser Datenfluß empfindlich gestört ist. Nach den Bestimmungen des Datenschutzgesetzes sind die Konzernunternehmen im Verhältnis zueinander Dritte. Das bedeutet, daß gemeinsame Datenbestände oder Datenbanken nur gebildet werden können, wenn jedes beteiligte Unternehmen in bezug auf den Betroffenen mindestens eines der Zulässigkeitskriterien für die Speicherung erfüllt. In der überwiegenden Zahl der Fälle besteht aber eine eindeutige Vertragsbeziehung zwischen einem der Konzernunternehmen und dem jeweils Betroffenen. Das heißt, in allen anderen Fällen liegt Übermittlung vor, deren Zulässigkeit ebenfalls für jede Konzerngesellschaft, mit Ausnahme der speichernden Stelle, zu prüfen und zu begründen ist.

Das Kriterium der Zweckbestimmung eines Vertrages oder vertragsähnlichen Vertrauensverhältnisses wird nur in den wenigsten Fällen zutreffen (zum Beispiel Rückversicherung innerhalb der Gruppe). Deshalb bleiben nur zwei Möglichkeiten: Die Einwilligung des Betroffenen (zum Beispiel über eine entsprechende Klausel bei der Antragstellung) oder der Nachweis "berechtigter Interessen" der anderen Gruppenunternehmer, dem eine Beeinträchtigung der schutzwürdigen Belange des Betroffenen nicht entgegenstehen darf. Eine dritte, jedoch beschränkte Möglichkeit bietet sich noch, wenn die gemeinsamen Datenbanken ausschließlich sogenannte freie Daten gemäß ° 24 (2) beinhalten. Das dürfte jedoch unter Berücksichtigung des vielfach bestehenden hohen Integrationsgrades zwischen den Konzernunternehmen sowie der Verfolgung ihrer geschäftspolitischen Ziele nicht ausreichen, zumal bereits ein zusätzliches Merkmal wie die Herkunft aus einer Konzerngesellschaft die Übermittlung wieder den Bestimmungen des ° 24 (1) unterwirft.

Es wäre zu begrüßen, wenn die Rechtsprechung sich nicht ausschließlich an formal-juristischen Merkmalen orientieren wurde, wie es sich zur Zeit in den vorliegenden Verwaltungsvorschriften der Aufsichtsbehörden bedauerlicherweise schon abzeichnet.

Eine staatliche Kontrolle der Konzerne mit Hilfe des Datenschutzgesetzes dürfte von niemandem gewollt sein und liegt fernab von den Zielen dieses Gesetzes. Wenn schon eine allgemein gültige "Konzernklausel" keinen Eingang in das Gesetz finden konnte, so sollte spätestens bei einer Novellierung des Gesetzes der Besonderheiten spezieller Wirtschaftszweige wie der Versicherungswirtschaft Rechnung getragen werden.