Es ist mal wieder ein aktueller Anlass.
Ich korrigiere, es ist einer von vielen Anlässen, derzeit aktuell. Schon vergangenen Jahren erlebte ich immer wieder, dass Behörden mit den Muskeln spielen, bis sie um Unterstützung gegenüber einem anderen Marktteilnehmer gebeten werden.
In einem früheren Vorgang teilte mir die Bundesaufsichtsbehörde tatsächlich und schriftlich mit, dass das Versprechen eines Versicherers gegenüber der Versicherten, deren Riester-Vertrag einseitig zum Vorteil der Versicherten verändern gegenüber einer schriftlichen Vereinbarung ausreichend ist. Meiner Kenntnis nach gehört zu einer einseitigen Vertragsveränderung, gegenüber allen anderen Verträgen des Bestandes, eine geschäftsplanmäßige Erklärung, die der Bundesaufsichtsbehörde einzureichen ist. Auf diesem Wege sparen sich natürlich beide Parteien Arbeit. Fakt ist, dass ein Jahr später der Versicherer sich daran nicht mehr erinnern konnte. Dieselbe Mitarbeiterin sah darin keine Veränderung des Tatbestandes. Sie ist in der Abteilung Verbraucherschutz tätig! Gut, dass der Versicherer die Sparte aufgegeben hat und mit einem sehr attraktiven Angebot den Vertrag auslöste.
Der aktuelle Vorgang bezieht sich auf einen Datenschutzverstoß.
Es begann wie immer mit einer Beratung. Der Interessenten äußerte seinen Wunsch nach Neuordnung seiner Absicherung. Da es sich um die Beantragung zur Absicherung eines biometrischen Risikos handelte, empfahl ich die Einsicht in die bei der Krankenversicherung gelisteten Behandlungsdaten.
Der stimmte mir zu und unterzeichnete eine diesbezügliche Vollmacht, diese Unterlagen anzufordern. Trotz des Hinweises auf die Korrespondenzpflicht, wurden zum Teil der Mandant oder auch ich angeschrieben. Allerdings scheint das in der Branche bereits üblich zu sein und die Behörden nicht zu interessieren. Leider stellte sich heraus, dass ich zu diesem Tag nicht die passende Vollmacht bei mir trug, so dass keine Erlaubnis zur Übertragung sensibler Daten nach Paragraph 203 StGB enthalten war. Unbestritten erfordert aber eine solche Vollmacht zu diesem Zwecke diesen Passus. Bereits in der Vergangenheit hatte ich die Erfahrung gemacht und diese rechtlich prüfen lassen.
Antwort des Versicherers:
In seiner Erwiderung teilte der Versicherer mit, dass unsere Schweigepflichtsentbindung/Vollmacht für die Einsicht in die Kundendaten nicht ausreichend sei. Er teilte ferner mit, eine individuelle Vollmacht direkt beim Kunden beantragt zu haben. Interessanterweise hatte ich die Vollmacht für den Vater zur Weiterleitung bekommen und der Vater die Vollmacht für seinen Sohn zur Unterzeichnung. Die telefonische Nachfrage beim Versicherer hat ergeben, dass das Wort Krankenversicherung fehlt. Also nahm man den rechtlichen Vorgang sehr genau!
Die Vollmacht erreichte den Versicherten, wurde von diesem entsprechend bearbeitet und vervollständigt und an die Versicherung zurückgeführt. Auch wir leiteten die vervollständigte Vollmacht des Vaters an den Versicherer (être plat à chaque petit animal). In unserer Vollmacht, die als nicht ausreichend interpretiert wurde, beantragten wir die Daten von zwei Personen. Vater und Sohn! Die beiden individuellen Vollmachten des Versicherers, bezogen sich auf dieselben beiden Personen. Vater und Sohn!
Die Post kam.
Etwas später erhielten wir Post. Zwei große stattliche Ordner mit den Daten der gesamten Familie, also auch der Tochter. Diese Daten waren zur Einsicht oder Verwendung nicht legitimiert worden, weder vom Vater noch von der nicht volljährigen Tochter (wie auch). Ein Anruf beim Versicherer, diesen Umstand anzeigend wurden wir aufgefordert, die Daten doch selbst zu selektieren! Wäre das nicht eine Aufforderung, den Datenschutz zu verletzen. Selektion geht nicht ohne Kenntnis dessen, was zu selektieren ist. Ich versendete den Ordner, so wie er ankam an den Versicherer zurück und bat ihn, selbst zu selektieren. Gut eine Woche später rief man an. Mir wurde mitgeteilt, dass es grundsätzlich unmöglich sei, die Daten zu selektieren. Ich erinnere daran, dass man mich aufforderte, dies zu tun. Alternativ könne man mir die Rechnungen zur Person zukommen lassen. Der guten Ordnung halber melde ich diesen Verstoß an die Datenschutzbehörde.
Nun wird’s bunt -die Datenschutzbehörde mailt (unverschlüsselt):
Sehr geehrter Herr Dietrich,
wir haben inzwischen in dem von Ihnen mitgeteilten Sachverhalt ermittelt und eine Stellungnahme des Versicherers eingeholt. Darin wird u.a. Folgendes mitgeteilt:
(vollständiges Zitat): Herr Dietrich wies sich als Makler unseres Versicherungsnehmers aus und forderte mit Schreiben vom 25.04.2018 für den Versicherungsnehmer und dessen Sohn sämtliche
Unterlagen zurückgehend bis 2008 an. Die „XXXXX Gesellschaft“ stellt, auch aus geschäftspolitischen Gründen, an Vollmachten zur Datenherausgabe, sehr hohe Anforderungen. Da uns die mit der Anfrage beigefügte Vollmacht nicht ausreichte, schickten wir dem Makler unsere Mustervollmacht zu, die wir vom Versicherungsnehmer mit Datum vom 25.05.2018 unterschrieben zurückerhielten. Eine weitere – offenkundig ebenfalls vom Versicherungsnehmer unterschriebene – Vollmacht lautete auf den Namen des 2011 geborenen Sohnes, um deren Auskunft er ebenfalls bat. Zusammen mit dem Schreiben vom 16.06.2018 wurden Unterlagen an den Makler verschickt, die insgesamt zwei Ordner umfassten und chronologisch sortiert waren. Nach Erhalt der Unterlagen machte uns der Makler darauf aufmerksam, dass Unterlagen z.T. auch die Tochter unseres Versicherungsnehmers betrafen. Hierüber wurden wir von der Fachabteilung in Kenntnis informiert und haben empfohlen, den Vorgang an das Landesamt für Datenschutzaufsicht zu melden. Einen Ordner mit Unterlagen schickte der Makler zurück, wohl ohne hier die Unterlagen im Einzelnen zu selektieren, der andere enthielt offenbar keinerlei Unterlagen zur 2009 geborenen Tochter.
Die Auffassung des Maklers, es sei auch eine Vollmacht der Tochter erforderlich, verwundert insoweit, als dass er am 25.04.2018 selbst Unterlagen zum Versicherungsnehmer und dessen Sohn mit einer auf den Versicherungsnehmer lautenden Vollmacht vom 13.04.2018 angefordert hat. Ob letztendlich eine Vollmacht auch der minderjährigen Kinder zwingend rechtlich erforderlich ist, dürfte insoweit eher zu verneinen sein, als diese ohnehin ebenfalls vom Versicherungsnehmer als Erziehungsberechtigten unterzeichnet würde. Darüber hinaus ist zu berücksichtigen, dass in der Praxis z.B. bei Leistungsabrechnungen regelmäßig Daten von mehreren versicherten Personen enthalten sein werden, die mit einem Formular geltend gemacht werden. Eine konsequente Differenzierung der einzelnen Daten des Versicherungsvertrages wäre daher allenfalls mit erheblichem Aufwand möglich und würde die Aussagekraft beeinträchtigen. Der vom Makler gewünschte weite Umfang der Vollmacht wäre kaum erfüllbar gewesen, wenn konsequent jegliches Datum zur Tochter entfernt worden wäre, z.B. bzgl. Leistungssummen/Selbstbeteiligung.
Ungeachtet dessen, dass die XXXXX Gesellschaft grds. an Makler so wenig Daten wie möglich und erforderlich herausgibt und dies im vorliegenden Fall nicht umgesetzt wurde, ist daher u.E. für die Beurteilung eines Datenschutzverstoßes entscheidend, dass eine umfassende Vollmacht vom Versicherungsnehmer am 13.04.2018 unterzeichnet wurde, die offenkundig auch für sein(e) Kind(er) geltend sollte und als ausreichende Legitimation angesehen werden kann. (Zitat Ende)
Die Ausführungen der Versicherung sind aus unserer Sicht schlüssig und nachvollziehbar. Bei nachgewiesener Bevollmächtigung des Maklers durch den Versicherungsnehmer sowie gegenüber der Versicherung erteilter Vollmacht sehen wir keine unzulässige Datenübermittlung, wenn auch Daten eines weiteren minderjährigen, mitversicherten Kindes an den Makler übermittelt werden. Die fehlende namentliche Nennung dieses 2. Kindes in der vom Versicherungsnehmer erteilten Vollmacht ändert an dieser Einschätzung nichts. Wir werden das Versicherungsunternehmen anhalten, sich künftig nach dem Grundsatz der Datensparsamkeit auf die Übermittlung der tatsächlich angeforderten Unterlagen zu beschränken.
Beurteilung:
Der Versicherer gibt mit der Begründung, sehr hohe Datenschutzanforderungen zu haben, zu, dass er meine Vollmacht nicht als ausreichend für dieses Verlangen wertete. So weit so gut.
Im zweiten Absatz widerspricht der Versicherer meines Erachtens seiner eigenen Handlung. Plötzlich wird meine Vollmacht wieder gültig, obwohl sie es nicht sein kann. Der Versicherer beruft sich darauf, dass die Unterschrift des Vaters für beide Kinder ausgereicht hätte, also auch für die Tochter ohne deren namentlichen Nennung. Warum also hat er mir zwei Vollmachten gesendet, wenn doch die namentliche Nennung von minderjährigen unnötig war?
Die organisatorischen Belange des Versicherers, die Vorgänge der Patienten in Aktenordnern zu bevorraten, sind für uns nicht von Bedeutung. Vielmehr sollte er prüfen, ob seine Verfahrensweise in solchen Fällen der Nachfrage den Datenschutzgesetzen gerecht werden.
Fazit:
Trotz dessen der Versicherer sich in seiner Positionierung gegenüber der Datenschutzbehörde in der Anerkennung meiner Vollmacht widerspricht, trotz dessen er seiner Vorgehensweise der Versendung von zwei Vollmachten widerspricht, wobei nun doch auch eine Vollmacht vom Vater ausgereicht hätte, erscheint das der Datenschutzbehörde als vollkommen legitim.
Sie erkennt nun meine Vollmacht an, die Sie möglicherweise nie gesehen hat, um zu erkennen, dass der Passus zur Übertragung sensibler Daten nach Paragraph 203 StGB fehlt. Wir werden nachfragen. Unbeachtet bleibt zudem der Sachverhalt, dass der Versicherer nicht bereit war, Daten zu liefern, wenn seine Vollmacht nicht unterschrieben zurückgegeben wird. Auch hat er bestätigt, dass ich aufgefordert wurde, die Daten selbst zu selektieren. Damit hätte ich unweigerlich Kenntnis von den Daten einer dritten Person gehabt.
Betrachten wir die Rechtslage aus einem anderen Winkel. Ein Kunde gibt mir einen Auftrag. Das Sachwalterurteil verpflichtet mich nun, mein Fachwissen und meine Kenntnisse im Sinne des Kunden einzusetzen, dass dieser keinen Schaden erleidet. Daher beantrage ich Daten, die mir nicht gewährt werden, es sei denn, ich lasse ein extra Dokument des Versicherers dafür unterschreiben. Das dauert seine Zeit (2-3 Wochen, denn es war Urlaubszeit). Dann erhalte ich nicht beantragte Daten mit der Aufforderung selbst zu selektieren. Rücksendung und Selektion durch den Versicherer nahmen weitere drei Wochen in Anspruch. Wäre nun der Vater im Urlaub verunfallt oder sein Kind erkrankt, wer trägt die Haftung? Der Versicherer windet sich, die Datenschutzbehörde stärkt ihm den Rücken, so wie ich es empfinde. Wozu also Behörden? Welche genaue Tätigkeit und wem gegenüber definiert die Behörde? Eine Behörde die bis vor kurzem nicht einmal einen Ausschließlichkeitsverkäufer von einem Makler unterscheiden konnte.
Ich freue mich auf Kritik und Berichtigung, sollte ich etwas falsch verstanden haben.