Zulässigkeit der Datenverarbeitung von privaten Krankenversicherungen nach der Datenschutz-Grundverordnung

Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt, es sein denn, ein Erlaubnistatbestand ist einschlägig. Dabei werden die Erlaubnistatbestände in Art. 6 DSGVO überlagert und sind deshalb nicht anwendbar, wobei allgemeine Grundsätze der DSGVO trotzdem gelten. (ErwGr 51 DSGVO; Schiff in: Ehmann/Selmayr, Art. 9 DSGVO, Rn. 9; Kampert in: Sydow, Art. 9 DSGVO, Rn. 5; Albers in: BeckOK DatenschutzR, Art. 9 DSGVO, Rn. 1; Korge in: Gierschmann/Schlender/ Stentzel/Veil, Art. 9 DSGVO, Rn. 19; Jandt, ZRP 2018, 16, 18; Schneider, ZD 2017, 303; Vomhof , Datenschutz in der Versicherungswirtschaft, S. 24.) Die Ansicht, dass Art. 6 DSGVO neben Art. 9 DSGVO anzuwenden ist, (vgl. Egger, VersR 2017, 785, 790.) würde dazu führen, dass für die Verarbeitung von Gesundheitsdaten weitere Erlaubnistatbestände gelten als für die Verarbeitung von sonstigen personenbezogenen Daten.

1. Art. 9 II lit. f DSGVO – Verteidigung von Rechtsansprüchen

Eine Datenverarbeitung ist nach Art. 9 II lit. f DSGVO zulässig, soweit sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Fraglich ist, ob darunter auch eine interne Prüfung des Versicherers zur Feststellung des Versicherungsfalles und zum Umfang seiner Leistungspflicht fällt. (Vgl. Vomhof, Datenschutz in der Versicherungswirtschaft, S. 27.)

Nach ErwGr. 52 DSGVO gehört dazu die Geltendmachung vor Gericht oder in außergerichtlichen Verfahren. Man könnte die Norm so weit wie § 28 VI Nr. 3 BDSG verstehen, (Plath in: Plath, Art. 9 DSGVO, Rn. 20.) wodurch die Datenverarbeitung gerechtfertigt werden könnte.
Aber im Rahmen von § 28 VI Nr. 3 BDSG hat eine Interessenabwägung zu erfolgen. Diese ist bei Art. 9 II lit. f DSGVO so nicht vorgesehen. (Weichert in: Kühling/Buchner, Art. 9 DSGVO, Rn. 86.) Außerdem war im Entwurf der DSGVO auch für Art. 9 DSGVO eine Erlaubnis vorgesehen, welche die Datenverarbeitung, die zur Erfüllung eines Vertrags erforderlich ist, erlaubt. (Art. 9 II lit. aa, in ABl. EU C 378 vom 9. November 2017, S. 399 ff.) Darunter hätte eine Datenverarbeitung des Versicherers subsumiert werden können. (Vomhof, Datenschutz in der Versicherungswirtschaft, S. 27; Washausen, Gesundheitsdatenschutz im PrivatversR, S. 69.) Die Norm wurde jedoch nicht in die Verordnung aufgenommen. Deswegen erscheint es angemessener den Anwendungsbereich von Art. 9 II lit. f DSGVO eher eng zu verstehen.

„Außergerichtliche Verfahren“ im Sinne von Art. 9 II lit. f DSGVO meint dabei wohl eine alternative Streitbeilegung; (vgl. Rossi in: Calliess/Ruffert, Art. 81 AEUV, Rn. 31.) beispielsweise per Mediation oder hier insbesondere über den Ombudsmann nach § 214 VVG. (vgl. Armbrüster in: Prölss/Martin, Einleitung, Rn. 229 ff.) Für eine interne Prüfung des Leistungsfalls ist Art. 9 II lit. f DSGVO folglich nicht anwendbar.

2. Art. 9 II lit. g DSGVO – Öffentliches Interesse

Die Verarbeitung wäre zulässig, wenn sie aus Gründen eines erheblichen öffentlichen Interesses erforderlich und angemessen ist und spezifische Maßnahmen zur Wahrung der Grundrechte vorgesehen sind, Art. 9 II lit. g DSGVO.
Man könnte überlegen, ob es ein erhebliches öffentliches Interesse ist, dass der Versicherer seine Leistungspflicht immer umfassend prüfen kann, damit kein Kostenrisiko für die Solidargemeinschaft der Versicherten entsteht. (Vgl. BT-Drucks. 16/4247, S. 66.) Aber im Vergleich zu Art. 9 II lit. c DSGVO zeigt sich, dass ein erhebliches öffentliches Interesse sehr schwer wiegen muss. (Frenzel in: Paal/Pauly, Art. 9 DSGVO, Rn. 39; vgl. Korge in: Gierschmann/Schlender/Stentzel/Veil, Art. 9 DSGVO, Rn. 34.) Darunter kann nicht eine Belastung der Versichertengemeinschaft mit möglicherweise ungerechtfertigten Kosten subsumiert werden. (Vgl. Vomhof, Datenschutz in der Versicherungswirtschaft, S. 27.)

3. Art. 9 II lit. b DSGVO – Recht der sozialen Sicherheit

Nach Art. 9 II lit. b DSGVO wäre eine Verarbeitung zulässig, damit die betroffene Person die ihr aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben kann. Aber nur, wenn eine solche Verarbeitung gesetzlich vorgesehen ist. (Schiff in: Ehmann/Selmayr, Art. 9 DSGVO, Rn. 33.)

Zum „Recht der sozialen Sicherheit und des Sozialschutzes“ zählt das gesamte Sozialleistungssystem und somit auch die Krankenversicherung. (Weichert in: Kühling/Buchner, Art. 9 DSGVO, Rn. 60.) Zur Sozialversicherung gehört aber nicht die private Krankenversicherung, die neben der gesetzlichen Krankenversicherung besteht, sodass Art. 9 II lit. b DSGVO hier gar nicht anwendbar ist. (Vgl. Heinze, ZVersWiss 2000, 243.) Weiterhin meint Art. 9 II lit. b DSGVO solche Daten, die im Bereich des Arbeitsverhältnisses benötigt werden, zum Beispiel weil der Arbeitgeber Beiträge an die Krankenversicherung zahlt. Es sind nicht Rechte und Pflichten im ausschließlichen Verhältnis zwischen Versicherer und Versicherten gemeint. (Vgl. Korge in: Gierschmann/Schlender/Stentzel/Veil, Art. 9 DSGVO, Rn. 24.)

4. Art. 9 II lit. h DSGVO – Gesundheitsbereich

Art. 9 II lit. h DSGVO erlaubt die Verarbeitung unter anderem für Zwecke die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. In Abgrenzung zu Art. 9 II lit. i DSGVO betrifft Art. 9 II lit. h DSGVO die infrastrukturellen Komponenten im Gesundheitsbereich. (Schiff in: Ehmann/Selmayr, Art. 9 DSGVO, Rn. 52.)

a) Öffnungsklausel, § 22 II BDSG

Es ist hierbei zunächst Art. 9 IV DSGVO zu beachten. Diese Öffnungsklausel gibt den Mitgliedstaaten weitreichende Gestaltungsmöglichkeiten im Hinblick auf Zulässigkeitsvoraussetzungen für eine rechtmäßige Verarbeitung von Gesundheitsdaten. (Kühling, Die DSGVO und das nationale Recht, S. 52.) Davon hat der deutsche Gesetzgeber auch Gebrauch gemacht und in § 22 I Nr. 1 lit. b BDSG eine nahezu identische Norm aufgenommen. (Helfrich, ZD 2017, 97, 98.) Dabei verstößt er nicht gegen das Wiederholungsverbot, da er Teile aus der Verordnung übernehmen darf, um die nationale Norm klarer zu gestalten. (EuGH Slg. 1973, 981, Rn. 9 ff.; Kühling, Die DSGVO und das nationale Recht, S. 6 ff.; Schweitzer/Dederer, Staatsrecht III, Rn. 657.) Hier wird die Regelung der DSGVO in § 22 II BDSG nämlich noch um weitere Voraussetzungen für die Zulässigkeit der Datenverarbeitung ergänzt.

Danach ist eine Datenverarbeitung nur dann zulässig, wenn zugleich angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorgesehen sind. Dabei könnten beispielsweise die Daten verschlüsselt (§ 22 II 2 Nr. 7 BDSG) und ein Datenschutzbeauftragter ernannt werden (§ 22 II 2 Nr. 4 BDSG), der unter anderem die Einhaltung der DSGVO überwacht (Art. 39 I lit. b DSGVO).

b) Anwendungsbereich von Art. 9 II lit. h DSGVO

Fraglich ist, ob unter „Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich“ auch die private Krankenversicherung gefasst werden kann.
Der Begriff in Art. 9 II lit. h DSGVO ist unbestimmt und man könnte unter „Verwaltung von Gesundheitsdiensten“ auch die private Krankenversicherung fassen. Dafür spricht, dass laut ErwGr. 52 DSGVO insbesondere das sozialen Krankenversicherungssystem, also die gesetzli- che Krankenversicherung, dazu gehört. (Vgl. Weichert in: Kühling/Buchner, Art. 9 DSGVO, Rn. 107.) Die Aufzählung ist dort nicht abschließend, wie die Formulierung „insbesondere“ zeigt, sodass auch die private Krankenversicherung dazu gehören könnte.

In der englischen Fassung der Verordnung wird im ErwGr. 52 DSGVO mit dem Begriff „health insurance system“ nicht zwischen der gesetzlichen und privaten Krankenversicherung unterschieden, sondern allgemein das Krankenversicherungssystem gemeint. Man könnte die Regelung deshalb weit auslegen und auch die private Krankenversicherung unter Art. 9 II lit. h DSGVO fassen. (So Weichert, DANA 2016, 48, 51; Weichert in: Kühling/Buchner, Art. 9 DSGVO, Rn. 106.)

Art. 9 II lit. h DSGVO basiert aber auf Art. 8 III DSRL. Hier war eine Ausnahme für die „Verwaltung von Gesundheitsdiensten“ vorgesehen. Damit ist weder die gesetzliche noch die private Krankenversicherung gemeint, denn ErwGr. 34 DSRL sagt, dass die Mitgliedstaaten für die Krankenversicherung nach Art. 8 IV DSRL eigene Regelungen vorsehen sollen. (Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 8 DSRL, Erl. 18.) Da der Wortlaut von der DSRL zur DSGVO nur geringfügig geändert wurde und in ErwGr. 52 DSGVO der deutschen Fassung explizit nur die gesetzliche Krankenversicherung Erwähnung findet, spricht vieles dafür, dass die Ausnahme eng auszulegen.

Auch in der französischen Fassung wird mit „le régime d’assurance-maladie“ ebenfalls nur das dortige gesetzliche Krankenversicherungssystem im ErwGr. 52 DSGVO genannt. Damit wäre zwar die gesetzliche Krankenversicherung, aber nicht die private Krankenversicherung von Art. 9 II lit. h DSGVO umfasst. (Eichler/Kamp in: BeckOK DatenschutzR, Versicherungswesen, Rn. 32.)

Bei der Auslegung einer Verordnung können die Erwägungsgründe zwar berücksichtigt werden, sie sind aber nicht rechtlich verbindlich. (Wegener in: Calliess/Ruffert, Art. 19 EUV, Rn. 16; EuGH GRUR 2014, 774, Rn. 31; EuGH Slg. 2005, I-10095, Rn. 32; EuGH Slg. 1998, I-7477, Rn. 54.) Der Erlaubnistatbestand sollte ursprünglich in Art. 8 III DSRL gar nicht für Krankenversicherungen gelten. Nun bezieht sich Art. 9 II lit. h DSGVO laut ErwGr. 52 DSGVO auch auf die gesetzliche Krankenversicherung, als besondere Ausnahme. Insbesondere aus der Entstehungsgeschichte der Norm ergibt sich, dass die Ausnahme eng zu sehen ist.

Im Ergebnis sprechen die wichtigeren Argumente für eine enge Auslegung des Begriffs, sodass zwar die gesetzliche, aber nicht die private Krankenversicherung zur „Verwaltung von Gesundheitsdiensten“ im Sinne von Art. 9 II lit. h DSGVO zählt.

c) Weitere Voraussetzungen

Nach Art. 9 III DSGVO würde als ein zusätzliches Erfordernis gelten, dass die Verarbeitung nur durch eine Person erfolgen darf, die nach Unionsrecht, nationalem Recht oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Dabei ist umstritten, wie die Norm für den Fall, dass keine Geheimhaltungspflichten bestehen, zu verstehen ist. Man könnte annehmen, dass eine Verarbeitung nur dann zulässig ist, wenn auch entsprechende Geheimhaltungspflichten bestehen. Andernfalls wäre sie unzulässig. (Kampert in: Sydow, Art. 9 DSGVO, Rn. 56; Kühling, Die DSGVO und das nationale Recht, S. 51;Dochow, GesR 2016, 401, 405.) Es wird auch vertreten, dass, wenn keine Geheimhaltungspflichten geregelt sind, sich die Zulässigkeit der Verarbeitung nur nach Art. 9 II lit. h DSGVO richtet. (Weichert in: Kühling/Buchner, Art. 9 DSGVO, Rn. 138.)

Ein Steitentscheid kann aber hier dahinstehen, da aus § 203 I Nr. 7 StGB Versicherer zum Schutz von Geheimnissen verpflichtet sind. (Weichert in: Kühling/Buchner, Art. 9 DSGVO, Rn. 139.) Dies gilt auch für alle Bediensteten, die durch ihre Funktion mit Geheimnissen in Berührung kommen. (Fischer, StGB, § 203 StGB, Rn. 25; Hübner, Strafrechtlicher Schutz des Arztgeheimnisses, S. 153 ff.)

Wenn man – entgegen der hier vertretenen Auffassung – annimmt, dass private Krankenversicherer von Art. 9 II lit. h DSGVO gemeint sind, dann wäre eine Verarbeitung von Gesundheitsdaten zulässig, wenn sie erforderlich ist. Erforderlich ist dann auf jeden Fall die Verarbeitung von allen Daten, die für den Versicherer zur Feststellung des Versicherungsfalles oder seiner Leistungspflicht und ihres Umfanges notwendig sind.

5. Art. 9 II lit. a DSGVO – Einwilligung

Greift keiner der anderen Erlaubnistatbestände von Art. 9 II DSGVO ein, so kann eine Verarbeitung von Gesundheitsdaten nur über die Einwilligung des Betroffenen gerechtfertigt werden, Art. 9 II lit. a DSGVO.

a) Öffnungsklausel

Die Einwilligungsmöglichkeit in eine Datenverarbeitung kann durch ein Gesetz in den Mitgliedstaaten ausgeschlossen werden. (Plath in: Plath, Art. 9 DSGVO, Rn. 14.) Davon hat der deutsche Gesetzgeber im BDSG-neu keinen Gebrauch gemacht. (Vgl. Kühling, Die DSGVO und das nationale Recht, S. 49.)

b) Form

Die Voraussetzungen für eine wirksame Einwilligung legt Art. 7, Art. 4 Nr. 11 DSGVO fest. Dabei muss die Einwilligung ausdrücklich, also im Gegensatz zu Art. 6 I 1 lit. a DSGVO nicht konkludent, erfolgen. (Schiff in: Ehmann/Selmayr, Art. 9 DSGVO, Rn. 28; Plath in: Plath, Art. 9 DSGVO, Rn. 13; Korge in: Gierschmann/Schlender/Stentzel/Veil, Art. 9 DSGVO, Rn. 20; vgl. EuG, Urteil vom 3.12.2015, Rs. T-343/13, Rn. 62, nach Juris.)

Gemäß Art. 4 Nr. 11 DSGVO und ErwGr. 32 DSGVO gibt es keine weiteren Formerfordernisse. Es reicht auch eine mündliche oder elektronische Einwilligung aus. (Schild in: BeckOK DatenschutzR, Art. 4 DSGVO, Rn. 131; Korge in: Gierschmann/Schlender/Stentzel/ Veil, Art. 9 DSGVO, Rn. 20.) In der Literatur wird dagegen teilweise vertreten, dass eine mündliche Einwilligung nicht ausreiche, da hier nicht sichergestellt werden kann, dass die Einwilligung ausdrücklich und in informierter Weise erfolgte. (Schiff in: Ehmann/Selmayr, Art. 9 DSGVO, Rn. 30.) Der Versicherer trägt sowieso die Darlegungs- und Beweislast dafür, dass eine Datenverarbeitung rechtmäßig ist, Art. 7 I DSGVO. Man kann deshalb auch eine mündliche Einwilligung als ausreichend betrachten. Es liegt beim Verantwortlichen zu beweisen, dass diese ausdrücklich und in informierter Weise erfolgte, was ihm bei einer schriftlichen Erklärung deutlich leichter fällt.

c) Freiwilligkeit

Die Einwilligung muss freiwillig erfolgen, Art. 4 Nr. 11 DSGVO.

aa) Koppelungsverbot

Bei der Beurteilung der Freiwilligkeit, muss nach Art. 7 IV DSGVO dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem der Vertragsabschluss oder die Erfüllung eines Vertrags, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für den Vertrag nicht erforderlich sind.

Es ist umstritten, wie weit dieses Koppelungsverbot reicht. Teilweise wird vertreten, dass eine Einwilligung nie freiwillig ist, wenn sie an einen Vertragsschluss gekoppelt ist. (Dammann, ZD 2016, 307, 311; Gierschmann, ZD 2016, 51, 54; Albrecht, CR 2016, 88, 91.) Dagegen spricht aber der Wortlaut von Art. 7 IV DSGVO, der eine Koppelung nicht verbietet, sondern nur sagt, dass diese berücksichtigt werden muss. (Schantz, NJW 2016, 1841, 1845; Frenzel in: Paal/Pauly, Art. 4 DSGVO, Rn. 18; Plath in: Plath, Art. 7 DSGVO, Rn. 14 f.; Heckmann/Paschke in: Ehmann/Selmayr, Art. 7 DSGVO, Rn. 53; Gierschmann in: Gierschmann/Schlender/Stentzel/Veil, Art. 7 DSGVO, Rn. 62.)

Eine gekoppelte Einwilligung wäre zumindest dann wirksam, wenn sie zur Vertragserfüllung erforderlich ist. Hier ergibt sich, dass der Versicherer den Vertrag zwar erfüllen könnte, wenn er keine Gesundheitsdaten erheben darf. Es ist aber auch notwendig, dass er die Rechtmäßigkeit eines Leistungsverlangens prüfen kann, da sonst die Gefahr bestünde, dass die Versichertengemeinschaft mit ungerechtfertigten Kosten belastet würde. Er muss die Gesundheitsdaten des Versicherten verarbeiten, um das Bestehen und vor allem auch den Umfang seiner Leistungspflicht festzustellen. Es ist deswegen erforderlich, dass entweder eine Einwilligung in die Erhebung von Gesundheitsdaten vorliegt oder die Erfüllung des Anspruchs muss redlicherweise ausgeschlossen sein.

Eine Einwilligung, die an den Abschluss des Versicherungsvertrag gebunden ist, wäre somit wirksam; aber nicht für Gesundheitsdaten, die verarbeitet werden um beispielsweise vorvertragliche Anzeigeobliegenheitsverletzungen zu prüfen.

bb) Nachteile bei Verweigerung der Einwilligung

Für neue Verträge kann der Versicherer die Einwilligung somit an den Vertragsschluss koppeln. Es ist aber laut ErwGr. 42 DSGVO weiterhin erforderlich, dass der Versicherungsnehmer keine Nachteile erleidet, wenn er seine Einwilligung nach Art. 7 III 1 DSGVO widerruft beziehungsweise bei einem bestehenden Vertrag eine Einwilligung nicht erteilt. (Stemmer in: BeckOK DatenschutzR, Art. 4 DSGVO, Rn. 38; Gola in: Gola, Art. 4 DSGVO, Rn. 26.) Das gilt nicht, wenn der Nachteil zwingend aus der Verweigerung der Einwilligung resultiert. (Frenzel in: Paal/Pauly, Art. 4 DSGVO, Rn. 75.)

Hier müsste auch bei einer Verweigerung der Einwilligung der Versicherer von seiner Leistungspflicht frei werden, da es ihm sonst über die Obliegenheiten nicht möglich ist, seine Leistungspflicht zu prüfen. Erst, wenn der Versicherungsnehmer seine Ansprüche gerichtlich oder beispielsweise über den Ombudsmann geltend macht, könnte der Versicherer die notwendigen Gesundheitsdaten über Art. 9 II lit. f DSGVO legitim verarbeiten.

Für den Versicherer besteht somit die Möglichkeit, sich ein Kündigungsrecht einzuräumen, für den Fall, dass die Einwilligung widerrufen wird oder die Einwilligung selbst als Obliegenheit des Versicherungsnehmers in den Vertrag aufzunehmen.

d) Einwilligungserklärung

Im Ergebnis ist es somit für den Versicherer möglich, eine wirksame Einwilligung zur Verarbeitung von Gesundheitsdaten einzuholen. Der Versicherte darf aber nicht zur Einwilligung in die Datenverarbeitung für eine Prüfung vorvertraglicher Anzeigeobliegenheitsverletzungen verpflichtet werden.

Sharing is caring...

Newsletter

Hat dir dieser Artikel gefallen? Dann abonniere doch einfach unseren wöchentlichen Newsletter - beachte aber die Datenschutzhinweise.
Artikel von Phil
Ich bin Phil, 25 Jahre alt und Admin von iAppMag.de. >>> Xiaomi Redmi 4X, Custom-PC und LincPlus P2 mit Windows 10 und Ubuntu 20.04. Schreibe mir gerne eine E-Mail.
Alle Artikel von mir