DSGVO: Keine Angst vor der gläsernen Versichertenakte

Die Datenschutzgrundverordnung verleiht Versicherungsnehmern ein weitreichendes Auskunftsrecht gegenüber ihren Versicherern, urteilt der Bundesgerichtshof. Die Branche muss jetzt Transparenz gegenüber ihren Kunden schaffen. Was man dabei beachten muss, schreibt Malte Krohn von Wilhelm Rechtsanwälte in einem Gastbeitrag.

Seit dem 25. Mai 2018 gilt in der Europäischen Union die Datenschutzgrundverordnung (DSGVO). Die Hoheit über die eigenen Daten wird seither vielmehr eingefordert – und die DSGVO gibt den einzelnen Bürgern eine Reihe starker Rechte an die Hand, mit denen sie den Hoheitsanspruch effektiv durchsetzen können. Hierzu zählen die Auskunftsrechte der von der Datenverarbeitung betroffenen Personen (sog. Betroffene). Die Auskunftsrechte in Art. 15 DSGVO sind umfassender als die nationalen Auskunftsrechte in den §§ 19, 34 BDSG. Grundsätzlich bestehen die Auskunftsrechte nach Art. 15 DSGVO aus zwei Teilen: Die Betroffenen können zunächst Angaben über die Art und Weise der Datenverarbeitung verlangen, wobei die DSGVO in Art. 15 Abs. 1 einen Katalog der Angaben enthält, über den die Betroffenen Auskunft verlangen können.

Praktisch bedeutsam ist vielmehr das Recht auf Erteilung einer Datenkopie in Art. 15 Abs. 3 DSGVO. Die erste Kopie muss dabei kostenlos erteilt werden. Der Umfang der zu erteilenden Datenkopie ist in Rechtsprechung und Literatur höchst umstritten. In den vergangenen Jahren waren die Gerichte mit der Klärung einzelner Detailfragen hinsichtlich der Reichweite des Rechts auf Erteilung einer Datenkopie befasst. Einheitliche Grundsätze konnte man bislang nicht erkennen.

Auch die Versicherungswirtschaft sieht sich mit dem Thema Datenauskunft konfrontiert. In den Schadensakten, insbesondere – aber nicht nur – im Bereich der Personenversicherung, verarbeiten Versicherer regelmäßig personenbezogene Daten ihrer Versicherungsnehmer. Aber auch in der Industrieversicherung findet die Verarbeitung personenbezogener Daten statt, und zwar dann, wenn die von den Versicherern verarbeiteten Daten einen Bezug zu natürlichen Personen, die hinter den juristischen Personen als Versicherungsnehmern stehen, aufweisen. Versicherer sind daher auch zur Auskunft nach Art. 15 DSGVO verpflichtet, wenn die Daten einen Bezug etwa zu Angestellten, Geschäftsführern oder Vorstandsmitgliedern einer GmbH oder AG als Versicherungsnehmerin aufweisen.

Einsicht in die Schadensakte unerwünscht

Es muss beachtet werden, dass der Begriff „personenbezogenes Datum“ sehr weit verstanden wird. Gemeint sind letztlich alle Informationen über den Versicherungsnehmer. Es mag augenscheinlich gute Gründe für den Versicherer geben, dem Versicherungsnehmer Einsicht in die Schadenakte zu verweigern. Im Bereich der Betrugsbekämpfung etwa möchte der Versicherer seine Erkenntnisse über ein mögliches strafbares Verhalten seines Versicherungsnehmers aus taktischen Gründen für sich behalten. Doch ist dies nur auf den ersten Blick nachvollziehbar. Wirft der Versicherer seinem Versicherungsnehmer betrügerisches Verhalten vor, so gebieten es rechtsstaatliche Prinzipien, dass der Versicherungsnehmer die Möglichkeit hat, den Vorwurf umfassend zu prüfen. Nichts anderes gilt auch in einem Strafverfahren.

Dort hat der Beschuldigte ebenfalls ein umfassendes Akteneinsichtsrecht. Ein berechtigtes Interesse des Versicherers, seine Schadenakte für den Versicherungsnehmer geschlossen zu halten, besteht folglich nicht. Daher ist es auch wenig überraschend, dass der BGH in einem aktuellen Urteil (Urteil vom 15.06.2021, VI ZR 576/19) ein umfassendes Recht der Versicherungsnehmer auf Überlassung der Schadenakte anerkennt, gestützt auf Art. 15 DSGVO.

Der Bundesgerichtshof verwies auf die vom EuGH aufgestellten Grundsätze über den datenschutzrechtlichen Auskunftsanspruch und dessen umfassenden Anwendungsbereich. Hiervon ausgehend legt der BGH den Begriff „personenbezogenes Datum“ sehr weit aus. Selbst interne Vermerke sowie Korrespondenz zwischen dem Versicherer und dem Versicherungsnehmer, aber auch zwischen dem Versicherer und weiteren Dritten (!) stellen personenbezogene Daten des Versicherungsnehmers dar.

Der BGH stellt zudem klar, dass die personenbezogene Information eines Schreibens des Versicherungsnehmers an den Versicherer bereits darin besteht, dass sich der Versicherungsnehmer dem Schreiben gemäß geäußert hat. Korrespondenz des Versicherers an den Versicherungsnehmer kann personenbezogene Daten des Versicherungsnehmers enthalten, weshalb dem Versicherungsnehmer eine Kontrollmöglichkeit der Richtigkeit dieser Daten gegeben werden müsse. Dies gelte auch für Korrespondenz zwischen dem Versicherer und Dritten, weshalb auch diese Korrespondenz herausgegeben werden müsse.

Die Entscheidung des Bundesgerichtshofs überrascht nicht. Der Bundesgerichtshof wendet lediglich die Rechtsprechung des EuGH zur Auslegung des Begriffs „personenbezogene Daten“ an. Es handelt sich also gerade nicht um eine (bislang ungeklärte) versicherungsrechtliche Frage, sondern um eine datenschutzrechtliche. In diesem Sinne führt der Bundesgerichtshof auch aus, dass eine EuGH-Vorlage nicht angezeigt sei, da unter Anwendung der „Acte Clair“-Doktrin die Auslegung dieses unionsrechtlichen Begriffs durch die Rechtsprechung des EuGH geklärt sei. Deutungsversuche dahingehend, die Entscheidung des BGH sei nur auf die Personenversicherung anzuwenden, dürften daher falsch sein.

Grenzen des Auskunftsanspruchs

Der Bundesgerichtshof legte auch dar, welche Grenzen sich für den Auskunftsanspruch ergeben. Der BGH gab hierbei ebenfalls lediglich die Rechtsprechung des EuGH wieder. Da nach der Rechtsprechung des EuGH rechtliche Analysen selbst keine Information über den Betroffenen sind und somit kein personenbezogenes Datum darstellen, versagte der BGH dem Kläger den Anspruch auf Herausgabe der internen Bewertung des Versicherers zu den in Streit stehenden Versicherungsansprüchen. Dem Versicherungsnehmer ist jedoch nicht in jeder Fallgestaltung die Auskunft über rechtliche Bewertungen des Versicherers von vornherein versagt.

Der BGH traf lediglich die Feststellung, dass die Beurteilung der Rechtslage für sich genommen keine ausreichende Verknüpfung zur Person des Versicherungsnehmers aufweist. Die Sache liegt aber bereits dann anders, wenn in den rechtlichen Analysen selbst personenbezogene Daten enthalten sind. Versicherer sind folglich im Rahmen von Art. 15 DSGVO auch verpflichtet, Auskunft über interne rechtliche Einschätzungen zu einem konkreten Leistungs- oder Schadenfall zu erteilen, soweit diese einen Bezug zur Person des Versicherungsnehmers herstellen.

Lesen Sie den vollständigen Beitrag in der aktuellen Dezember-Ausgabe der Versicherungswirtschaft.